荷蘭資料保護局:Google隱私權政策違反該國資料保護法
荷蘭資料保護局(Data Protection Authority, DPA)歷經長達七個月的調查,於2013年11月28日發布新聞稿,聲明Google違反該國資料保護法,因其未適當告知用戶他們蒐集了什麼資料、對資料做了些什麼事。
DPA主席Jacob Kohnstamm表示:「Google在未經你我同意的情形下,對我們的個人資料編織了一張無形的網,而這是違法的。」調查報告援引了Google執行長Eric Schmidt在2010年一場訪談中所說的話:「你不用鍵入任何字,我們知道你正在什麼地方、去過什麼地方,甚至或多或少知道你在想些什麼。」。
調查顯示Google為了展示個人化的廣告及提供個人化的服務,而將不同服務取得的個人資料加以合併,如搜尋記錄、所在位置及觀看過的影片等。然而,從用戶的觀點來看,這些服務係基於全然不同的目的,而Google亦未事先提供用戶同意或拒絕的選項。依照荷蘭資料保護法的規定,Google合併個人資料前,應經當事人明示同意,而該同意無法藉由概括(隱私)服務條款取得。針對DPA的聲明,Google回應他們已經提供用戶詳細資訊,完全符合荷蘭法律。
DPA表示將通知Google出席聽證會,就調查結果進行討論,並決定是否對Google採取強制措施。但是,從Google的回應看來,他們不太可能在聽證過後改變心意。以先前Google街景車透過Wi-fi無線網路蒐集資料的案例為鑑,Google(市值達3500億美元)若繼續拒絕遵循,將有可能面臨高達1佰萬歐元的罰鍰。
- Dutch Authorities Find Google Violates Its Private Data Protection Act
- Google's privacy policy violates Dutch data protection law, Dutch DPA says
- Google Under Fire From Dutch Data Protection Authority
- Dutch DPA Concludes That Google Is in Breach of Data Protection Act
- Dutch data protection agency says Google is violating privacy laws
- Google privacy changes break Dutch data protection law, says regulator
- Google violated Dutch data protection laws, says watchdog
- Dutch DPA: privacy policy Google in breach of data protection law
近年韓國國內發生多起重大資訊安全疏失,例如:2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal Information Protection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關,將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。 根據最新修正案條文,若某機關因故意或重大過失,造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀,經法院判決後,最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外,除非該機關能舉證當事人的損害與機關之行為沒有因果關係,否則當事人可請求最高3百萬韓元(約台幣8萬元)的法定損害賠償。 此次,韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會(The Personal Information Protection Committee)的職權。該委員會將成為資訊安全爭議的最終裁決機關,且擁有相關資訊安全管理相關政策制定及修正的提議權。 由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制,避免在新法上路後遭罰。
歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或譯為一般資料保護規則,下簡稱GDPR)執法之需,針對個人資料合法處理要件之一當事人「同意」,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年4月10日修正通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679),其中就有效同意之要件、具體明確性、告知、獲得明確同意,獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域,以及依據指令(95/46/EC)所取得之當事人同意等,均設有詳盡說明與事例。 GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知,及透過聲明或明確贊成之行為,就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願(unambiguous indication)並表示同意。殊值注意的是,如果控制者選擇依據當事人同意為任何部分處理之合法要件,須充分慎重為之,並在當事人撤回其同意時,即停止該部分之處理。如表明將依據當事人同意進行資料之處理,但實質上卻附麗於其他法律依據,對當事人而言即顯係重大不公平。 換言之,控制者一旦選擇當事人同意為合法處理要件,即不能捨同意而就其他合法處理的基礎。例如,在當事人同意之有效性產生瑕疵時,亦不允許溯及援引「利用合法利益」(utilise the legitimate interest)為處理之正當化基礎。蓋控制者在蒐集個人資料之時,即應揭露其所依據之法定要件,故必須在蒐集前即決定其據以蒐集之合法要件為何。
英國猶疑應否開放人獸混合細胞之胚胎幹細胞研究英國之胚胎幹細胞研究活動,係根據「1990年人類受精與胚胎學法」(Human Fertilisation and Embryology Act 1990,HF&E Act)和「2001年人類受精與胚胎學規則」(Human Fertilisation and Embryology (Research Purposes) Regulations 2001,Research Purposes Regulations)之規定,授權由「人類受精與胚胎學管理局」(Human Fertilisation and Embryology Authority,HFEA)依法管理。 新堡大學東北英格蘭幹細胞中心(North East England Stem Cell Institute)Lyle Armstrong博士,在去年底向HFEA申請一項涉及混合人類與動物細胞製造胚胎幹細胞之研究許可;其計劃利用細胞核轉置技術,將牛的卵子細胞核取出,植入人類體細胞核,並刺激其分裂形成胚囊或早期複製胚胎,用以研究培養病患所需身體組織之技術。過去HFEA從未曾核准過此類研究,僅核准過2件利用細胞核轉置技術和單性活化卵母細胞製造胚胎幹細胞株作為醫學研究之申請。此研究申請訊息一流出,即引起保守團體嘩然及指責,要求英國政府應盡速立法,禁止製造人獸混合細胞之實驗活動。面對各界抗議聲浪,HFEA表示,會暫緩此申請案。 事實上,去年12月英國健康部提出了一篇報告-「人工生殖及胚胎學法之檢討」(Review of the Human Fertilisation and Embryology Act),建議國會應儘速立法規範人類動物細胞混合研究。而英國政府與人民究竟能否接受混合人類動物遺傳細胞研究之合法性、合道德性,則為未來立法動向之重要指標。
英國資料倫理與創新中心提出「議題速覽-深度偽造與視聽假訊息」報告英國資料倫理與創新中心(Centre for Data Ethics and Innovation, CDEI)於2019年10月發布「議題速覽-深度偽造與視聽假訊息」報告(Snapshot Paper - Deepfakes and Audiovisual Disinformation),指出深度偽造可被定義為透過先進軟體捏造特定人、主題或環境樣貌之影片或聲音等內容。除取代特定主體之臉部外,其亦具備臉部特徵重塑、臉部生成與聲音生成之功能。而隨相關技術逐漸成熟將難辨網路視聽影像之真偽,故CDEI指出有必要採取相關因應措施,包含: 一. 立法 許多國家開始討論是否透過訂立專法因應深度偽造,例如紐約州眾議院議員提出法案禁止特定能取代個人臉部數位技術之應用,美國國會亦有相關審議中草案。然而,縱有法律規範,政府仍無法輕易的辨識影片製造者,且相關立法可能抑制該技術於正當目的上之應用,並導致言論自由之侵害,故未來英國制定相關制度之制定將審慎為之。 二. 偵測 媒體鑑識方法於刑事鑑識領域已實行多年,其也可以運用於辨識深度偽造。媒體鑑識方法之一為檢查個體是否有物理上不一致之現象,以認定特定證物是否經竄改,包括拍攝過程中被拍攝對象是否眨眼,或皮膚上顏色或陰影是否閃爍。雖目前英國相關鑑識專家對於媒體鑑識方法是否可辨識深度偽造仍有疑義,惟相關單位已經著手發展相關技術。 三. 教育 教育亦為有效因應深度偽造之方法。目前許多主流媒體均開始喚起大眾對於深度偽造之意識,例如Buzzfeed於去年即點出5個方法以辨認有問題之影片。科技公司也開始投入公眾教育,提高成人網路使用者對於假訊息與深度偽造之辨識,然而報告指出其成效仍有待觀察。