歐盟第29條工作小組發布「自動化個人決策和分析指引」處理個人資料自動化決策與資料剖析風險問題
歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則(GDPR)第22條規定發布「自動化個人決策和分析指引」(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,2018年2月6日進一步修正,下稱指引),處理對個人資料自動化決策(automated decision-making)和個人檔案剖析(Profiling)的建立。
指引分為五個部分與最佳實踐建議,旨在幫助資料控制者(controller)合乎GDPR對個人資料自動化決策和分析的要求,內容包括下幾點:1.定義自動化決策和分析,以及GDPR對這些概念的處理方法;2.對GDPR第22條中關於自動化決策的具體規定;3.對自動決策和分析的一般規定;4.兒童和個人檔案剖析(Profiling)的建立;5.資料保護影響評估。
指引的主要內容包括:
個人檔案剖析(Profiling),意謂收集關於個人(或一群個人)的資料,並分析他們的特徵或行為模式,加以分類或分群,放入特定的類別或組中,和/或進行預測或評估(例如,他們執行任務的能力,興趣或可能的行為)。
禁止對個人資料完全自動化決策,包括有法律上法或相類重大影響的檔案剖析,但規則也有例外。應有措施保障資料主體的權利,自由和合法利益。
GDPR第22條第二項a之例外規定,(履行契約所必需的),自動化個人決策時,應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性,同時考慮是否可以採取侵害隱私較少之方法。
工作小組澄清,關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時,控制者應以簡單的方法,告訴資料主體其背後的理由或依據的標準,而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。
對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料,其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如,在信用評等的情況下,應有權知道其資料處理的基礎,資料主體並能對其作出正確與否的決定,而不僅僅是關於決策本身的資料。
「法律效果」是指對某人的法律權利有影響,或者影響到個人法律關係或者其契約上權利。
工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定,指出僅在某些情況下才有其適用(例如,保護兒童的福利)。
在基於自動化處理(包括分析)以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下,進行資料保護影響評估並不局限於「單獨」自動化處理/決定。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,http://ec.europa.eu/newsroom/document.cfm?doc_id=47742
2. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01),http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826
3. Bitkom views on Article 29 Working Party draft guidelines on automated individual decision-making including profiling, https://www.bitkom.org/noindex/Publikationen/2017/Positionspapiere/20171127-Bitkom-Position-Paper-WP251-Profiling-Engl-Final.pdf
德國聯邦健康部(Bundesministerium für Gesundheit, BMG)於2020年12月15日提出「新冠肺炎及新型冠狀病毒預防接種法」(Gesetzes zur Priorisierung bei der Schutzimpfung gegen das Corona-virus SARS-CoV-2, Coronavirus-Impfgesetz)草案,現進入聯邦參議院審議階段。該草案之立法目的在於,確認新冠肺炎及新型冠狀病毒(Coronavirus SARS-CoV-2)疫苗分配的公平性,並藉此降低嚴重疾病與死亡人數。 原則上凡屬於法定健康保險的被保險人,或於德意志聯邦共和國內有住所或長期居留者,得依據新冠肺炎及新型冠狀病毒預防接種法規定,具有接種新冠肺炎及新型冠狀病毒疫苗之權利。然而,由於疫苗的分配涉及基本法第2條第2項第1句生命及身體安全的基本權利(Grundrecht auf Leben und körperliche Unversehrtheit),以及衡酌疫苗資源的有限性問題,該法第3條依據風險群體(Risikogruppen)及適應症群體(Indikationsgruppen)共區分六級的接種優先順序,如違反接種優先順序者,將可能面臨最高三萬元的罰鍰,意圖營利者則將可能面臨一年至五年的有期徒刑。
基因改造 70g胖老鼠減重成為40g中研院今天發表一份研究成果:利用「基因改造」,成功的將七十公克的胖老鼠減重到四十公克,而且沒有什麼副作用。未來經過人體實驗,將有機會成為人類減肥的最新方法。 研究團隊發現,脂肪細胞活性與細胞內的粒腺體含量有關,而「粒腺體」就相當於細胞的「火力發電廠」,專門幫助代謝熱量、並轉化為能量供體內使用。當脂肪細胞含有大量粒線體的時候,就可以自行代謝體內所堆積的油脂、健康瘦身。計劃主持人、分子生物研究所副研究員李英惠解釋:利用藥物刺激,可以誘發體內的一種「Gs蛋白」,在老鼠胚胎上進行基因改造,或是後天以藥物餵食老鼠,活化體內GS蛋白質,透過各種方式,証明GS蛋白質的確可以增加脂肪細胞中粒腺體含量和活性,慢慢的代謝掉細胞內堆積的油脂。研究團隊還意外發現,改造後的老鼠,不但不容易發胖,而且平均壽命還增加了20%。 目前動物實驗已經證明:體內具有這種改造過的脂肪細胞,不但不容易發胖,壽命也可以增長。未來經過人體實驗,將有可能成為人類「健康減肥」的最新方法。
機關實體安全維護現行法制與實務運作之研析(上)機關實體安全維護現行法制與實務運作之研析(上) 科技法律研究所 2013年08月25日 機關實體安全維護,其主要內涵在於維護實體設施、設備、及辦公環境之安全性,確保機關業務不會因天災、刻意人為事故或意外而中斷運作,以及保障出入人員的人身安全。另就機關實體安全維護之任務,我國實務與通說均認其屬不涉及機密及公權力行使之一般業務,故極大的比例均是委由民間保全業者為之。 針對機關實體安全之規範,我國在法制設計上稍嫌不足,且對於保全業的管制寬鬆,參國外立法政策如英國、美國、澳洲,雖亦為求提升政府效能並合理運用預算,亦多將安全維護執行任務委外,但並不因此將責任全權轉嫁與保全業者,在法制設計上有相當嚴謹的政策、程序、細節性的機制與文件範本供各機關遵循,再藉由機關委外之法律規範、招標文件與契約設計,來規範民間保全業者;且對於保全業之工作,訂有證照制度、評鑑制度及豐富紮實的教育訓練等法制設計,因此保全人員之素質相較於我國,可謂已經嚴格之篩選。本文將從我國機關安全維護法制結構切入,並以澳洲之立法例為借鏡,最後提出我國現行待解決之問題,期能改善我國機關對於機關實體安全維護之概念。 壹、機關實體安全維護現行法制與運作 一、現行法制設計 機關可能遭遇的安全威脅來自於人為刻意或疏失及天災之危害。例如,辦公場所未列訂管制區或未有效率的把關,使具不同權限的內部人員或來訪的訪客,可輕易的接近、取走具敏感性的文件紙本,或以拍照、錄音的方式取得機密資訊;又或者,委外的資訊廠商、保全人員或清潔人員也能藉由職務上之便利進行側錄、側拍或安裝資料竊取裝置,爾後利用得來之消息販售獲利。另外,開放式機關和辦公場所位於商辦大樓內而與民間企業共構之機關,對於安全維護措施僅有參與權而無主控權,除出入人口複雜,對於火災、斷電等意外事故之預防控制,更是難以掌握。除了人為惡意破壞,單一意外事故亦能導致機關業務嚴重中斷或癱瘓。 目前機關安全維護責任是由各機關之政風機構所執掌[1],主要係依「政風機構預防危害或破壞本機關事業作業要點」[2]及行政院所發佈之「安全管理手冊」[3]為依循,均屬行政規則之法位階。另外相關規定包括:各級警察機關安全防護工作實施要點[4]、屏東縣政府消防局機關安全維護作業要點[5]、行政院國家科學委員會維護機關安全工作作業要點[6]和臺中市稅捐稽徵處加強機關安全維護值日員工應確實遵守事項[7]。 二、實務運作現況 (一)駐警人力不再,委外保全成為趨勢 相較於採用駐衛警察擔任機關安全維護的角色,機關傾向委外給保全業者[8],主因不外乎為預算考量,蓋依「各機關學校團體駐衛警察設置管理辦法」第10及11條[9],駐衛警察之待遇可比照駐在單位職員之支給,且其訓練、保險、退職、資遣、撫慰、服裝等各項費用均由駐在單位負擔。政府為精簡人事預算,對於駐衛警一職採取「只退不補」的政策[10],可預見未來機關對於委外安全維護的需求係不減反增。根據警政署的統計[11],至99年止臺灣已共有594家保全公司,可見保全業市場之蓬勃。 (二) 保全業相關法制與運作 肩負安全維護任務的工作者,除專業能力外,身家清白、忠誠度與品格更屬必要條件,故依保全業法第10之1條及第10之2條對保全人員定有消極資格,包括年齡限制、不得有特定犯罪前科紀錄及職前培訓與在職訓練[12]。惟主管機關對保全人員之資格與專業能力僅負消極查核義務,相關事項之執行與落實係由保全業者自主管理。目前保全業的中央主管機關為內政部、業務主管機關為警政署;地方主管機關為縣(市)政府、業務主管機關為縣(市)警察局[13],負責協助培訓的為警政署[14]。 基於政府與民間對於保全人力的益加倚賴,對其專業素質及品德操守的要求亦越發重視講究,警政署於95年起陸續邀集專家學者、相關行政機關及直轄市、縣(市)警察局代表研議保全業法的修正,但相關建議如證照制度、專業經營、分級管理、評鑑制度、排除旋轉門條款、落實嚴格監督管理、修正保全服務契約、輔導優秀軍警人員轉任保全與規範保全業越區經營範圍及報備制等規定均未列入現行法內[15]。 三、小結 承前,未來可預見現有駐衛警人力全部退休的情形下[16],除非機關編列預算將駐衛人力編制進組織內,否則委外保全業者全權負責機關安全乃不可逆之趨勢。 我國有明確的機關實體安全維護規範方針,不過在實際執行面向及科技技術應用面向上,較欠缺細節性規定與技術性標準。又除少數機關配有駐衛警、而得由駐衛警負擔內部具機密性、私隱性高之部分外,整體的安全維護任務,包括外圍之交通、門禁管制、夜間巡邏、監視系統監看及警民通報聯防等,不可避免的均係由保全業者擔任[17]。 然而,我國現行保全業法制規範上稍嫌不足,實務運作上之弊病亦非一日之寒,包括保全人員因待遇及前景上難以吸引素質佳的人才但又缺工嚴重[18],導致從業者素質良莠不齊且流動率極高;政府無統一職前培訓計畫與專業訓練輔導;另主管機關的定期查核流於形式等[19]。 針對保全業現況與法制研究,考量到文章主軸及囿限於篇幅關係,本文對此不再贅述。當務之急應係由機關本身有所警醒,對於實體安全維護的具體作法應建置更明確、細節的規範;其次是與保全業者的契約約定上,範本似有再修正及細緻化之空間。以下將介紹澳洲實體安全維護及委外服務安全管理之機制與作法。 [1]政風機構人員設置管理條例第4條;政風機構設置管理條例施行細則第10條;政風機構預防危害或破壞本機關事件作業要點。 [2]最後修訂日期:100年7月6日。 [3]發布日期:94年6月29日。 [4]發布日期:86年5月13日。 [5]發布日期:98年7月14日。 [6]發布日期:85年10月12日。 [7]發布日期:79年4月19日。 [8]如財政部各相關單位、交通部公路總局、郵局、台電、核電廠、中油、各級學校等均採委外保全。法務部調查局(2007,12月27日)‧政府部門委託民間保全辦理機關安全維護問題探討調查專報‧取自http://lkk73700.myweb.hinet.net/good/new_page_43.htm (最後瀏覽日:2013年6月4日)。 [9]最後修正日期:100年9月1日。 [10]筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。 [11]經濟日報(2010,1月28日)‧中華民國保全商業同業公會全國總會,開啟臺灣保全業嶄新里程碑‧取自http://edn.udn.com/article/view.jsp?aid=230903&cid=16''' (最後瀏覽日:2013年6月4日)。 [12]保全業法第10條之1: 「有下列情形之一者,不得擔任保全人員。但其情形發生於本法中華民國九十二年一月二十二日修正施行前且已擔任保全人員者,不在此限: 一、未滿二十歲或逾六十五歲。 二、曾犯組織犯罪防制條例、肅清煙毒條例、麻醉藥品管理條例、毒品危害防制條例、槍砲彈藥刀械管制條例、貪污治罪條例、兒童及少年性交易防制條例、人口販運防制法、洗錢防制法之罪,或刑法之妨害性自主罪章、妨害風化罪章、第二百七十一條至第二百七十五條、第二百七十七條第二項及第二百七十八條之罪、妨害自由罪章、竊盜罪章、搶奪強盜及海盜罪章、侵占罪章、詐欺背信及重利罪章、恐嚇及擄人勒贖罪章、贓物罪章之罪,經判決有罪,受刑之宣告。但受緩刑宣告,或其刑經易科罰金、易服社會勞動、易服勞役、受罰金宣告執行完畢,或判決無罪確定者,不在此限。 三、因故意犯前款以外之罪,受有期徒刑逾六個月以上刑之宣告確定,尚未執行或執行未畢或執行完畢未滿五年。 四、曾受保安處分之裁判確定,尚未執行或執行未畢。 五、曾依檢肅流氓條例認定為流氓或裁定交付感訓。但經撤銷流氓認定、裁定不付感訓處分確定者,不在此限。 保全業知悉所屬保全人員,有前項各款情形之一者,應即予解職。」 [13]臺北市政府警察局辦理保全業務作業要點第3點。 [14]以台北市保全商業同業公會為例,公會自主辦理「保全人員訓練護照」由中華保全協會策劃並請市警局督勤,另委請刑事警察局辦理「種子教官」訓練,解決各保全公司教育人員之不足。取自台北市保全商業同業公會網站(無日期)‧取自http://www.sca.org.tw/home/link1.asp?h=link1-45 (最後瀏覽日:2013年6月6日)。 [15]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。 [16]以台北榮民總醫院為例,現行駐衛警從原58名降為29名,平均年齡為60歲,可謂相當高齡化。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。 [17]以台北榮民總醫院為例,醫院內部的1400顆監視鏡頭是由駐衛警負責監看,另保全公司所有的監控系統只負責醫院大門及停車場的部分,且會牽線至駐警室進行統一監看管理,不過夜間的巡邏及監看,因人手不足,需保全業者協力配合。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。 [18]奇摩新聞(2013,2月2日)‧年前缺四成保全業全年徵人‧取自:http://tw.news.yahoo.com/%E5%B9%B4%E5%89%8D%E7%BC%BA%E5%9B%9B%E6%88%90-%E4%BF%9D%E5%85%A8%E6%A5%AD%E5%85%A8%E5%B9%B4%E5%BE%B5%E4%BA%BA-213000681.html (最後瀏覽日:2013年6月4日)。 [19]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。
歐盟著作權指令實行至今未達促進網路服務成長之目的歐洲委員會委託荷蘭「阿姆斯特丹大學資訊法律學院」及倫敦「皇后瑪莉智慧財產中心」,就歐盟2001年通過之著作權指令於各會員國實行之情況與對市場之影響進行評估,並於2007年2月完成評估報告。該份報告指出,歐盟著作權指令就推動線上內容服務成長之目的僅達成少部分目標,若歐盟未來可能成為網路服務之單一市場,則本指令必須加以修改。 報告指出,部分指令內容的欠缺明確,留給各會員國極大的裁量空間於內國法排除規範之訂定與限制規範之研擬,此一情況實為該指令功能未能彰顯之重要因素。且因各會員國幾乎可完全自由決定欲採用之制度,將嚴重影響跨疆界網路內容服務的建構,尤其調和規範之欠缺,直接影響關於市場玩家提供跨疆界網路服務相關法律的明確性。而由於規範的不確定性,則迫使使用者於面臨跨疆界著作之使用時,需與每位權利人就使用受保障著作的範圍進行協商,導致交易成本之增加。另外,該指令之規範亦轉變了科技法律之態樣,推翻舊有權利平衡,而創造出偏向權利人、遠離著作使用者的規範模式,擴張的重製權賦予權利人幾乎完全的控制權力,而此一權利實非於實體世界權利人所能專享。 此份報告建議,為達成會員國規範具某程度的一致性,未來宜就該指令可附加之限制,明列簡短的必要禁止規範,各國亦可依據自身需求附加進一步的排除條款。同時建議歐洲各國可參考德國強制將數位權力管理資訊、著作使用範圍與特性於產品上附加說明之模式,作為未來規範訂定之參考。