英國資訊委員會(ICO):企業應用巨量資料技術時可能得以合法權益為由處理個人資料
英國資訊委員會(Information Commissioner’s Office, 以下簡稱ICO)最近對於2014年「巨量資料與個資隱私保護報告」(Big Data and Data Protection)進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提,才得以進行巨量資料統計分析技術應用;且未充分認知當資料控制者(企業或組織)具合法權益(legitimate interest)時,可能得以處理個人資料的可能。意者並進一步建議當資料控制者(企業或組織)符合合法權益時,應可將個人資料用於新用途,強調這種依據合法權益所進行之資料處理,應著重於該資料控制者(企業或組織)對於個人資料的責任(accountability),而非各別取得資料當事人的同意。
對此,ICO回覆,認為巨量資料統計分析技術的應用,應在資料控制者(企業或組織)的合法權益、與資料當事人的權利、自由與合法權益間,取得平衡。依據歐盟資料保護指令(Data Protection Directive)與英國資料保護法(Data Protection Act)的規定,資料控制者(企業或組織)得於具法定依據時,處理個人資料,例如取得個資當事人的同意處理其個人資料,或資料控制者(企業或組織)具法定義務處理個人資料(例如法院命令)。除此之外,企業或組織還可以主張於其對於個人資料具合法權益(legitimate interest),主張進一步處理個人資料(新用途),除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗(unduly prejudice)的損害。ICO亦同意,資料的應用應著重監督資料控制者(企業或組織)與加強其責任(accountability)。
ICO除再度闡明在「巨量資料與個資隱私保護報告」,資料控制者(企業或組織)必須公平且通透(transparent)地處理個人資料,對於當資料控制者(企業或組織)發現個人資料的新用途時,亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。
ICO建議,資料控制者(企業或組織)應當先行檢視資料當事人是否確實同意其個人資料的處理,或該資料控制者具處理個人資料之其法定依據。再者,如果不具上述二者之一,資料控制者(企業或組織)若需將使用個人資料於新用途,則必須另行取得資料當事人的同意,始得為之。此時,必須同時評估為了新用途所為之個人資料處理,是否與資料蒐集之特定目的相容(compatible)。
至於,判斷新用途是否與個人資料蒐集與處理之特定目的相容,部分取決於個人資料處理是否公平(fair)。這意味著資料控制者(企業或組織)必須對於為新用途所為之個資處理,提出對於資料當事人隱私影響之評估,以及該個資的使用與處理,是否仍合於資料當事人的合理期待。
本文為「經濟部產業技術司科技專案成果」
近期幾家大信用卡公司遭駭客入侵,使得消費者受到了越來越大的身份被盜用的威脅。對此,能使購物更加安全的技術,特別是生物識別技術,包括電影中常見到的虹膜掃描,以及相對普及的指紋,聲音,臉部特徵識別等,越來越引發了人們的興趣。 目前,美國第二大零售連鎖店 Albertson 已經和其他數百個零售商一起加入了生物識別付款的試點行列。該公司發言人表示,新付款方式則大大加速了結帳的速度;另外也可以自動識別是否賣菸酒給未成年人。 不過生物識別技術的根本的缺陷在於隱私問題,因?這項技術意味著對個人資訊的集中儲存。而這個系統必然會成?駭客和其他居心不良者的「蜜罐」,一旦這個儲存系統被攻破,並將受害者的生物資訊惡意更改,受害者將面臨身份被終極盜用的噩夢。
英國金融主管機關針對銀行資訊安全問題處以重罰英國金融監理機關,針對RBS集團旗下之三間銀行2012年所發生的資訊安全問題,共處以五千六百萬英鎊的罰款。 RBS、NayWest以及Ulstet的客戶於2012年6月,因為銀行執行的軟體更新發生技術上問題,在使用服務(包含線上服務)時,遇到存款結餘及付款執行的正確性問題。 針對此項資訊上的問題,英國金融行為監管局(FAC)處以四千二百萬英鎊的罰款;另一機關,英國審慎管理局(PRA)亦罕見地再以違反「金融機構應以適當風險管理系統以及合理之注意義務,有效管控其服務」規定之理由,另對該銀行處以一千四百萬的罰款。這是首次2個主管機關對於銀行未能有效辨識及管理其已暴露之資訊風險共同處罰之案例。 PRA指出,資訊風險管理系統適當的發揮功能以及控制,是一個公司健全不可或缺的部份,同時對於英國金融體系的穩定也特別重要。 FCA亦試圖開始評估銀行對於他們所曝光的資訊風險的管理程度,以及銀行的管理階層如何去掌握自己銀行,因為技術錯誤所造成的影響程度。 RBS聲明公司已經在主營運系統外建置了鏡像系統,可以繼續處理「主要客戶服務」的顧客交易;同時也可以修復主營運系統。
簡析日本電子帳簿等保存制度與電子資料真實性之確保簡析日本電子帳簿等保存制度與電子資料真實性之確保 資訊工業策進會科技法律研究所 2024年03月29日 日本一般社團法人數位信任協議會於2024年3月15日以數位資料真實性確保的重要性及證明其真實性的時戳技術為題,舉行JDTF電子帳簿保存法解說研討會。研討會中由國稅廳課稅總括課解說電子帳簿保存法上與資料真實性相關的利用者需留意的要點,以及時戳技術的利用意義,並舉出具體的利用者事例作為介紹。 壹、事件摘要 日本電子帳簿等保存制度係指,稅法上等有保存必要的「帳簿」或是「收據、請求書等與國稅相關的文件」,非以紙本方式,而是以電子資料的形式保存的制度,此制度被區分為電子帳簿等保存、掃描保存及電子商業交易資料保存等3種制度[1]。 貳、重點說明 日本電子帳簿保存法於2022年的修法中,廢除電子帳簿等保存制度以及掃描保存制度的承認制度等[2],其中尤其值得關注的是電子商業交易的電子保存義務化。意即,自2022年起個人事業者或法人需要以符合特定要件的方式保存該電子商業交易資料。惟由於日本過往對於所接收的電子商業交易資料均以書面原本的形式進行保存,因此2022年的電子帳簿保存法修正案,雖將所接收的電子商業交易資料以電子資料的形式進行保存作為原則,但是由於許多公司尚無法應對電子資料的保存要求,故日本將2022年1月1日至2023年12月31日的2年間,作為電子商業交易資料保存的宥恕期間,在宥恕期間內無法滿足電子商業交易資料且有正當理由的公司,仍然可以將電子商業交易資料以書面的形式保存,並在稅務調查時將所保存的資料以書面形式提交給稅務機關[3]。日本電子帳簿保存法中所指之宥恕期間,係指自2022年起至2023年12月31日間,無法將電子商業交易資料以電子資料形式進行保存的企業,在符合特定之條件下,使其得繼續維持書面資料保存的期間。須留意宥恕期間僅有2年,公司或法人須於宥恕期間的2年內建立可以符合電子資料保存要件的環境整備。以下就2024年實施的日本電子帳簿3種制度進行說明。 一、電子帳簿等保存制度 對於自身最初透過電腦等製作的帳簿如會計軟體製作的入出帳等,或是與國稅相關的資料如透過電腦製作的請求書、決算書等,在符合具備系統相關資料如系統概要書或操作說明書、在保存場所具備電腦、程式、螢幕、印表機及其操作指南,並將記錄事項以畫面或書面的形式呈現,使其可以快速輸出,以及可以應對稅務職員基於質問檢查權的電子資料下載要求等的要件下,可以不以書面列印紙本的方式,而係以數位資料的形式保存的制度[4][5]。 二、掃描保存制度 決算相關資料以外的國稅相關資料,在符合輸入期間的限制、時戳的付與、版本管理、具備可讀取的裝置、可以快速輸出、具備系統概要書等,以及確保檢索機能等的要件下,能以手機或掃描機器掃描的電子資料形式取代該資料書面原本進行保存[6][7]。 三、電子商業交易資料保存制度 被課與所得稅申告或法人稅等帳簿、資料保存義務者,在處理訂單、契約書、收據、報價單、請求書等或與其相當的電子資料時,在確保真實性及可視性的要件下,需要保存該電子商業交易資料[8]。 電子商業交易資料保存制度中的確保真實性要件包含接收已付與時戳的資料、對所保存的資料付與時戳、不論是資料的接收還是保存,皆已可留存訂正刪除履歷或無法進行訂正刪除的系統進行,以及制定關於防止不正當訂正刪除的事務處理規則並依循。可視性要件則包含具備監控、操作說明書等資料以及具備充足的資料檢索要件[9]。 日本電子帳簿等保存制度雖區分為3種不同的制度,惟其中對個人事業者及法人具有強制效力的僅有電子商業交易資料保存制度,電子帳簿等保存制度及掃瞄保存制度則係設置誘因機制促使業者遵循,如電子帳簿等保存制度中創設其所保存的帳簿如符合訂正刪除履歷留存等「優良電子帳簿」的要件,則可減輕過少申告加算稅的稅金[10];掃描保存制度則讓企業可以透過手機或掃描機器將資料原本掃描成電子資料並以之取代書面紙本進行保存,減少企業保存書面資料的空間成本,同時亦可減低資料檢索時所需花費的時間與人力成本。 參、事件評析 日本電子帳簿保存法中對個人事業者與法人在保存電子商業交易資料時,課以確保電子資料真實性以及可視性的義務,並透過時戳技術的利用,確保個人事業者與法人可以達成電子資料真實性以及可視性的要求。 對於電子資料真實性的管理,我國資訊工業策進會科技法律研究所創意智財中心於2021年發布重要數位資料治理暨管理制度規範(下稱EDGS),協助企業管理內部重要數位資料。EDGS中亦肯認應保存電子資料的訂正刪除歷程,並以時戳技術及存證技術確保資料未經變更、刪除及竄改之真實性。我國企業如欲對自身的數位資料進行管理及存證等,可參考資訊工業策進會科技法律研究所創意智財中心所發布之EDGS建立資料管理流程,以降低數位資料管理相關風險。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]国税庁,〈電子帳簿保存法の内容が改正されました〜 令和5年度税制改正による電子帳簿等保存制度の見直しの概要 〜〉,頁1(2023年),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0023003-082.pdf(最後閱覽日:2024/03/26)。 [2]〈税務手続の電子化に関する資料〉,財務省,https://www.mof.go.jp/tax_policy/summary/tins/i04.htm(最後閱覽日:2024/03/26)。 [3]国税庁,〈電子帳簿保存法一問一答【電子取引関係】〉,頁35(2022),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0021006-031_03.pdf(最後閱覽日:2024/03/26)。 [4]同註1。 [5]国税庁,〈はじめませんか、帳簿・書類のデータ保存(電子帳簿等保存)〉,頁1-2(2023),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/tokusetsu/pdf/0023006-085_02.pdf(最後閱覽日:2024/03/26)。 [6]同註1。 [7]国税庁,〈はじめませんか、書類のスキャナ保存〉,頁1-2(2023),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/tokusetsu/pdf/0023006-085_03.pdf(最後閱覽日:2024/03/26)。 [8]同註1。 [9]同註3,頁8。 [10]同註5,頁2。
Google與Android 簽訂秘密協議,被控非法壟斷行動搜尋市場美國消費者權益律師事務所Hagens Berman於2014年5月1日向美國加州北區聯邦地方法院(U.S. District Court for the Northern District of California)針對Google提出一項全國性反壟斷的集體訴訟,控告Google運用市場影響力,要求Android行動裝置製造商祕密簽署「行動應用程式散布協議」(Mobile Application Distribution Agreements,以下簡稱MADA),使競爭者難以進入Android手機,阻礙市場競爭,非法壟斷美國網路行動搜尋市場。 MADA原屬於機密文件,因Google與甲骨文(Oracle)的專利訴訟而曝光。該協議規定所有Android行動裝置中必須內建其應用程式,例如Google Search、YouTube、Google Maps、Gmail、Google Play與Google Talk等APP,並把Google Search設為預設搜尋引擎。原告律師Steve Berman表示,「很明顯地,Google能獨占行動搜索市場並非透過良好的搜尋引擎,而是藉由不正當的競爭手段操控市場實現的。並以此抬高Samsung Electronics和HTC手機裝置價格,要求應判賠償金給權益受損的消費者。行動裝置製造商倘若能選擇其他廠商的服務,將能改善行動搜索品質。」 Google則聲明:「任何人都可以在沒有Google的情況下使用Android系統,相對的,也可以在沒有Android系統的情況下使用Google,兩者是可獨立使用的服務。自從Android推出以來,智慧型手機市場競爭愈來愈激烈,讓消費者有更多平價的選擇。」雖然Google並未阻止製造商在Android手機上安裝第三方應用程式,但這份協議明顯已經抑制市場競爭。