歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則(GDPR)第22條規定發布「自動化個人決策和分析指引」(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,2018年2月6日進一步修正,下稱指引),處理對個人資料自動化決策(automated decision-making)和個人檔案剖析(Profiling)的建立。
指引分為五個部分與最佳實踐建議,旨在幫助資料控制者(controller)合乎GDPR對個人資料自動化決策和分析的要求,內容包括下幾點:1.定義自動化決策和分析,以及GDPR對這些概念的處理方法;2.對GDPR第22條中關於自動化決策的具體規定;3.對自動決策和分析的一般規定;4.兒童和個人檔案剖析(Profiling)的建立;5.資料保護影響評估。
指引的主要內容包括:
個人檔案剖析(Profiling),意謂收集關於個人(或一群個人)的資料,並分析他們的特徵或行為模式,加以分類或分群,放入特定的類別或組中,和/或進行預測或評估(例如,他們執行任務的能力,興趣或可能的行為)。
禁止對個人資料完全自動化決策,包括有法律上法或相類重大影響的檔案剖析,但規則也有例外。應有措施保障資料主體的權利,自由和合法利益。
GDPR第22條第二項a之例外規定,(履行契約所必需的),自動化個人決策時,應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性,同時考慮是否可以採取侵害隱私較少之方法。
工作小組澄清,關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時,控制者應以簡單的方法,告訴資料主體其背後的理由或依據的標準,而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。
對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料,其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如,在信用評等的情況下,應有權知道其資料處理的基礎,資料主體並能對其作出正確與否的決定,而不僅僅是關於決策本身的資料。
「法律效果」是指對某人的法律權利有影響,或者影響到個人法律關係或者其契約上權利。
工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定,指出僅在某些情況下才有其適用(例如,保護兒童的福利)。
在基於自動化處理(包括分析)以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下,進行資料保護影響評估並不局限於「單獨」自動化處理/決定。
本文為「經濟部產業技術司科技專案成果」
美國明尼蘇達州明尼亞波利斯市的市議會鑑於人臉辨識技術有可靠性的疑慮,以及對有色人種有潛在的傷害,該議會於2021年2月12日通過修正《明尼亞波利斯條例》(Minneapolis Code of Ordinances)關於資訊治理(Information Governance)的部分,新條例規定除有例外情形,禁止政府部門採購人臉辨識技術及使用從該技術獲得之資訊。明尼亞波利斯是繼波士頓、舊金山、奧克蘭等,新加入禁用人臉辨識技術的城市。 新條例是由該市市議會議員Steve Fletcher倡議,其指出市民擔心在未得其同意時使用人臉辨識技術進行監視,是否會侵害市民的隱私權。此外,根據研究亦顯示人臉辨識技術仍存在瑕疵,尤其是辨別婦女、兒童和有色人種的錯誤率相當高,而不正確的識別,恐怕讓弱勢者受到更不利的對待。 明尼亞波利斯市以明尼蘇達州《明尼蘇達政府資料應用法》(Minnesota Government Data Practices Act)中所定資料隱私原則,作為制定新條例的基礎,規定在蒐集有關個人資料時應考慮並重視個人隱私,包含僅在具備理由時始得蒐集資訊,並且就蒐集的內容與原因保持透明。再者,新條例要求在市議會設置專門的委員會,市政府應向該委員會提出書面報告,說明新條例遵守的情形,以及追蹤及報告違反的情形及賠償措施。惟隨著技術和情事的變化,政府部門可能有使用人臉辨識技術的需求,就此,新條例規定政府部門需向市議會解釋使用該技術的必要性、說明如何使用該技術及所獲取之資訊、對技術及所獲取之資訊進行監管的計畫,市議會依規定應召開公聽會。若例外情形符合消除歧視、保護隱私、透明與公眾信任的目標,市議會則可同意政府部門使用人臉辨識技術,或要求政府部門修正前述監管計畫,作為市議會同意的條件。
德國聯邦內閣通過「數位家庭給付法」草案,結合數位科技整併各項出生證明、津貼或補助申請窗口德國聯邦內閣2020年6月24日通過「數位家庭給付法」草案(Entwurf eines Gesetzes zur Digitalisierung von Familienleistungen),該草案由德國聯邦內政、建設及家園部(Bundesministeriums des Innern, für Bau und Heimat, BMI)及德國聯邦家庭、老年、婦女與青年部(Bundesministeriums für Familie, Senioren, Frauen und Jugend, BMFSFJ)共同提出。草案目的在使多項家庭津貼與補助可以透過網路科技整併至單一申請窗口;利用數位科技的電子治理模式,簡化繁複的紙本申請流程,使用「一鍵式」(ein Klick)服務讓民眾可透過電腦或廣為普及的智慧型手機直接申請。 「數位家庭給付法」草案主要規範內容下列3個面向: 整合與家庭相關之津貼或補助項目:為減輕新生兒父母或監護人(Erziehungsberechtigte)的照顧負擔,BMI及BMFSFJ欲將姓名登記、出生通報、父母津貼(Elterngeld)、育兒津貼(Kindergeld)及兒童補助(Kinderzuschlag)等5項服務合併申請(Kombiantrag),匯整至單一申請窗口。 提供機關間個資合法傳輸基礎:由於申請前述的津貼或補助項目時,申請人須向聯邦政府、各邦政府、法定健康保險機構或雇用人申請相關證明文件,未來處理公共服務之機關經申請人同意合法授權下,得跨部門調閱申請服務相關之資料。 符合資訊安全及個資保護的基礎:該法要求應建立可受信賴的數位授權控管措施,且得驗證數位身分之安全層級,相關措施應符合德國「網路近用法」(Onlinezugangsgesetz, OZG)第8條及歐盟「一般個人資料保護規則」(General Data Protection Regulation, GDPR)的規範要求。 聯邦內閣目前已將該草案提交予聯邦議會審查,預計最快自2022年1月1日分階段實施。然而,德國聯邦政府考量新冠肺炎疫情期間,懷孕婦女或年輕父母採用書面申請,將大幅提高感染COVID-19病毒的風險。因此,該法允許合併申請出生證明、補助或津貼,在今年(2020年)於不來梅邦(Bremen)啟動試辦計畫,另預計明年(2021年)將於其他邦展開相關電子化的申請服務。
美國廠商使用之DMCA侵權調查正確性遭質疑一項由華盛頓大學所發表的研究聲明指出,媒體工業團體正使用有瑕疵的方式調查peer-to-peer網路文件共享中侵害著作權的問題。包括M.P.A.A.、E.S.A.、R.I.A.A等團體,不斷寄出逐年增加的DMCA侵權移除通知(takedown notices)給各大學和其他的網路業者。許多大學會在未經查證的情況下直接將侵權移除通知轉寄給學生,R.I.A.A.甚至跟進其中的一些侵權報告並將之寫入財務報告中。 但在2008年6月5日由華盛頓大學的助理教授等三人所發表的研究中認為這一些侵權移除通知應該更審慎檢視之。研究指出,這些團體在指控檔案分享者的調查過程中有嚴重的瑕疵,可能使對方遭受不當的侵權指控,甚至可能來自其他網路使用者的陷害。在2007年5月及8月的兩次實驗中,研究員利用網路監控軟體監控他們的網路流量,實驗結果顯示即使網路監控軟體並未下載任何檔案,卻仍然接收到了超過400次的侵權警告信。 該研究結果顯示執法單位的調查過程中只查詢了網路分享軟體使用者的I.P.位址,卻未真正查明使用者正在下載或是上傳的實際檔案為何,在這種薄弱的搜查技巧跟技術方式之下任何使用網路文件分享軟體的使用者都可能被告,不論其所分享的檔案是否侵權皆如此。
歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙歐盟執委會(European Commission)於2022年5月3日發布「歐洲健康資料空間」(European Health Data Space, EHDS)規則提案,其旨在克服健康資料利用之障礙,以充分發揮數位健康與健康資料之潛力。EHDS為一個專門用於健康之資料共享框架(health-specific data sharing framework),針對患者以及用於研究、創新、政策制定、患者安全、統計或監管目的等電子健康資料之運用,建立明確規則、通用標準與實務、基礎設施與治理框架,無論是個人、醫療人員、健康照護提供者、研究人員、監管人員、產業界皆可由此受益。 EHDS之具體內容主要包括九個章節: (1)第一章為一般條款(General provisions),內容包括本規則之主題與範圍,並闡明定義、以及與其他歐盟法規之關係; (2)第二章為電子健康資料之原始利用(Primary use of electronic health data),其針對歐盟一般資料保護規則(GDPR)所載權利,增訂補充性之配套保護機制,並設定醫事人員及其他健康從業人員針對EHD之義務; (3)第三章為EHR系統與福祉應用(EHR systems and wellness applications),其主要重點為EHR系統之強制性自我認證計畫(mandatory self-certification scheme),要求其需符合可互通性與安全性等基本要求,並界定EHR系統中各經濟營運商(economic operator)之義務、EHR系統合規(conformity)要求,並負責EHR系統市場監督機構之義務; (4)第四章為電子健康資料之二次利用(Secondary use of electronic health data),如將資料用於研究、創新、政策制定、患者安全或監管活動。本章定義一組資料類型,規範可利用之既定目的以及受禁止之目的(如商業廣告、增加保險、開發危險產品),並規定會員國必須建立健康資料近用機構(health data access body),以便電子健康資料的二次利用,並確保由資料持有者所產生之電子資料可提供給資料使用者; (5)第五章為其他行動(Additional actions),其旨在提出其他措施以促進會員國之能量建構(capacity building),以配合EHDS之發展,包括數位公共服務之資訊交換、資金,並規範於EHDS下非個人資料之國際近用規定; (6)第六章為歐洲治理與協調(European governance and coordination),其創建「歐洲健康資料空間委員會」(European Health Data Space Board, EHDS Board),促進數位健康當局及健康資料近用機構之間的合作,特別是電子健康資料之原始與二次利用間之關係,並包含歐盟基礎設施聯合管理小組(joint controllership groups for EU infrastructure)相關規定,其任務在於就電子健康資料之原始與二次利用所需之跨境數位基礎建設進行相關決策; (7)第七章為授權與委員會(Delegation and Committee),其允許歐盟執委會通過關於EHDS之授權法案(delegated acts),並希望根據C (2016) 3301號決定成立一個專家小組,以便於準備授權法案、實施本規則時提供建議與協助; (8)第八章為附則(Miscellaneous)規定,其中包含關於合作與處罰之規定,以及要求於本規則實施後進行評估與檢視之條款; (9)第九章為延遲適用與最終條款(Deferred application and final provisions),其規定本規則與個別條款之生效日。