歐盟理事會將嚴格執行資料保護基本權
歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。
是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。
依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰:
(1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。
(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。
(3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。
(4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。
六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。
- Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such
- Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document
- Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected
林其樺
專案經理 編譯整理
Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected, http://www.passwordprotectedlaw.com/2015/05/strong_eucouncil_enforcement/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=View-Original (last visited May 29, 2015 )
Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document, http://www.out-law.com/en/articles/2015/may/three-tiered-system-of-data-protection-fines-being-considered-by-eu-law-makers-says-leaked-document/ (last visited May 29, 2015)
Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter VIII, COM/2012/011, available at http://www.statewatch.org/news/2015/may/eu-council-dp-reg-chap-VIII-8371-15.pdf (last visited May29, 2015)
人工智慧(Artificial Intelligence, AI)的應用,已逐漸滲透到日常生活各領域中。為提升AI運用之效益,減少AI對個人與社會帶來之負面衝擊,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2019年3月提出「AI稽核框架」(Auditing Framework for Artificial Intelligence),作為確保AI應用合乎規範要求的方法論,並藉機引導公務機關和企業組織,評估與管理AI應用對資料保護之風險,進而建構一個可信賴的AI應用環境。 AI稽核框架主要由二大面向所構成—「治理與可歸責性」(governance and accountability)以及「AI特定風險領域」(AI-specific risk areas)。「治理與可歸責性」面向,係就公務機關和企業組織,應採取措施以遵循資料保護規範要求的角度切入,提出八項稽核重點,包括:風險偏好(risk appetite)、設計階段納入資料保護及透過預設保護資料(data protection by design and by default)、領導管理與監督(leadership management and oversight)、政策與程序(policies and procedures)、管理與通報架構(management and reporting structures)、文書作業與稽核紀錄(documentation and audit trails)、遵循與確保能力(compliance and assurance capabilities)、教育訓練與意識(training and awareness)。 「AI特定風險領域」面向,則是ICO特別針對AI,盤點下列八項潛在的資料保護風險,作為風險管理之關注重點: 一、 資料側寫之公平性與透明性(fairness and transparency in profiling); 二、 準確性(accuracy):包含AI開發過程中資料使用之準確性,以及應用AI所衍生資料之準確性; 三、 完全自動化決策模型(fully automated decision making models):涉及人類介入AI決策之程度,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)原則上禁止無人為介入的單純自動化決策; 四、 安全性與網路(security and cyber):包括AI測試、委外處理資料、資料重新識別等風險; 五、 權衡(trade-offs):不同規範原則之間的取捨,如隱私保護與資料準確性; 六、 資料最少化與目的限制(data minimization and purpose limitation); 七、 資料當事人之權利行使(exercise of rights); 八、 對廣泛公共利益和權利之衝擊(impact on broader public interests and rights)。 ICO將持續就前述AI特定風險領域,進行更深入的分析,並開放公眾討論,未來亦將提供相關技術和組織上之控制措施,供公務機關及企業組織進行稽核實務時之參考。
美國修法通過,未來必要時可強制旅客接受AIT掃描近來美國運輸安全管理局(Transportation Security Administration, TSA)修訂隱私衝擊評估(Privacy Impact Assessment, PIA) 規章,規定機場安全檢查於必要時,可以針對某些特殊旅客強制進行AIT掃描。 美國運輸安全管理局根據航空運輸安全法(Aviation and Transportation Security Act, ATSA) 負責運輸之安全、評估威脅及強制執行安全相關的規定和要求,並且確保機場等交通設備是否有充足的安全措施。 由於國際恐怖攻擊行動頻傳,美國運輸安全管理局於2013年開始採行AIT掃描技術以強化旅客通關之安全檢查,並將會顯示出近乎裸照的3D透視影像全身掃描機器(body scanning machines)淘汰。 所謂的AIT(Advanced Imaging Technology)掃描技術,即係高階圖像技術,可偵測旅客是否有攜帶危險性、威脅性物品,它所顯示出來的影像僅係一個大致輪廓,如有違禁品則會在該部位產生色塊,警告安檢人員應採行進一步檢查措施。 一般而言,雖然旅客可拒絕AIT掃描,選擇讓海關人員進行身體檢查,但是為確保運輸安全,近來運輸安全管理局更新隱私衝擊評估(Privacy Impact Assessment, PIA) 規章,規定於必要時可以針對某些特殊旅客強制進行AIT掃描,旅客不再有拒絕之權利。 此一政策施行,勢必遭受侵害「隱私權」之質疑,運輸安全局表示,AIT掃描係採用「自動目標辨識」 (Automatic Target Recognition , ATR) 軟體,亦即非直接顯示個人影像,僅顯示特殊物體在一般影像上的所在位置,發出警訊後再由安檢人員進行詳細檢查。現今AIT掃描技術已提升,掃描出的人體圖像會被模糊處理,且掃描後機器不會儲存任何可識別個人之資訊,更加確保旅客的隱私權不受侵害。
歐盟發佈「降低高速電子通訊網路建置成本」草案 IBM提出「人工智慧日常倫理」手冊作為研發人員指引隨著人工智慧快速發,各界開始意識到人工智慧系統應用、發展過程所涉及的倫理議題,應該建構出相應的規範。IBM於2018年9月02日提出了「人工智慧日常倫理」(Everyday Ethics for Artificial Intelligence)手冊,其以明確、具體的指引做為系統設計師以及開發人員間之共同範本。作為可明確操作的規範,該手冊提供了問責制度、價值協同、可理解性等關注點,以促進社會對人工智慧的信任。 一、問責制度(Accountability) 由於人工智慧的決策將作為人們判斷的重要依據,在看似客觀的演算系統中,編寫演算法、定義失敗或成功的程式設計人員,將影響到人工智慧的演算結果。因此,系統的設計和開發團隊,應詳細記錄系統之設計與決策流程,確保設計、開發階段的責任歸屬,以及程序的可檢驗性。 二、價值協同(Value Alignment) 人工智慧在協助人們做出判斷時,應充分考量到事件的背景因素,其中包括經驗、記憶、文化規範等廣泛知識的借鑑。因此系統設計和開發人員,應協同應用領域之價值體系與經驗,並確保演算時對於跨領域的文化規範與價值觀之敏感性。同時,設計師和開發人員應使人工智慧系統得以「了解並認知」用戶的價值觀,使演算系統與使用者之行為準則相符。 三、可理解性(Explainability) 人工智慧系統的設計,應盡可能地讓人們理解,甚至檢測、審視它決策的過程。隨著人工智慧應用範圍的擴大,其演算決策的過程必須以人們得以理解的方式解釋。此係讓用戶與人工智慧系統交互了解,並針對人工智慧結論或建議,進而有所反饋的重要關鍵;並使用戶面對高度敏感決策時,得以據之檢視系統之背景數據、演算邏輯、推理及建議等。 該手冊提醒,倫理考量應在人工智慧設計之初嵌入,以最小化演算的歧視,並使決策過程透明,使用戶始終能意識到他們正在與人工智慧進行互動。而作為人工智慧系統設計人員和開發團隊,應視為影響數百萬人甚至社會生態的核心角色,應負有義務設計以人為本,並與社會價值觀和道德觀一致的智慧系統。