2016年生物支付技術將可能取代傳統支付型態

  根據美國公共電視台在2016年1月6日的新聞,指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵,諸如:指紋、虹膜等進行支付。採用生物支付技術,未來將無須使用信用卡或行動裝置,僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利,但同時,生物支付的安全性卻也不無疑義。

  即便生物辨識屬於高層級的資訊安全保護機制,但水能載舟,亦能覆舟。生物辨識利用生物不可變之特性進行身分識別,涉及高度個人隱私,為妥善保護個人資訊安全,需訂立生物辨識相關規範加以管制,否則將衍生許多法律問題。

  例如:在2015年6月,美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者,也從未同意其生物辨識資訊被該公司蒐集,但其面紋(Face print)卻被上傳至該公司網站,並標註姓名,儲存在自動針對相片標記臉部辨識系統之資料庫。

依據BIPA針對生物辨識定義及蒐集規範:

1.第10條:
生物辨識之態樣,包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描,但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。
2.第15條(a):
規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱,並應提供生物辨識資訊之保管及銷毀日期及相關資訊。
3.第15條(b)(1):
蒐集生物辨識資訊應告知當事人。

  Shutterfly公司提出要求法院不受理之抗辯,主張BIPA規定之臉部外觀,其文意解釋應為物理上個人親自接受掃描所得之資訊,並非原告所主張以照片辨識之臉部外觀,但法院認為Shutterfly之主張並不合理,因此同意受理此案。

  觀察該案可發現,儘管生物辨識提高資訊安全之保護,但相關法規範解釋仍待實務完備。另一方面,生物特徵資訊極易被他人蒐集,因此,如何建置蒐集個人辨識資訊及完善相關措施,也是推行生物支付措施所需突破的關口。

相關連結
※ 2016年生物支付技術將可能取代傳統支付型態, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7139&no=64&tp=1 (最後瀏覽日:2026/07/06)
引註此篇文章
你可能還會想看
保險新品~開放原始碼保單

  由於開放原始碼的風氣盛行,使得許多 軟體業者 在使用開放原始碼軟體開發自家的軟體產品時,常不小心 逾越開放原始碼的授權範圍而陷身於 侵權的風險中。大抵一般比較常見的侵權情形,如企業開發專有軟體時, 利用單一或多樣以上的開放原始碼元件來建置,如交易工具或財產庫存管理應用程式等,而將這些程式流通於內部企業網路或是傳遞給外部客戶使用時,已構成”散佈”行為,是觸犯了開放原始碼 GPL ( General Public License ,通用公共許可 )授權 。   日前位於紐約的 開放原始碼風險管理公司( Open Source Risk Management , OSRM )結合 Lloyd's 保險業者 Kiln 及 Miller 保險經紀公司推出開放原始碼保單來承擔企業使用開放原始碼的風險,該保險單最高賠償金額為 1000 萬美元。平均而言,企業若是投保 100 萬美元的保單,每年大約必須支付 2 萬美元的保險費。

美國商務部國家電信和資訊管理局呼籲透過第三方評測提高AI系統透明度

2024年3月27日,美國商務部國家電信和資訊管理局(National Telecommunications and Information Administration, NTIA)發布「人工智慧問責政策報告」(AI Accountability Policy Report),該報告呼籲對人工智慧系統進行獨立評估(Independent Evaluations)或是第三方評測,期待藉此提高人工智慧系統的透明度。 人工智慧問責政策報告就如何對人工智慧系統進行第三方評測提出八項建議作法,分別如下: 1.人工智慧稽核指引:聯邦政府應為稽核人員制定適合的人工智慧稽核指引,該指引須包含評估標準與合適的稽核員證書。 2.改善資訊揭露:人工智慧系統雖然已經應用在許多領域,但其運作模式尚缺乏透明度。NTIA認為未來可以透過類似營養標籤(Nutrition Label)的方式,使人工智慧模型的架構、訓練資料、限制與偏差等重要資訊更加透明。 3.責任標準(Liability Standards):聯邦政府應盡快訂定相關責任歸屬標準,以解決現行制度下,人工智慧系統造成損害的法律責任問題。 4.增加第三方評測所需資源:聯邦政府應投入必要的資源,以滿足國家對人工智慧系統獨立評估的需求。相關必要資源如: (1)資助美國人工智慧安全研究所(U.S. Artificial Intelligence Safety Institute); (2)嚴格評估所需的運算資源與雲端基礎設施(Cloud Infrastructure); (3)提供獎金和研究資源,以鼓勵參與紅隊測試的個人或團隊; (4)培養第三方評測機構的專家人才。 5.開發及使用驗證工具:NTIA呼籲聯邦機關開發及使用可靠的評測工具,以評估人工智慧系統之使用情況,例如透明度工具(Transparency Tools)、認驗證工具(Verification and Validation Tools)等。 6.獨立評估:NTIA建議聯邦機關應針對高風險的人工智慧類別進行第三方評測與監管,特別是可能侵害權利或安全的模型,應在其發布或應用前進行評測。 7.提升聯邦機關風險管控能力:NTIA建議各機關應記錄人工智慧的不良事件、建立人工智慧系統稽核的登記冊,並根據需求提供評測、認證與文件紀錄。 8.契約:透過採購契約要求政府之供應商、承包商採用符合標準的人工智慧治理方式與實踐。 NTIA將持續與利害關係各方合作,以建立人工智慧風險的問責機制,並確保該問責報告之建議得以落實。

論複數決標之廠商競爭關係

論複數決標之廠商競爭關係 資訊工業策進會科技法律研究所 108年5月3日 壹、事件摘要   甲機關為共同供應契約採購的訂約機關,負責辦理某財物共同供應契約採購招標事宜。考量廠商供貨能力不同,甲機關將供貨區域區分「全國各公部門」及「特定縣市公部門」,由廠商依其供貨能力擇一型式投標,並在同一採購案之招標程序分為兩個期程辦理。該採購案投標須知重點說明如下: 一、第一期程:   本期程先由供貨予「全國各公部門」的廠商投標,廠商如選擇投標本期程,則不得參與第二期程。由於本採購案採最低標及複數決標,由最低價廠商得標,其餘廠商可選擇是否跟進該最低標併列得標,惟本期程可跟進之廠商有家數限制,依廠商報價由低到高排列,取前80%。 二、第二期程:   本期程待第一期程決標後,再由有意願供貨予「特定縣市公部門」的廠商參與,廠商至多可選擇五個縣市供貨。第一期程之決標品項及該品項的決標金額,為本期程的採購品項及決標金額,故參與本期程之廠商無庸提出報價,選擇欲跟進併列得標之品項即可。廠商如選擇參與本期程,則不得參與第一期程。本期程可跟進之廠商無家數限制。   A廠商及B廠商分別參與本採購案第一期程、第二期程之投標,甲機關審查彼等遞交之投標文件時,發現其上所載聯絡人、傳真、電話號碼相同,投標區域與品項亦有重複,似為同一廠商備標,遂請兩家廠商說明。A廠商及B廠商均表示,兩家廠商為多年合作夥伴,B廠商因廠址遷移致人手不足,而委請A廠商作為聯繫窗口,故記載相同的聯絡資訊。甲機關認為A、B廠商之說明,無法澄清為同一廠商備標疑慮,爰依政府採購法(以下簡稱採購法)第31條第2項第8款、第50條第1項第5款及本案投標須知規定,不決標予A、B廠商,且不予發還押標金。   A、B廠商不服,提起異議及申訴。是本案應探究者為,於同一採購案參與不同期程投標的相異廠商,彼等投標文件所載之聯絡人、傳真、電話號碼相同,甲機關是否可認定屬採購法第50條第1項第5款所訂「不同投標廠商間之投標文件內容有重大異常關聯者」?又,因本案係同一採購案區分兩期程投標,且投標須知規定(1)廠商僅得選擇一個期程投標;(2)第二期程的決標金額係依第一期程決標之結果;(3)未限制第二期程可跟進之廠商家數,則本案廠商無法釐清非屬同一廠商備標時,甲機關之處理是否會有不同? 貳、重點說明   行政院公共工程委員會(以下簡稱工程會)民國91年11月27日工程企字第09100516820號令[1]曾就前述採購法第50條第1項第5款所稱「重大異常關聯」,說明「機關辦理採購有下列情形之一者,得依政府採購法第五十條第一項第五款『不同投標廠商間之投標文件內容有重大異常關聯者』處理:……四、廠商地址、電話號碼、傳真機號碼、聯絡人或電子郵件網址相同者。五、其他顯係同一人或同一廠商所為之情形者。」故不同投標廠商間之投標文件倘有聯絡資訊相同,顯係同一人或同一廠商所為之情形,即構成投標文件內容有重大異常關聯,屬影響採購公正之違反法令行為。   本案A、B廠商之投標文件有聯絡人、傳真、電話號碼記載相同情形,且該等廠商未能合理說明其緣由,似已符合「重大異常關聯」要件。然採購申訴審議委員會指出本案無採購法第50條第1項第5款規定之適用,其理由為: 一、投標廠商間未有競爭情形存在時,無適用採購法第50條第1項第5款之餘。   採購法第50條第1項第5款規定「投標廠商有下列情形之一,經機關於開標前發現者,其所投之標應不予開標;於開標後發現者,應不決標予該廠商:……五、不同投標廠商間之投標文件內容有重大異常關聯者。」該條款係91年2月6日增訂,依立法院交通委員會審查會通過送院會二讀之條文對照表說明欄記載「第1項增訂第5款,以防止假性競爭行為,例如不同廠商間之投標文件內容筆跡相同、押標金由同一人繳納、掛號信連號、地址相同、電話號碼相同之情形……」,復參工程會96年6月25日96工程企傳字第F961354號函(以下簡稱工程會96年函)揭示「關於政府採購法50條第1項第5款規定,係為防止假性競爭之情形。依來函所述個案採分項決標,且地址、傳真、電話相同之二家廠商各投不同項目,尚非彼此互相競爭,自無上開條款之適用」[2],是採購申訴審議委員會認為,採購法第50條第1項第5款立法目的係為防止假性競爭之行為,倘投標廠商間無須有競爭情形存在時,即無條款之適用。 二、本案第一期程與第二期程之廠商間,以及第二期程之廠商間無須競爭,故無採購法第50條第1項第5款適用。   採購申訴審議委員會指出,本採購案採二期程招標方式辦理,投標須知規定:「第二期程之招標於第一期程採購決標後再公告」、「曾參加第一期程投標之廠商,不論是否合格或得標或併列得標,均不得參加第二期程之投標」、「第一期程決標品項即為第二期程之採購項目。第一期程採購各項之決標金額即為第二期程採購之決標金額,廠商僅得就招標機關……公告第一期程決標金額及對應之品項中選擇適合者投標(跟進),不得報列公告之決標金額以外之價格及非屬第一期程所公告之決標品項」、「第一期程決標項目之決標價格及合格品項,俟決標後本局將另行於第二期程之招標文件公告」、「本案競標機制,……以投標廠商最低價者得標並採複數決標,得跟進最低價併列得標之廠商家數依第一期程全區廠商依報價由低至高排列取前80%為上限,第二期程單區廠商不設上限」。   是以,A廠商係參加本案第一期程投標之廠商,不論其是否合格或得標或併列最低標得標,均不得參加第二期程之投標,而參與第二期程之B廠商,係按甲機關公告之第一期程決標品項及金額跟進,且第二期程得標廠商之家數並無限制,故參與第二期程與參與第一期程之廠商彼此間,以及參與第二期程之廠商彼此間,均無須競爭,爰本案無採購法第50條第1項第5款之適用。 參、事件評析   就本案申訴審議委員會提出之理由及所為之結論,筆者以為有下述二點得再為細部討論: 一、本案第二期程雖可跟進最低標併列得標廠商之家數未設上限,惟廠商於履約階段與相同供貨區域之其他得標廠商仍具有競爭關係,自有適用採購法第50條第1項第5款規定必要。   查,採購申訴審議委員會以採購法第50條第1項第5款立法理由,以及工程會96年函內容,認為廠商間有競爭情形始得適用該條款,此見解固屬正確,然採購申訴審議委員會認為B廠商不適用採購法第50條第1項第5款規定,係因第二期程之廠商彼此間無須競爭,實有討論空間。蓋本案爭議應為參與不同期程之廠商間,如彼等投標文件有聯絡資訊記載相同情形,甲機關得否以採購法第50條為處理。故採購申訴審議委員會就本案B廠商不適用上開法條所提理由,似未解決本案爭執之點。   次查,採購申訴審議委員會以採購法第50條第1項第5款立法理由,以及工程會96年函文,似認為僅在投標階段始禁止廠商彼此間假性競爭,而本案投標須知既然未限制第二期程之得標廠商家數,第二期程之廠商彼此間自無競爭問題。惟本案第二期程之廠商間,是否確無競爭關係,以及是否僅需於投標階段討論競爭關係,筆者均認有待商榷。   觀諸採購申訴審議委員會援引之採購法第50條第1項第5款立法理由及工程會96年函文,並未排除履約階段之適用。甚且,由政府採購法第1條規定「為建立政府採購制度,依公平、公開之採購程序,提升採購效率與功能,確保採購品質,爰制定本法」,以及採購法施行細則第33條第1項前段規定「同一投標廠商就同一採購之投標,以一標為限」可知,政府採購各程序均應維持公平、公正之秩序,故無論於投標、開標、決標乃至履約階段,自應防止廠商間有假性競爭可能,廠商不得利用人頭在同一採購案分別投標,以維護各個投標廠商及得標廠商間之平等,始為恰當。   經查,因本案第二期程可跟進最低標併列得標廠商之家數未設上限,當同一採購項目之得標廠商愈多,各廠商於該項目獲得訂單之機會將被稀釋。則某一廠商為了使其有更多適用機關之訂單,而利用多數人頭參與第二期程投標,且均跟進成為得標廠商,自難謂未牴觸政府採購要求之公平及公正。而此競爭關係存在於履約階段,如將之排除於採購法第50條第1項第5款之適用範圍,即可能成為法規漏洞而導致廠商有投機行為,自非採購法所允許。   準此,尚不得以本案可跟進最低標併列得標廠商之家數未設上限,即可逕認第二期程投標廠商間無須競爭,蓋本案第二期程廠商之競爭關係存在於履約階段,為確保採購程序公平、公正秩序,本案第二期程仍應適用採購法第50條第1項第5款規定。 二、參與本案第一期程及第二期程投標廠商間有競爭關係,適用採購法第50條第1項第5款規定。   本案雖區分二種投標型式,然均屬同一採購案;無論是第一期程之「全國各公部門」或第二期程之「特定縣市公部門」,皆允許有二家以上之得標廠商;參與第一期程「全國各公部門」之得標廠商可供貨至全國各縣市,自會與第二期程「特定縣市公部門」之供貨區域重疊,是若第一期程之廠商與第二期程之廠商於本案之投標品項重複時,於彼此相同供貨區域即屬相互競爭關係。   再者,本案針對第一期程「全國各公部門」設有跟進廠商家數上限,復規定參與第一期程投標之廠商不得參與第二期程,是參與第一期程之廠商如為避免無法跟進,或為增加取得適用機關訂單之機會,自有可能與第二期程廠商透過共謀投標文件而營造假性競爭之可能,確保其能進入本採購案。   準此,本案第一期程之A廠商與第二期程之B廠商因供貨區域及投標品項有重複情形,故A、B廠商於履約階段具有競爭關係,倘彼等無正當理由釐清投標文件何以所載聯絡人、傳真、電話號碼相同,投標區域均相同,甲機關自得依採購法第50條第1項第5款規定處理。末查,前述採購法施行細則第33條第1項前段規定同一投標廠商就同一採購以投一標為限,依此法理,自須禁止參與第一期程廠商以人頭方式再參與第二期程投標,以迂迴手法規避上揭規定而於同一採購案投標二次,併此敘明。 [1] 〈行政院公共工程委員會令 工程企字第○九一○○五一六八二○號〉,政府採購法規解釋函令及相關函文,http://plan3.pcc.gov.tw/gplet/mixac.asp?num=1673(最後瀏覽日:2019/04/11)。 [2] 〈行政院公共工程委員會令 96工程企傳字第F961354號〉,政府採購法規解釋函令及相關函文,http://plan3.pcc.gov.tw/gplet/mixac.asp?num=2516(最後瀏覽日:2019/04/11)。

歐盟執委會認可巴西資料保護能力,啟動適足性認定程序

歐盟執委會(European Commission)於2025年9月4日提出對於巴西的適足性認定草案,並且開始啟動相關程序。根據《一般資料保護規則》第45條規定,如歐盟境內之個人資料將傳輸至第三國或國際組織時,須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同,使得為之。該認定即為「適足性認定」,目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中,審酌了巴西《一般資料保護法》(Lei Geral de Proteção de Dados, LGPD)當中的目的限制、必要性、透明性、安全性及問責機制等原則,以及個資監管與執法之獨立機構「巴西資料保護局」(Autoridade Nacional de Proteção de Dados, ANPD)之角色,認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外,ANPD於2024年發布,旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則,ANPS正依照該規則進行對歐盟進行法律評估,認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估,將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案,後續須經由歐洲資料保護委員會(European Data Protection Board, EDPB)審查並提出意見,並經過成員國代表參酌EDPB提出之意見並審查批准後,始得由歐盟執委會通過適足性認定。通過適足性認定後,將促進國際資料流動,並加強巴西與歐盟之間資料保護與監管領域方面的合作。

TOP