英國資訊委員會(ICO):企業應用巨量資料技術時可能得以合法權益為由處理個人資料
英國資訊委員會(Information Commissioner’s Office, 以下簡稱ICO)最近對於2014年「巨量資料與個資隱私保護報告」(Big Data and Data Protection)進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提,才得以進行巨量資料統計分析技術應用;且未充分認知當資料控制者(企業或組織)具合法權益(legitimate interest)時,可能得以處理個人資料的可能。意者並進一步建議當資料控制者(企業或組織)符合合法權益時,應可將個人資料用於新用途,強調這種依據合法權益所進行之資料處理,應著重於該資料控制者(企業或組織)對於個人資料的責任(accountability),而非各別取得資料當事人的同意。
對此,ICO回覆,認為巨量資料統計分析技術的應用,應在資料控制者(企業或組織)的合法權益、與資料當事人的權利、自由與合法權益間,取得平衡。依據歐盟資料保護指令(Data Protection Directive)與英國資料保護法(Data Protection Act)的規定,資料控制者(企業或組織)得於具法定依據時,處理個人資料,例如取得個資當事人的同意處理其個人資料,或資料控制者(企業或組織)具法定義務處理個人資料(例如法院命令)。除此之外,企業或組織還可以主張於其對於個人資料具合法權益(legitimate interest),主張進一步處理個人資料(新用途),除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗(unduly prejudice)的損害。ICO亦同意,資料的應用應著重監督資料控制者(企業或組織)與加強其責任(accountability)。
ICO除再度闡明在「巨量資料與個資隱私保護報告」,資料控制者(企業或組織)必須公平且通透(transparent)地處理個人資料,對於當資料控制者(企業或組織)發現個人資料的新用途時,亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。
ICO建議,資料控制者(企業或組織)應當先行檢視資料當事人是否確實同意其個人資料的處理,或該資料控制者具處理個人資料之其法定依據。再者,如果不具上述二者之一,資料控制者(企業或組織)若需將使用個人資料於新用途,則必須另行取得資料當事人的同意,始得為之。此時,必須同時評估為了新用途所為之個人資料處理,是否與資料蒐集之特定目的相容(compatible)。
至於,判斷新用途是否與個人資料蒐集與處理之特定目的相容,部分取決於個人資料處理是否公平(fair)。這意味著資料控制者(企業或組織)必須對於為新用途所為之個資處理,提出對於資料當事人隱私影響之評估,以及該個資的使用與處理,是否仍合於資料當事人的合理期待。
本文為「經濟部產業技術司科技專案成果」
美國眾議院於2015年4月22日以307票同意,116票反對,通過網路保護法(The Protecting Cyber Networks Act)。本法之立法目的在於移除法規障礙,美國公司藉此將得以與其他公機關或私人分享資安威脅的相關資訊,以防範駭客攻擊。 本法之重點內容主要係為對於網路威脅指標與防禦辦法之分享。依網路保護法第102條與第104條之規定,分享的客體包括「網路威脅指標」(cyber threat indicator)與「防禦辦法」(defensive measures),分享之對象則分為非聯邦機構(non-Federal entities)以及(國防部或國安局之外的)適當之聯邦機構(appropriate Federal entities)。本法第102條規定,在符合機密資訊、情報來源與方法、以及隱私及公民自由之保護下,國家情報總監(the Director of National Intelligence, DNI)經與其他適當聯邦機構諮商後,應展開並頒布相關程序,以促進下列事項之進行:「(一)與相關非聯邦機構中具有適當安全權限之代表,及時分享(timely sharing)聯邦政府所有之機密網路威脅指標;(二)與相關非聯邦機構及時分享聯邦政府所有,且可能被解密並以非機密等級分享之網路威脅指標;(三)於適當情況下與非聯邦機構分享聯邦政府所有,且與該些機構即將或正在發生之網路安全威脅(cybersecurity threat)有關之資訊,以防止或降低該網路安全威脅所造成之負面影響。」 以及,對於隱私權與公民自由之保障亦非常重要,就隱私權與公民自由之保障,網路保護法主要在第103條第4項設有相關規定。對於資訊安全,該項第1款規定,依本法第103條之規定進行資訊系統之監控、執行防禦辦法、或提供或取得網路威脅指標或防禦辦法之非聯邦機構,應實施適當之安全管控,以保護該些網路威脅指標或防禦辦法免遭未經授權之近用或取得。同項第2款則更進一步規定了特定個人資料在一定條件下應被移除。該款規定,依本法進行網路威脅指標分享的非聯邦機構,於分享前應合理地對該網路威脅指標進行復核,以評估該指標是否含有任何令該機構合理相信(reasonably believes)與網路安全威脅非直接相關,且於分享時(at the time of sharing)屬於特定個人之個人資訊或指向特定個人之資訊,並移除該等資訊。
創新金融服務:ZOPA具社會經濟學基礎的ZOPA在2005年一出現,即被經濟學人報和集團研究指出,其將是砍掉傳統銀行以及改觀自古以來民眾對貨幣概念的驚人創新金融服務。這種抽離中間金融機構的消費借貸平台,使得交易雙方能取得更滿足交易條件。 相較傳統的借貸,這樣較高收益的交易也同樣帶來較高的風險。不過,ZOPA透過包括信用評等分類、將同一出借款項出借給多人等方式,期使風險降到最低。不過,出借人也要特別注意相關法律議題。依據英國1974年之消費者信用貸款法案(Consumer Credit Act),任何在從事商業交易行為中出借金錢之人,且非偶而為之者,應取得公平貿易部(Office of Fair Trading/ OFT)核發之消費者信用貸款執照(Consumer Credit License),否則為觸犯刑法,會被處以刑罰或罰鍰。目前,在ZOPA可借入之金額已超過15,000英鎊,未來勢必繼續發展,且不排除跨入現有銀行業務範圍。
英國「數位紅利」頻譜管理政策簡介 歐盟通過新電視指令歐盟27個會員國於5月24日在布魯塞爾通過新的電視指令(neue Fernsehrichtlinie),內容涉及「在線或離線電視服務(Fernsehen on- und offline)」、「廣告規範」及「來源國原則(Herkunftslandsprinzip:指跨國服務或商品依據來源國之標準處理。)」。新的電視指令乃源自於有18年歷史之電視指令,並重新命名為「影音媒體服務指令(Richtlinie über Audiovisuelle Mediendienste)」,指令內容包括線上直播節目、近似隨選視訊(Near-Video-on-Demand)、非線性傳輸節目(nicht-linear verbreitetes Programm)。 約一年半前歐盟就電視指令之規範,如何種經由網路傳輸之內容適用電視指令、廣告規範及來源國原則等議題加以討論;不具商業性之私人網站內容,如旅遊紀錄片,則不在本指令適用範圍。歐洲媒體法研究機構負責人Alexander Scheuer指出,類似YouTube網站,因其本身提供服務方式不涉及編輯性責任(redaktionelle Verantowrtung),故亦不在本指令適用範圍內;惟如YouTube將電視頻道引進其網站,則可能有適用本指令之餘地。Scheuer另外指出如何界定非商業性之難題,例如在個人儲存短片的網頁上打廣告,是否具商業性,值得討論。 指令中最具爭議的部份,除新聞時事及兒童節目仍嚴格禁止置入性行銷(Product Placement)外,新電視指令有條件放寬業者經營置入性行銷,前提是節目播出前須向觀眾為置入性行銷之揭露,此項放寬將使正常節目進行因廣告而中斷。另外關於禁止速食廣告於兒童節目中播出之建議則未被採納。 值得關注尚有適用來源國原則下對特定網站所發的禁制令問題,原則上對節目提供者只適用其來源國之法律,但指令第2a條明訂若有緊急情況(如內容違反青少年保護規定),可以對該特定網站發出制禁令,以防止規避會員國較嚴格之相關規定;而是否有緊急情況須提交委員會裁決。 新電視指令通過後引起多方關注,未來適用上仍存有挑戰空間。