歐盟第29條工作小組發布「自動化個人決策和分析指引」處理個人資料自動化決策與資料剖析風險問題
歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則(GDPR)第22條規定發布「自動化個人決策和分析指引」(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,2018年2月6日進一步修正,下稱指引),處理對個人資料自動化決策(automated decision-making)和個人檔案剖析(Profiling)的建立。
指引分為五個部分與最佳實踐建議,旨在幫助資料控制者(controller)合乎GDPR對個人資料自動化決策和分析的要求,內容包括下幾點:1.定義自動化決策和分析,以及GDPR對這些概念的處理方法;2.對GDPR第22條中關於自動化決策的具體規定;3.對自動決策和分析的一般規定;4.兒童和個人檔案剖析(Profiling)的建立;5.資料保護影響評估。
指引的主要內容包括:
個人檔案剖析(Profiling),意謂收集關於個人(或一群個人)的資料,並分析他們的特徵或行為模式,加以分類或分群,放入特定的類別或組中,和/或進行預測或評估(例如,他們執行任務的能力,興趣或可能的行為)。
禁止對個人資料完全自動化決策,包括有法律上法或相類重大影響的檔案剖析,但規則也有例外。應有措施保障資料主體的權利,自由和合法利益。
GDPR第22條第二項a之例外規定,(履行契約所必需的),自動化個人決策時,應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性,同時考慮是否可以採取侵害隱私較少之方法。
工作小組澄清,關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時,控制者應以簡單的方法,告訴資料主體其背後的理由或依據的標準,而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。
對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料,其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如,在信用評等的情況下,應有權知道其資料處理的基礎,資料主體並能對其作出正確與否的決定,而不僅僅是關於決策本身的資料。
「法律效果」是指對某人的法律權利有影響,或者影響到個人法律關係或者其契約上權利。
工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定,指出僅在某些情況下才有其適用(例如,保護兒童的福利)。
在基於自動化處理(包括分析)以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下,進行資料保護影響評估並不局限於「單獨」自動化處理/決定。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,http://ec.europa.eu/newsroom/document.cfm?doc_id=47742
2. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01),http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826
3. Bitkom views on Article 29 Working Party draft guidelines on automated individual decision-making including profiling, https://www.bitkom.org/noindex/Publikationen/2017/Positionspapiere/20171127-Bitkom-Position-Paper-WP251-Profiling-Engl-Final.pdf
英國商業、能源暨產業策略部(Department for Business, Energy and Industrial Strategy, BEIS)於2021年3月2日向英國國會提交「先進研究發明署法案」(The Advanced Research and Invention Agency Bill),作為英國政府設立獨立研究機構「先進研究發明署」(Advanced Research and Invention Agency, ARIA)的法源依據,用以補助高風險、高報酬之前瞻科學與技術研究,將仍處於想像階段的新技術、發現、產品或服務化為現實。 本法案授予ARIA高度的自主性,使ARIA得以招攬世界頂尖的科學家與研究人員,規劃最具前瞻性與發展潛力的研究領域提供研發補助;同時也給予相較於其他研究機構更多容許失敗的彈性,並明確指出失敗是前瞻科學研究必然經歷的過程。ARIA對於研發資金的運用將因而獲得充分的自主性與彈性,包含對於研究計畫提供快速啟動基金與其他獎項做為激勵措施,或是依據研發進展即時決策是否延續或中止。 ARIA取法自美國國防先進研發署(Defense Advanced Research Projects Agency, DARPA),美國DARPA在網際網路、GPS等技術研發上的成就,直到近期支持針對COVID-19的mRNA疫苗及抗體療法從而取得重大進展,在在顯示了DARPA模式的可行性與重大影響力,而其成功的關鍵在於高度的自主性、靈活性以及最少的行政程序障礙,因此法案將允許ARIA不受政府採購相關限制、並免於政府資訊公開的義務,以減少行政程序對於研發進程的影響。但ARIA每年度仍須向國家審計署提供年度會計報告以作為政府對其最低限度的監督手段,除此之外,商業部長將有權中止與敵對勢力對象的研發合作或結束特定的研究計畫。
美國猶他州針對未成年人使用社群媒體之新禁令美國猶他州州長柯克斯(Spencer Cox)於2023年3月23日簽署參議院152號法案(社群媒體規則修正案,Social Media Regulation Amendments)與眾議院311號法案(社群媒體使用修正案,Social Media Usage Amendments)等兩項法案,此舉是為了因應美國青少年日益沉迷社群媒體的問題,降低網路霸凌、剝削與未成年人個資外洩之風險。新法預計於2024年3月1日生效,兩項法案所提列之重點如下: 一、參議院152號法案針對社群媒體業者,要求其對於社群媒體應用程式之用戶,應採取以下措施: 1. 對於想要創設或持有社群媒體帳號之猶他州居民,須驗證其年齡。 2. 未滿18歲的用戶,須獲得父母或監護人的同意。 3. 允許家長有查看未滿18歲子女帳號內容之權限。 4. 訂定宵禁機制,於夜間(晚上10:30至早上6:30)禁止未成年登入使用帳號,但家長可視情形調整。 5. 禁止未成年用戶,向未曾關注或加好友的陌生人直接發送訊息。 6. 須於搜尋引擎中隱藏未成年人帳號。 7. 若違反上述內容,每項違反處以業者2,500美元之民事罰款。 二、眾議院311號法案針對「有使用導致未成年人成癮(Addiction)於社群媒體之設計或功能」之業者,訂定以下相關裁罰: 1. 經證明會導致未成年人對社群媒體成癮之行為、設計或功能,針對每項行為、設計或功能,處以業者25萬美元之民事罰款。 2. 若使未成年人接觸而致其成癮者,依未成年人數計算,每位最高可罰款2,500美元。 3. 允許父母得以其未成年子女因成癮致其身體、情感與財產上之損害為由,起訴社群媒體業者。 4. 若為未滿16歲之用戶依本法請求損害賠償者,媒體業者將推定過失責任,亦即由業者負舉證責任。 兩項法案皆是為保護美國18歲以下的未成年人,要求IG、TikTok、Twitter、Facebook等社群媒體一定作為與不作為之義務,若有違反情形,猶他州商務部消費者保護司(DCP)有權限對其違規行為處以民事罰款。上述美國法案針對未成年之保護,以透過規定使平臺業者設計出更優質、更完善的程式介面之觀點,可作為我國未來針對社群媒體監管措施之借鏡與觀察。
DE Technologies起訴戴爾侵犯其商業模式專利一家擁有美國網路上國際貿易相關專利的小公司起訴個人電腦巨頭戴爾公司(Dell Inc., DELL)侵權。這家名為DE Technologies Inc.的公司向一家美國聯邦地區法院提起了上述訴訟。DE Technologies的專利於1996年申請,並於2002年被授予。該公司首席執行長Ed Pool表示,他們的最終目的是將其專利授權給跨國公司並收取這些公司網路上貿易額的一小部分作為特許費。但這些費用全部累積起來可能高達數十億美元。 戴爾是首家遭DE起訴的公司。戴爾對上述訴訟未予置評。截至今年1月30日的財政年度,戴爾414億美元的銷售額中有36%來自美國以外地區,該公司向個人及小型企業的銷售中,大部分是通過網路進行的。 DE Technologies擁有的是一個商業模式專利。此類專利涉及的是流程及方法,而不是構造或化學成份。美國上訴法院於1998年判決擁有此類專利是合法的以後,許多公司開始申請此類專利。但批評人士認為許多商業模式不應被授予專利,專利應被授予那些新穎及非顯而易見的發明。