英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟

  英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。

  英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應:

  1. 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。
  2. 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。
  3. 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。
  4. 當事人權利(Individuals' rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。
  5. 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。
  6. 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。
  7. 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。
  8. 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。
  9. 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。
  10. 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。
  11. 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。
  12. 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。

相關連結
相關附件
你可能會想參加
※ 英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8019&no=55&tp=1 (最後瀏覽日:2026/02/12)
引註此篇文章
你可能還會想看
韓國「電子文件認證管理系統」(Certified E-Document Authority System)法制化之簡介

RFID電子式護照的應用與法律爭議

何謂「國立研究開發法人」?

  國立研究開發法人為日本法制度下三種獨立行政法人類型的其中之一(其餘兩種為中期目標管理法人、與行政執行法人),任務乃是獨立於國家,發揮一定程度之自主性與自律性,從事在國民生活或社會經濟安定性等公益目的上所必要,但不須由國家為主體來執行的科學技術之實驗、研究與開發,並且這些科技研發業務,係基於具備一定中長期政策目標之計畫而進行,目的在於最大限度地確保得以提升國家科技水準、同時攸關經濟健全發展及其他公益的研發成果,並被期待產出得參與國際競爭的世界頂尖水準之新創科技,作為國家戰略的一環,同時專注於基礎科學與國家核心技術的研發。但在國立研究開發法人中,其所屬職員的身分並非公務員。   現在日本共有將近30個獨立研究開發法人,如日本醫療研究開發機構、森林研究‧整備機構‧新能源‧產業技術總合開發機構(NEDO)、國立環境研究所等。

演算法歧視將適用於《紐澤西州反歧視法》

2025年1月9日美國紐澤西州檢查總長與民權部(Division of Civil Rights, DCR)聯合發布「演算法歧視指引」(Guidance on Algorithmic Discrimination and the New Jersey Law Against Discrimination),指出《紐澤西州反歧視法》(the New Jersey Law Against Discrimination, LAD)亦適用於基於演算法所衍生的歧視。 隨著AI技術日趨成熟,社會各領域已大量導入自動化決策工具,雖然它們能提高決策效率但也增加了歧視發生之風險。指引的目的在於闡述自動化決策工具在AI設計、訓練或部署階段可能潛藏的歧視風險,亦列舉出在各類商業實務情境中常見的自動化決策工具,並說明它們可能會如何產生演算法歧視。以下分別說明《紐澤西州反歧視法》適用範圍,以及與演算法歧視有關的行為樣態。 一、《紐澤西州反歧視法》之適用主體及適用客體 《紐澤西州反歧視法》禁止在就業、住房及公共場所等領域所發生的一切歧視行為,其適用主體相當廣泛,包含但不限於下列對象:雇主、勞工組織、就業仲介機構、房東、房地產經紀人、公共場所之經營或管理者、以及任何教唆或協助歧視行為之個人;而該法之適用客體亦有明確定義,為具有受保護特徵(如性別、族裔、身心障礙等)之自然人或法人。 此外指引特別說明,即便適用主體無意歧視、或其所使用之自動化決策工具係由第三方所開發,只要發生歧視行為依然違反《紐澤西州反歧視法》。這是因為《紐澤西州反歧視法》係針對歧視所帶來的影響進行規範,儘管無意歧視,其所帶來的影響並不一定比故意歧視還要輕微。 二、 歧視行為的三種樣態 1.差別待遇歧視 差別待遇歧視係指適用主體基於受保護特徵而對適用客體施予不同對待。舉例而言,若房東使用自動化決策工具來評估黑人潛在租戶,但不評估其他族裔的潛在租戶,則會因為其選擇性使用自動化決策工具而構成歧視。 2.差別影響歧視 差別影響歧視係指適用主體的政策或行為對適用客體造成不成比例的負面影響,且該政策或行為未能證明具有正當性、非歧視性、或不存在較少歧視性的替代方案,則該政策或行為構成歧視。例如,某商店利用臉部辨識技術來偵測過去曾有偷竊紀錄的顧客,但該系統對配戴宗教頭巾的顧客較容易產生誤判,此亦可能構成歧視。 3.未提供合理調整 合理調整係指身心障礙者、宗教信仰者、懷孕者以及哺乳者,在不會對適用主體造成過度負擔的前提下,得向其提出合理請求,以符合自身的特殊需求。以身心障礙員工為例,若雇主使用了自動化決策工具來評估員工的工作表現(例如監測員工的休息時間是否過長),在未考量合理調整的情況下,該工具可能會過度針對身心障礙員工進而構成歧視。 為減少演算法歧視發生頻率,「演算法歧視指引」特別闡述自動化決策工具可能會出現的歧視行為及歧視樣態。此份指引的另一個意義在於,縱使目前紐澤西州並沒有一部監管AI的專法,但仍可以利用現行的法律去處理AI帶來的種種問題,以利在既有的法律架構內擴充法律的解釋來回應新科技的挑戰,並達到實質管制AI的效果。

TOP