新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年7月27日發布資料共享指引(GUIDE TO DATA SHARING),該指引協助組織遵守新加坡2012年個人資料保護法(Personal Data Protection Act 2012, PDPA),並提供組織內部和組織之間的個資共享指引,例如得否共享個資,與如何應用,以確保符合PDPA共享個資之適當方法;並得將特定資料共享而豁免PDPA規範。該指引共分為三部分,並有附件A、B。
指引的第一部分為引言,關於資料共享區分為三種類型探討:
共享包含向一或多組織為利用、揭露或後續蒐集個資;而在組織內共享個人已同意利用之個資,組織還應制定內部政策,防止濫用,並避免未經授權的處理、利用與揭露;還應考慮共享的預期目的,以及共享可能產生的潛在利益與風險。若組織在未經同意的情況下共享個資,必須確保根據PDPA的相關例外或豁免之規定。
指引的第二部分則在決定共享資料前應考慮的因素:
上述因素還能更細緻對應到附件A所列應思考問題,附件B則有相關作業流程範例。
指引的第三部分,具體說明如何共享個資,與資料共享應注意規範,並提供具體案例參考,值得作為組織遵守新加坡個人資料保護規範與資料共享之參考依據。
美國平等就業機會委員會(Equal Employment Opportunity Commission, EEOC)於2023年5月18日發布「根據 1964 年《民權法》第七章評估就業篩選程序中使用軟體、演算法和AI之不利影響」(Assessing Adverse Impact in Software, Algorithms, and Artificial Intelligence Used in Employment Selection Procedures Under Title VII of the Civil Rights Act of 1964)之技術輔助文件(下簡稱「技術輔助文件」),以防止雇主使用自動化系統(automated systems)對求職者及員工做出歧視決定。 該技術輔助文件為EEOC於2021年推動「AI與演算法公平倡議」(Artificial Intelligence and Algorithmic Fairness Initiative)計畫的成果之一,旨在確保招募或其他就業決策軟體符合民權法要求,並根據EEOC 1978年公布之「受僱人篩選程序統一指引」(Uniform Guidelines on Employee Selection Procedures, UGESP),說明雇主將自動化系統納入就業決策所應注意事項。 當雇主對求職者與員工做出是否僱用、晉升、終止僱傭,或採取類似行動之決定,是透過演算法決策工具(algorithmic decision-making tool),對特定種族、膚色、宗教、性別、國籍或特定特徵組合(如亞洲女性),做出篩選並產生不利影響時,除非雇主能證明該決策與職位工作內容有關並符合業務需求,且無其他替代方案,否則此決策將違反《民權法》第七章規定。 針對如何評估不利影響,雇主得依UGESP「五分之四法則」(four-fifths rule),初步判斷演算法決策工具是否對某些族群產生顯著較低的篩選率。惟EEOC提醒五分之四法則推導出之篩選率差異較高時,仍有可能導致不利影響,雇主應依個案考量,使用實務常見的「統計顯著性」(statistical significance)等方法進一步判斷。 其次,當演算法決策工具係由外部供應商所開發,或由雇主授權管理人管理時,雇主不得以信賴供應商或管理人陳述為由規避《民權法》第七章,其仍應為供應商開發與管理人管理演算法決策工具所產生之歧視結果負責。 最後,EEOC鼓勵雇主應對演算法決策工具進行持續性自我評估,若發現該工具將產生不利影響,雇主得採取措施以減少不利影響或選擇不同工具,以避免違反《民權法》第七章。
法國CNIL對企業於職場監視行為劃出警告紅線法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年9月18日作成裁罰決定,認定巴黎百貨公司SAMARITAINE SAS(La Samaritaine)(莎瑪麗丹百貨公司,下稱該公司)於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機,該設備具備錄音功能且未適當評估風險與內部控制紀錄,並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》(General Data Protection Regulation, GDPR)規定,最終遭裁處10萬歐元(約新台幣355萬元)的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加,遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機,但員工並未事前知悉。然而,攝影機於裝設後數週即被員工發現,並在2023年9月被拆除而停止運作。CNIL之所以介入,係因2023年11月經媒體報導及後續申訴事件引發關注,進而啟動稽查程序。以下為CNIL認定本案的主要違規事項: 1.違反公平、透明與可歸責性(GDPR Art. 5(1)(a)、5(2)):隱藏式攝影機設計使員工難以察覺且未予以告知;該公司未完成事前分析或影響評估、未妥善文件化紀錄,因此難認有以公平且透明方式處理個資。 2.違反資料最小化(GDPR Art.5(1)(c)):攝影機具備「收音」功能,導致員工私領域對話等資料被蒐集,與所稱之防竊等特定目的未有相符,屬過度蒐集行為。 3.未建立個資侵害通報與紀錄(GDPR Art. 33(1)、33(5)):員工拆除設備時留存載有錄影錄音內容的SD卡,公司在知悉後未於法定時限內通報並建檔紀錄;CNIL指出此類「失去對載體控制」情形並無任何模糊空間,且因其中內含員工影音資料,對自由權具有風險,依法應通報。 4.個人資料保護長(Data Protection Officer, DPO)未及時參與(GDPR Art. 38(1)):DPO直至該攝影機拆除後才被告知,未能於事前提供風險控管與審酌是否符合法規範建議,而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告,雇主即使基於特定目的而採用不易察覺的監視措施,仍須在保護財產和人身安全的目標,與保護員工隱私間取得合理平衡,例如:蒐集期間具有「暫時性」;蒐集範圍最小化,無不必要收音等較小侵害手段;並應讓組織的DPO事前參與把關,完成比例性分析與風險評估,否則可能構成對員工基本權利與自由的重大干預。同時,內部也應建立事故應變流程,避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。
為促進健康資通訊科技之創新,美國嘗試立法重新定義健康軟體美國參議院認為健康資通訊科技(Healthy Information Technology)的創新與快速發展已經漸使現行法制不合時宜,美國食品藥物管理局(The US Food and Drug Administration)過度嚴格管制健康資通訊科技產品,甚至以法律強加健康資通訊業者不必要的負擔,恐抹殺新產業的創新能量,因此有必要對相關管制法規予以鬆綁。遂立法提案重新定義健康相關軟體,稱為「防止過度規範以促進照護科技法案」(The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014,以下簡稱PROTECT Act)。 健康資通訊科技是目前創新與發展最快的美國產業。單以健康資通訊科技產業中,與健康相關的手機應用程式(application,APP)之開發,在全球經濟已創造數億美金的產值,在美國一地更提供了將近50萬份的工作機會。然而,在現行法制中食品藥物管理局認為健康相關的手機應用程式等軟體被廣泛應用於醫療行為的資訊蒐集,因此應當被視為醫療行為的一環。依據聯邦食品藥物及化妝品法(TheFederal Food, Drug and Cosmetic Act,FD&C Act)之規定,健康資通訊科技產品被界定為醫療器材(Medical Devices),而健康管理APP、行事曆APP、健康紀錄電子軟體等低風險產品亦包含在內,都必須嚴格遵守醫療器材相關行政管制。在PROTECT Act中將風險較低的健康資通訊科技產品重新定義為臨床軟體(Clinic Software)與健康軟體(Healthy Software)兩種態樣,其共通點在於明白區分出單純提供市場使用,不影響人體或動物醫療的健康資訊蒐集與直接提供實際臨床診斷,如放射線影像或醫療器材軟件的差異,PROTECT Act所定義之臨床軟體與健康軟體即屬於前者,故排除適用FD&C Act中醫療器材之定義範圍,得免除相關行政管制。
從管理模式談智慧財產管理的重要性