英國資訊委員會(ICO):企業應用巨量資料技術時可能得以合法權益為由處理個人資料
英國資訊委員會(Information Commissioner’s Office, 以下簡稱ICO)最近對於2014年「巨量資料與個資隱私保護報告」(Big Data and Data Protection)進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提,才得以進行巨量資料統計分析技術應用;且未充分認知當資料控制者(企業或組織)具合法權益(legitimate interest)時,可能得以處理個人資料的可能。意者並進一步建議當資料控制者(企業或組織)符合合法權益時,應可將個人資料用於新用途,強調這種依據合法權益所進行之資料處理,應著重於該資料控制者(企業或組織)對於個人資料的責任(accountability),而非各別取得資料當事人的同意。
對此,ICO回覆,認為巨量資料統計分析技術的應用,應在資料控制者(企業或組織)的合法權益、與資料當事人的權利、自由與合法權益間,取得平衡。依據歐盟資料保護指令(Data Protection Directive)與英國資料保護法(Data Protection Act)的規定,資料控制者(企業或組織)得於具法定依據時,處理個人資料,例如取得個資當事人的同意處理其個人資料,或資料控制者(企業或組織)具法定義務處理個人資料(例如法院命令)。除此之外,企業或組織還可以主張於其對於個人資料具合法權益(legitimate interest),主張進一步處理個人資料(新用途),除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗(unduly prejudice)的損害。ICO亦同意,資料的應用應著重監督資料控制者(企業或組織)與加強其責任(accountability)。
ICO除再度闡明在「巨量資料與個資隱私保護報告」,資料控制者(企業或組織)必須公平且通透(transparent)地處理個人資料,對於當資料控制者(企業或組織)發現個人資料的新用途時,亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。
ICO建議,資料控制者(企業或組織)應當先行檢視資料當事人是否確實同意其個人資料的處理,或該資料控制者具處理個人資料之其法定依據。再者,如果不具上述二者之一,資料控制者(企業或組織)若需將使用個人資料於新用途,則必須另行取得資料當事人的同意,始得為之。此時,必須同時評估為了新用途所為之個人資料處理,是否與資料蒐集之特定目的相容(compatible)。
至於,判斷新用途是否與個人資料蒐集與處理之特定目的相容,部分取決於個人資料處理是否公平(fair)。這意味著資料控制者(企業或組織)必須對於為新用途所為之個資處理,提出對於資料當事人隱私影響之評估,以及該個資的使用與處理,是否仍合於資料當事人的合理期待。
本文為「經濟部產業技術司科技專案成果」
根據2005年一項統計調查指出,員工超過一千人的公司中,36.1%對員工從公司內部外寄的電子郵件加以監視,而同時亦有26.5%的公司正準備對員工由公司內部發送的電子郵件加以監視。若是以員工超過二萬人的公司來看,更有高達40%的公司已然利用過濾科技對員工外寄的電子郵件加以監視,而正準備利用相關科技對員工外寄的電子郵件加以監視的公司亦高達32%。 然而根據歐洲人權法院近日所做出的判決,不論公司是否訂有清楚的員工使用政策,一旦公司並未告知員工其在公司內的通訊或電子郵件往來可能會受到公司的監視,則該公司將可能違反歐洲人權公約(European Convention on Human Rights)。 該案例乃是由於一位任職於英國南威爾斯之卡馬森學院(Carmarthenshire College)的員工—Lynette Copland發現自己的網路使用情形及電話均遭到工作單位之監視,憤而向歐洲法院提出告訴。由於卡馬森學院並未提醒員工在工作場合之電子郵件、電話或其他通訊可能遭到監視,因此Lynette Copland之律師主張當事人在工作場合之電話、電子郵件、網路使用等其他通訊都應具有合理的隱私權期待,而受到歐洲人權公約第8條的保障。歐洲法院判決Lynette Copland可獲得約5910美元之損害賠償以及1,1820美元之訴訟費用。
資通安全法律案例宣導彙編 第2輯 Google新搜尋服務引發著作權侵權爭議網路搜尋引擎的巨人 Google ,近來有一項計畫,即對圖書館中的書籍做掃瞄,然後讓使用者透過網際網路搜尋書籍的內容。由於 Google 計畫掃瞄供搜尋的書籍中,包括許多目前仍受到著作權保護的著作,因此 Google 此舉,是否造成對書籍著作權的侵害,便引發了相當的爭議。 在近日的一個討論會中,學者、作者與出版商群聚一堂,就 Google 此一計畫的合法性進行討論,並就是否對 Google 進一步提出訴訟做討論。 Google 宣稱,此一計畫是人類知識發展的一大進步,把人類的觀念與想法,做有系統的歸類整理,並讓大眾更容易接近與使用,對於人類知識的傳播與進步,有重大貢獻。 然而,作者與出版商方面,則認為 Google 此舉侵害的作者與出版商的著作權。就此,作者與出版商已做出回應。先前,美國出版商協會 (The Association of American Publishers, AAP) 已於 10 月 19 日對 Google 提起訴訟,希望經由法律的判決,認定 Google 的作法侵害著作權。從法律上來看, Google 此一計畫是否侵害著作權,確有爭議之處。從美國作者與出版商激烈的反應來看,將來有可能還會有其他的訴訟,甚至集體訴訟 (Class Action) 的產生,其後續效應,值得觀察。
歐盟食品管理局擬建立風險評估外部專家資料庫近年來,由於(European Food Safety Authority, 簡稱EFSA)對GM產品之管理並未能進行足夠之科學分析,同時,亦過份仰賴業者所提供之數據資料等原因,而造成歐盟某些會員國家對EFSA所作出之評估報告於公正及客觀性方面產生質疑;甚至,歐洲食品業者亦對目前EFSA是否將會因為專家人力不足而導致整體風險評估能力下降之問題表示關切。一位EFSA官員指出:我們需要更多科學專家來協助處理與風險評估有關之事務。 其次,隨著各界因對GMO產品不當之批判與歐洲整體食品安全評估工作量增加等因素,EFSA於日前決定,欲透過建立一外部專家資料庫(External Expert Database),來協助其風險評估工作之執行並促進評估專家招募過程之透明化,以達成免除外界對於歐洲食品安全評估過程疑慮之目的。不過,這些將提供協助之專家,並不會因此而真正成為EFSA科學評估小組成員(其將被視為是由人民主動對該小組執行評估工作提供協助)。除EFSA擬徵求歐盟境內專家學者外,未來其亦將邀請歐盟以外其他國家並在該領域為重要研究先驅之專家提供協助,以增加風險評估之品質與客觀性。 再者,綠色和平組織歐洲發言人Mark對於EFSA現階段執行之工作狀況也表示意見並指出:目前EFSA是在一種配備不良(ill-equipped)之狀態下,來勉強執行其所執掌之事務;不過,更讓人感到憂心者,則是由EFSA科學評估小組所做出科學性之意見,於不同會員國家間或於歐盟以外其他國家其是否仍將會被完全採納之問題。有鑒於此,相關人士認為:應再次強化EFSA於風險評估方面之能力! 最後,一位非政府機組織專家也提醒:僅單純地透過專家庫之建立,其實,並不能圓滿地解決當前EFSA於決策機制中所遭遇之困難;而只有當EFSA在未來欲邀請外部專家提供協助與支援時,一併將資金及相關政策配套措施納入考量後,才是此問題真正解決之道。