從RFID的應用談科技變遷下的人權議題

　　2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定，擴大解釋《資料保護指令》（Directive 95/46/EC）之「資料控制者」範圍，認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》（GDPR）相同，因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 　　本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用，其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利，然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資，當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益，即使未實際擁有任何個資，仍被視為負共同責任（jointly responsible）的資料控制者，應依具體個案評估每個資料控制者責任程度。 　　在原《資料保護指令》並未有「資料控制者需負共同責任」之規定，本案擴大解釋資料控制者範圍，對照現行GDPR屬於第26條「共同控制者」之規範主體，然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者，是否過於嚴格？且未來如何劃分責任與義務，皆有待觀察。

　　美國國家標準技術局（National Institute of Standards and Technology, NIST）於近日（2013年7月）更新電子簽章的技術標準「FIPS (Federal Information Processing Standard) 186-4數位簽章標準」，並經商務部部長核可。NIST於1994年首次提出電子簽章標準，旨在提供工具可資促進數位時代的信賴性，後續也隨著技術進步與革新，而有多次修訂。此次修訂，主要是調合該標準，使之與NIST其他加密相關指引（如金鑰加密標準）一致，以避免將來可能產生的矛盾。 　　此次增訂，亦明列出三種可保護資料的簽章產製與確認技術：數位簽章演算法（Digital Signature Algorithm, DSA）、橢圓曲線簽章演算法（Elliptic Curve Digital Signature Algorithm, ECDSA）、以及RSA公眾金鑰演算法（Rivest-Shamir-Adleman Algorithm, RSA）。 　　其他修訂的部分，還包括語彙的明晰化，以及降低對於隨機號碼產生器的利用限制…等。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

　　歐盟執委會（European Commission, EC）於2020年4月8日發布新聞稿，說明歐盟將制定紓困計劃，投入資金支援全球盟國對抗新冠肺炎。歐盟的行動將側重於解決急迫的衛生問題以及人道主義需求，加強盟國的健康、供水和公共衛生環境，及協助盟國發展對抗流行病的研究和準備能力，減輕疾病對國家經社之影響。 　　此次計劃立基於「Team Europe」，「Team Europe」是歐盟執委會因應疫情採取全球及跨境協調的紓困方案，強調整併來自歐盟、歐盟成員國及金融機構──特別是歐洲投資銀行（European Investment Bank, EIB）和歐洲復興開發銀行（European Bank for Reconstruction and Development, EBRD）──的資金，提供全球盟國立即而精準的援助，目前已投資超過156億歐元的資金。而在此次全球紓困中，歐盟短期面提供盟國資金，長期面則協助解決盟國因疫情引發的社會經濟問題。 　　本次紓困計畫區分為三大部分，分別為： 5.02億歐元用於應急行動（Emergency response actions）：包括提供資金生產個人防護設備和醫療設備、降低各國出口障礙以確保供應鏈完整（特別是基本醫療用品和藥品的供應鏈）及支援聯合國和世衛的相關應對政策等； 28億歐元用於支援社會研究、衛生系統與供水系統：支援盟國建立反應快速的衛生和社會保護體系、對疫情嚴重國家進行疫苗配送與補貼、專家培訓和流行病學監測（epidemiological surveillance），並且強化非洲、拉丁美洲、加勒比海地區以及亞太地區的區域衛生組織發展。 122.8億歐元針對疫情後經濟和社會影響進行紓困：提供盟國直接預算和優惠資金、由歐洲投資銀行提供盟國公部門貸款（特別是醫療保健設備用品之貸款）以及透過國際貨幣基金組織（International Monetary Fund, IMF）對西巴爾幹地區及鄰國提供金融援助等。