資通訊安全下之訊息分享與隱私權保障—簡析美國2015年網路保護法

　　自2012年開始，荷蘭科學研究組織(Netherlands Organisation for Scientific Research, NWO)會擇定幾個重點領域，該重點領域係包含：農業食品，園藝及繁殖材料，水 ( Agri & Food, Horticulture & Propagation Materials, Water)、生物經濟，化學，跨部門的信息和通信技術方案(Biobased Economy, Chemistry, Cross-sector theme ICT)、創意產業(Creative Industry)、能源產業(Energy)、生命科學與健康(Life Sciences and Health)…等等領域，並由其中擇定有發展前景的計畫(top program)，以公私夥伴關係推動發展，其每年投注於該重點領域研究金額大約245,000,000歐元，而投注於公私夥伴關係計畫中的金額更高達100,000,000歐元。公部門與產業間以及研究者間權利義務關係依合作強度以及產業投入的資金而有所不同。荷蘭此類公私夥伴關係依發動者不同而分三種不同類型： 1.科學家發動的公私夥伴關係(Science Takes Initiative) 2.共同發動的公私夥伴關係(Joint Initiative) 3.由產界發動之公私夥伴關係(Business Takes Initiative) 　　NWO在評估是否給予補助時，可以採取面談或現場參觀評估之方式，而NWO亦得附帶條件要求補助所購買的特殊儀器設備提供他人使用。而NWO補助所生的研究成果應盡可能公開並有利於未來的研究使用，例外情形則可延後公開。 　　又研究成果原則上係歸屬受補助者，但NWO在於特定研究補助之目的有此必要，得於事前與受補助者簽訂書面協定取得研究成果之權利。又若該研究計畫是在國外執行且完全由該國之學術機構負責，在該國的專利法並不損及荷蘭方之當事人依荷蘭專利法可享的權利下，則該國之學術機構就研究成果之開發及利用得依該國專利法之規定。國際合作的公私夥伴間彼此的權利義務會因個案約定而有不同。

　　歐盟個資保護委員會（EDPB）今（2021）年9月27日，就與南韓個人資料保護法（Personal Information Protection Act, PIPA）之適足性認定草案發表意見，認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出，在歐盟執委會做出決定之前，某些部分仍需要釐清。釐清的部分包含： 　　今年6月歐盟執委會公布並通過的適足性認定草案中，該草案之可執行性與有效性不應僅拘束南韓個資保護機構，也應對司法機構具有效力。除此之外，EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑；又南韓相關法令對「同意」之撤銷（或撤回）事由有所限定，應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 　　至於在資料進一步移轉（onward transfers）方面，EDPB 認為即便資料主體知悉並同意其個資傳輸，仍應告知其資料是否會移轉到第三國之相關風險；以及若個資主體的同意無法符合GDPR 對有效同意之定義時（例如雙方地位不對等時，該同意即非有效），該個資不會從南韓之資料控管者傳輸至第三國；在對此議題南韓未具體修訂相關法令時，與國安相關的個資若進一步移轉，是否會受到憲法框架（如比例原則）和PIPA 中個資保護原則的充分保障？ 　　而在行政部門存取傳輸到南韓的個資方面，許多議題也需要釐清並引起關注。如與國安方面相關的個資處理，係受PIPA 抑或其他更為限縮的法令限制？又電信業者自願向國安部門揭露使用者個資時，必須同時通知相關的個資主體；EDPB 並希望歐盟執委會釐清，若歐洲經濟區（EEA）內的個人向南韓個資保護機構或司法機構提出救濟時，相關的救濟程序是否實質有效（例如舉證責任的規定為何）？ 　　於新聞稿中，EDPB 主席 Andrea Jelinek 表示：「歐盟對此適足性認定相當重視，因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同，然仍建議歐盟執委會密切關注適足性認定的各方發展。」

　　案件緣於Judith Vidal-Hall等三人對Google提告，主張Google規避蘋果公司Safari瀏覽器預設之隱私設定，在未取得用戶同意前，逕行使用cookies追蹤其網路活動，蒐集瀏覽器產生的資訊（the Browser-Generated Information, or ‘BGI’），並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知，而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決，並進入審理程序（裁判字號：[2015] EWCA Civ 311）。 　　本案主要爭點包含，究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料？濫用隱私資訊是否構成侵權行為？以及在沒有金錢損失（pecuniary loss）的情形下，是否仍符合英國資料保護法（Data Protection Act 1998）第13條所指損害（damage）的定義，進而得請求損害賠償？ 　　法院於判決認定，英國資料保護法旨在實現「歐盟個人資料保護指令」（Data Protection Directive，95/46/EC）保護隱私權的規定，而非經濟上之權利，用以確保資料處理系統（data-processing systems）尊重並保護個人的基本權利及自由。並進一步說明，因隱私權的侵害往往造成精神損害，而非財產損害，從歐洲人權公約（European Convention of Human Rights）第八條之規定觀之，為求對於隱私權的保障，允許非財產權利的回復；倘若限縮對於損害（damage）的解釋，將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。 　　法院強調，該判決並未創造新的訴因（cause of action），而是對於已經存在的訴因給予正確的法律定位。從而，因資料控制者（data controller）的不法侵害行為的任何損害，都可以依據英國資料保護法第13條第2項請求損害賠償。 　　本案原告律師表示：「這是一則具有里程碑意義的判決。」、「這開啟了一扇門，讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定：「這是一場以弱勝強（David and Goliath）的勝利。」 　　註：Google 在2012年，曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資，與美國聯邦貿易委員會（United States Federal Trade Commission）以2,250萬美元進行和解。

美國平等就業機會委員會（Equal Employment Opportunity Commission, EEOC）於2023年5月18日發布「根據 1964 年《民權法》第七章評估就業篩選程序中使用軟體、演算法和AI之不利影響」（Assessing Adverse Impact in Software, Algorithms, and Artificial Intelligence Used in Employment Selection Procedures Under Title VII of the Civil Rights Act of 1964）之技術輔助文件（下簡稱「技術輔助文件」），以防止雇主使用自動化系統（automated systems）對求職者及員工做出歧視決定。 該技術輔助文件為EEOC於2021年推動「AI與演算法公平倡議」（Artificial Intelligence and Algorithmic Fairness Initiative）計畫的成果之一，旨在確保招募或其他就業決策軟體符合民權法要求，並根據EEOC 1978年公布之「受僱人篩選程序統一指引」（Uniform Guidelines on Employee Selection Procedures, UGESP），說明雇主將自動化系統納入就業決策所應注意事項。 當雇主對求職者與員工做出是否僱用、晉升、終止僱傭，或採取類似行動之決定，是透過演算法決策工具（algorithmic decision-making tool），對特定種族、膚色、宗教、性別、國籍或特定特徵組合（如亞洲女性），做出篩選並產生不利影響時，除非雇主能證明該決策與職位工作內容有關並符合業務需求，且無其他替代方案，否則此決策將違反《民權法》第七章規定。 針對如何評估不利影響，雇主得依UGESP「五分之四法則」（four-fifths rule），初步判斷演算法決策工具是否對某些族群產生顯著較低的篩選率。惟EEOC提醒五分之四法則推導出之篩選率差異較高時，仍有可能導致不利影響，雇主應依個案考量，使用實務常見的「統計顯著性」（statistical significance）等方法進一步判斷。 其次，當演算法決策工具係由外部供應商所開發，或由雇主授權管理人管理時，雇主不得以信賴供應商或管理人陳述為由規避《民權法》第七章，其仍應為供應商開發與管理人管理演算法決策工具所產生之歧視結果負責。 最後，EEOC鼓勵雇主應對演算法決策工具進行持續性自我評估，若發現該工具將產生不利影響，雇主得採取措施以減少不利影響或選擇不同工具，以避免違反《民權法》第七章。