性隱私內容外流風波－從美國立法例論我國違反本人意願散布性隱私內容之入罪化

　　歐盟將2014年1月28日定為「2014個人資料保護日」（Data Protection Day 2014），倡議推動個人資料修法及規範革新，主要係位因應數位化時代，個人資料權利保護越形重要，並且為了強化保護線上隱私權利，歐盟執委會首於2012年1月25日所提出個人資料保護指令的修正草案─「保護個人關於個人資料處理及此等資料自由流通規章（一般資料保護規章）」（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL（General Data Protection Regulation)）；該修正草案於2013年6月進入歐洲議會、理事會及執委會的三方協商，同年10月21日歐洲議會公民、司法與內政委員會（Committee on Civil Liberties, Justice and Home Affairs）審議通過，若進程順利預計將於2014年獲得通過，並於2016年生效施行。 　　歐盟「2014個人資料保護日」會議中，特別提到此次修法，係為歐盟跨時代的個人資料保護規範革新工作，具有特別重要意義，並且倡議應對於資料可攜權（Right to Data Portability），明文法制化加以落實保障，包括加強資料當事人控制及近取個人資料的權利，資料當事人更容易近取（aceess）個人資料（第14、15條）；資料當事人有資料可攜的權利（第18條），當資料處理是以電子化方法，且使用結構性、通用的格式時，資料當事人有權利可以取得該結構性、通用格式下的個人資料（第18條(1)），且更容易自不同服務提供者間移轉個人資料。 　　國際間對於「資料可攜」議題，正反意見均陳，並未達成共識。歐盟執委會提出個人資料保護指令的修正草案第18條，倡議將「資料可攜性」明文法制化，並要求資料蒐集、處理與利用者對以電子化方法持有的個人資料，需使用結構性、通用的格式，以便利並確保後續個人資料可攜性。此修正草案一提出，隨即引發國際間各重要國家的熱烈探討：有反對者認為，此舉無異將形成未來國際間貿易障礙；有贊成者從確保使用者權益觀點，認為未來智慧聯網（IoT）環境下，資料可攜性是不可避免的趨勢，賦予資料當事人法律權利，有助於個人資料的保護。各重要國家對歐盟修正草案立場及意見，值得加以探究，以觀察未來法制發展趨勢。

法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2025年9月18日作成裁罰決定，認定巴黎百貨公司SAMARITAINE SAS（La Samaritaine）（莎瑪麗丹百貨公司，下稱該公司）於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機，該設備具備錄音功能且未適當評估風險與內部控制紀錄，並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》（General Data Protection Regulation, GDPR）規定，最終遭裁處10萬歐元（約新台幣355萬元）的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加，遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機，但員工並未事前知悉。然而，攝影機於裝設後數週即被員工發現，並在2023年9月被拆除而停止運作。CNIL之所以介入，係因2023年11月經媒體報導及後續申訴事件引發關注，進而啟動稽查程序。以下為CNIL認定本案的主要違規事項： 1.違反公平、透明與可歸責性（GDPR Art. 5(1)(a)、5(2)）：隱藏式攝影機設計使員工難以察覺且未予以告知；該公司未完成事前分析或影響評估、未妥善文件化紀錄，因此難認有以公平且透明方式處理個資。 2.違反資料最小化（GDPR Art.5(1)(c)）：攝影機具備「收音」功能，導致員工私領域對話等資料被蒐集，與所稱之防竊等特定目的未有相符，屬過度蒐集行為。 3.未建立個資侵害通報與紀錄（GDPR Art. 33(1)、33(5)）：員工拆除設備時留存載有錄影錄音內容的SD卡，公司在知悉後未於法定時限內通報並建檔紀錄；CNIL指出此類「失去對載體控制」情形並無任何模糊空間，且因其中內含員工影音資料，對自由權具有風險，依法應通報。 4.個人資料保護長（Data Protection Officer, DPO）未及時參與（GDPR Art. 38(1)）：DPO直至該攝影機拆除後才被告知，未能於事前提供風險控管與審酌是否符合法規範建議，而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告，雇主即使基於特定目的而採用不易察覺的監視措施，仍須在保護財產和人身安全的目標，與保護員工隱私間取得合理平衡，例如：蒐集期間具有「暫時性」；蒐集範圍最小化，無不必要收音等較小侵害手段；並應讓組織的DPO事前參與把關，完成比例性分析與風險評估，否則可能構成對員工基本權利與自由的重大干預。同時，內部也應建立事故應變流程，避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。

所謂「身分」（Identity）是「特徵」（characteristics）或「屬性」（attributes）的組合，可讓個人在特定環境中與其他人區分開來，以證明自己的身分，例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長，線上身分驗證比實體身分驗證更為頻繁，促使犯罪人竊取和濫用身分資訊與資格證明（credentials），使得越來越多人面臨網路犯罪和詐欺的風險，澳洲在2021年時更因為身分竊盜事件橫行，造成超過18億美元的經濟損失。 為此，澳洲資料和數位部長會議（Data and Digital Ministers Meeting, DDMM）於2023年6月23日發布「國家身分韌性戰略」（National Strategy for Identity Resilience），以取代2012年國家身分安全戰略（National Identity Security Strategy），宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力，推動澳洲各州、領地（territory）和聯邦（Commonwealth）採用全國一致的身分韌性方法，使得個人身分難以被竊取，縱然不幸遭竊取，受害人亦能夠輕易自身分犯罪中恢復身分。 該戰略由十項原則組成，包含：(1)無縫接軌的聯邦、州和領地數位身分系統；(2)具包容性的身分辨識機制；(3)個人與公私部門都有各自角色；(4)制定國家實體與數位資格證明標準；(5)建立生物辨識和經同意的身分驗證；(6)便利個人跨機構更新身分資訊；(7)更少的資料蒐集與保存；(8)明確的資料分享協議；(9)資格證明的一致撤銷和重新簽發；(10)明確的問責與責任。搭配短、中、長期的實施規畫，循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。