加拿大隱私主管機關發布個人資料保存與處理指引文件
在世界各國,無論是公務機關或非公務機關,均無可避免地大量蒐集個人資料,這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此,加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada,簡稱OPC)發布關於「個人資料保存與處理指引文件:原則與良好實作」(Personal Information Retention and Disposal:Principles and Best Practices),以協助聯邦機構與私人機構對組織內部保有之個人資料,做好妥善保存與處理。
OPC建議組織應在內部制定相關管理政策與程序,並於指引文件中提出11項參考要點,其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性?多久審查一次;2.對於保有之個人資料及保存目的是否進行清查與盤點?多久確認一次?3.個人資料儲存的形式與地點為何?是否有備份?4.法律是否有規定最低保存期限?5.組織如何處理個人資料與相關備份檔案?6.對於儲存個人資料之裝置或設備,是否採行適當地安全維護措施?7.個人資料保管與處理相關政策的核決人為誰?8.對於利用資料生命週期追蹤資料,是否存在適當管制程序?9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定?;是否有制定文件銷毀之安全措施?10.資料等候處理期間是否受到安全妥善之保管?11.對於使用資料之第三方,是否有透過合約或其他機制進行有效監督管控措施?是否制定定期查核機制?等,期以協助組織掌握政策與程序制定要領。
美國聯邦通訊傳播委員會(FCC)於2009年04月08日宣佈開始推展國家寬頻計劃進程,以達到能使每位美國民眾均有能力負擔與使用寬頻網路的服務。 此項引發廣大爭議的寬頻計畫係植基於2009年的「美國經濟復甦與再投資法」(American Recovery and Reinvestment Act of 2009)─即眾所周知的「振興經濟方案」。在此之前,FCC曾於2007年04月根據1996年電信法第706節發佈法規制定提議意見調查書(NOI,FCC 09-31),希望蒐集各界對於以下四個問題的看法:1.) 何為「先進通訊服務」?;2.) 如何促進美國民眾先進通訊的使用;3.) 目前推動是否合理合時?4.) 何種方式可以更有效推動先進通訊服務發展。 此次,該計畫將獲得72億美元以實現下列要求:1.) 以最有效能與效率的方式確保全美民眾能接近使用寬頻網路服務;2.) 提出人民有能力負擔與寬頻服務最大效用化的策略;3.) 評估目前寬頻推展現狀(包括其他相關的計畫);4.) 如何運用寬頻網路服務以提升消費者權益、公民參與、公眾安全、社區發展、健康照護、能源獨立效率性、教育、員工訓練、私部門投資、企業活動、創造工作機會與經濟成長。 參眾兩院要求FCC必須在2010年02月17日前,將該最終方案遞交眾議院與參議院相關委員會審議。但是,有論者認為目前FCC的計畫與方向並未考量到終端使用者真正需求與如何使用該等科技;同時,歐巴馬政府針對寬頻網路議題未提供足夠的公民思辨機會,最後恐將事倍功半。
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。 在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。 英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。 指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。
行動生活之隱私爭議-現行法制能否妥善處理位置資訊衍生問題 歐盟核准澳洲基因改造康乃馨之進口歐盟最近核准一項由澳洲生技公司Florigene所研發的基因改造康乃馨之進口,核准有效時間為十年。Florigene為澳洲最早設立的生技公司之一,屬日本三多利集團(Suntory group)之一,Florigene的基因改造康乃馨係以”Florigene Moonlite”之名行銷,該公司利用基改技術改變康乃馨的顏色,以延長其瓶插的時間,該基因改造康乃馨中另含有抗雜草基因。 根據歐盟執委會核准內容,未來Florigene的基因改造康乃馨將可在歐盟27個會員國境內,以切花的形式銷售,但不得在歐盟境內栽種,並須依歐盟法令規定,明確標示為「本產品為基因改造生物」或「本產品為基因改造康乃馨」,標示內容同時必須指明「不得供人類或動物食用,且不得用以栽種」或在產品附隨文件中為前述之說明。 事實上歐盟並非首次核准通過基因改造康乃馨之進口,早在1998年開始展開實質的六年基因改造生物進口禁令前,歐盟所通過的最後兩件基因改造植物核准案,即是基因改造康乃馨。不過歐盟一向對基因改造生物持保守態度,因此在2004年實施更為嚴格的基因改造生物管理法制後,才又重新啟動基因改造生物之進口審查。