歐盟第29條工作小組發布「自動化個人決策和分析指引」處理個人資料自動化決策與資料剖析風險問題
歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則(GDPR)第22條規定發布「自動化個人決策和分析指引」(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,2018年2月6日進一步修正,下稱指引),處理對個人資料自動化決策(automated decision-making)和個人檔案剖析(Profiling)的建立。
指引分為五個部分與最佳實踐建議,旨在幫助資料控制者(controller)合乎GDPR對個人資料自動化決策和分析的要求,內容包括下幾點:1.定義自動化決策和分析,以及GDPR對這些概念的處理方法;2.對GDPR第22條中關於自動化決策的具體規定;3.對自動決策和分析的一般規定;4.兒童和個人檔案剖析(Profiling)的建立;5.資料保護影響評估。
指引的主要內容包括:
個人檔案剖析(Profiling),意謂收集關於個人(或一群個人)的資料,並分析他們的特徵或行為模式,加以分類或分群,放入特定的類別或組中,和/或進行預測或評估(例如,他們執行任務的能力,興趣或可能的行為)。
禁止對個人資料完全自動化決策,包括有法律上法或相類重大影響的檔案剖析,但規則也有例外。應有措施保障資料主體的權利,自由和合法利益。
GDPR第22條第二項a之例外規定,(履行契約所必需的),自動化個人決策時,應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性,同時考慮是否可以採取侵害隱私較少之方法。
工作小組澄清,關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時,控制者應以簡單的方法,告訴資料主體其背後的理由或依據的標準,而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。
對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料,其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如,在信用評等的情況下,應有權知道其資料處理的基礎,資料主體並能對其作出正確與否的決定,而不僅僅是關於決策本身的資料。
「法律效果」是指對某人的法律權利有影響,或者影響到個人法律關係或者其契約上權利。
工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定,指出僅在某些情況下才有其適用(例如,保護兒童的福利)。
在基於自動化處理(包括分析)以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下,進行資料保護影響評估並不局限於「單獨」自動化處理/決定。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,http://ec.europa.eu/newsroom/document.cfm?doc_id=47742
2. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01),http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826
3. Bitkom views on Article 29 Working Party draft guidelines on automated individual decision-making including profiling, https://www.bitkom.org/noindex/Publikationen/2017/Positionspapiere/20171127-Bitkom-Position-Paper-WP251-Profiling-Engl-Final.pdf
賽雷拉( Cel-era)公司創始人溫特克萊首度來台,他是四年前完成人類基因體解碼的靈魂人物,他建議可運用基因解碼技術,建立基因資料庫,解決台灣醫療資源浪費。 事實上,早在2004年2月行政院科技顧問組為追蹤研究國人常見疾病與基因之間的關係,宣布推動「台灣疾病與基因資料庫」建置計畫。希望透過該基因資料庫的建立,確實掌握國人致病基因,奠定基因治療基礎,除了有效節省醫療資源浪費,更可鎖定特有亞洲疾病為研發重心,作為生技產業發展的優勢利基。台灣人口數約有二仟多萬,且具有完整健全的全民健保及戶籍資料,再加上台灣生物科技產業技術的蓬勃發展,想要建立大型的基因資料庫技術性應相當可行。國外有冰島和英國等多國發展之經驗可參考。 由於涉及人權自主、個人隱私、安全保密、社會倫理、研究成果的利益分享、以及由誰來擔任執行單位等方面的爭議,加上目前國內法令規範不足,既有相關法令多為位階較低的指導性公告,確實有必要建置相關配套制度及法律,以協助該計劃落實執行與發展。
歐洲法院裁定銷售二手電子書侵害著作權Tom Kabinet為荷蘭之公司,其從個人及零售商處購得電子書後,再於網路轉售,遭為保護荷蘭出版商利益而成立之Nederlands Uitgeversverbond(NUV)及Groep Algemene Uitgevers(GAU)二協會提起侵害著作權訴訟。 Tom Kabinet公司主張,當書籍以有形體的形式出售時,該作品之著作權業已耗盡(exhausted),換言之,購買者可自由出售,而不會侵害作者或出版者的智慧財產權,此原則亦應適用於數位重製(digital copies)。NUV及GAU則認為Tom Kabinet公司轉售電子書的行為,構成著作權指令(Directive 2001/29/EC)所指在未經授權的情形下,向大眾傳播受著作權保護的標的。 歐洲法院近日針對雙方的爭議做出了裁決,法院援引世界智慧財產權組織(World Intellectual Property Organization)的著作權條約(Copyright Treaty),認為著作權的耗盡原則僅適用在著作權指令第4條的散布權(Distribution right),且是散布實體物,例如有形的書籍。而著作權指令第3條所指「向大眾公開(作者的)作品權利」(Right of communication to the public of works),係賦予作者有授權向大眾公開其作品的專屬權,此權利無耗盡的問題。本案所爭執向大眾轉售經下載且得永久使用的電子書之行為,並非散布權,而是向大眾傳播的概念,即符合著作權指令第3條所規範之範疇,因此,Tom Kabinet公司在轉售電子書前,須先取得作者的同意。 針對歐盟法院此一裁定,GAU發表聲明表示,法院的決定讓電子書的著作權議題有了結果,且此決定亦會影響音樂和電影產業,讓音樂和電影的下載拷貝版本同樣也無法再轉售。
歐盟執委會發布新產業策略指導方針,協助企業面對氣候中和及數位領導轉型之挑戰歐盟執委會於2020年3月10日公布產業策略指導方針,名為「因應全球競爭、綠色、和數位歐洲的新產業策略」(A new industrial strategy for a globally competitive, green and digital Europe),以幫助歐洲產業在面臨近年氣候中和及數位領導變遷時,因轉型而產生的過渡期。此次公布的產業策略指導方針,包含三大主題,分別是:(1)新產業策略(A new industrial strategy)、(2)新中小型企業策略(A new SME strategy)以及(3)企業與消費者的單一市場(A single market that delivers for our businesses and consumers);而其中又以「新產業策略」為該指導方針之重點。 為提升歐洲的產業領導地位,「新產業策略」中論以三個關鍵優先事項,分別為:維持歐洲產業的全球競爭力和公平競爭環境、2050年以前達成氣候中和(climate-neutral)目標,以及塑造歐洲未來數位化。為達成前述優先事項,歐盟執委會提出一系列未來行動: 推行智財權行動計畫(Intellectual Property Action Plan)以保護歐盟技術主權,並採行適合綠色和數位轉型的法規框架; 持續檢討修正歐盟競爭相關法令(EU competition rules),確保法規能適應快速變化的經濟環境; 為維護產業在歐盟境內外的公平競爭環境,執委會將於在2020年中以前出版白皮書,處理歐盟單一市場中因外國補貼而引起的扭曲效應,以及歐盟境內的外國採購和外國資金問題; 推行關鍵原料行動方案(Action Plan on Critical Raw Materials),確保關鍵原物料穩定供應;支持戰略數位基礎設施和關鍵技術發展,增強歐洲產業及戰略自主地位; 其它則有對綠色公共採購進一步立法、發展低碳產業和技術、支持永續型智慧交通產業等。
韓國特許廳推動「技術公開網路服務」,公開技術達到防禦性功能且促進公眾利用韓國特許廳自2000年12月開始提供「技術公開網路服務」,透過此網站服務,研究人員可將其研發的技術公開、並登載在韓國特許廳的技術公開網站,藉以取得具公信力的公開日期。假若網站上公開的技術與先申請專利的其他技術相似,但其公開日期較早,那麼網站上公開的技術會被認為他人申請專利時的先前技術(prior art),他人就無法取得專利權。此一服務的目的在於希望企業或個人的研究開發成果可防止他人以相同或類似的技術申請專利,作為一種防禦手段。另公開的研發成果也可提供公眾免費使用,進而促進整體產業的發展。 為改善「技術公開網路服務」,增加使用上之便利性,韓國特許廳2011年10月起推出新的「技術公開網路服務」系統,規定必須載明公開的必要記載項目(包括標題、相關領域、目的、技術組成內容),以利其他人得以簡便地了解被公開的技術內容。利用人可到韓國特許廳建置之「專利資訊檢索服務(Korea Intellectual Property Rights Information Service, KIPRIS) 」網站進行檢索,搜尋所需之技術內容。 研發者可以將自己的發明想法公開,防止他人就同一或類似技術申請專利;同時任何人皆可查詢利用已經公開的技術,避免重複研發,也可讓業界掌握技術發展的最新動向,以促進技術之活用。