歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引
因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或譯為一般資料保護規則,下簡稱GDPR)執法之需,針對個人資料合法處理要件之一當事人「同意」,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年4月10日修正通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679),其中就有效同意之要件、具體明確性、告知、獲得明確同意,獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域,以及依據指令(95/46/EC)所取得之當事人同意等,均設有詳盡說明與事例。
GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知,及透過聲明或明確贊成之行為,就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願(unambiguous indication)並表示同意。殊值注意的是,如果控制者選擇依據當事人同意為任何部分處理之合法要件,須充分慎重為之,並在當事人撤回其同意時,即停止該部分之處理。如表明將依據當事人同意進行資料之處理,但實質上卻附麗於其他法律依據,對當事人而言即顯係重大不公平。
換言之,控制者一旦選擇當事人同意為合法處理要件,即不能捨同意而就其他合法處理的基礎。例如,在當事人同意之有效性產生瑕疵時,亦不允許溯及援引「利用合法利益」(utilise the legitimate interest)為處理之正當化基礎。蓋控制者在蒐集個人資料之時,即應揭露其所依據之法定要件,故必須在蒐集前即決定其據以蒐集之合法要件為何。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李哲明
法律研究員 編譯整理
Guidelines on Consent under Regulation 2016/679 (wp259rev.01) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051(last visited:May 25, 2018)
GDPR consent guidance https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/gdpr-consent-guidance/ (last visited:May 25, 2018)GDPR consent guidance
設置於內閣府內之SIP(跨部會戰略創新推動方案Cross-ministerial Strategic Innovation Promotion Program)「自動駕駛系統」計畫分項,於2017年10月3日起啟動大規模之自動駕駛實證測試。為加速實現系統之實用化,超過20個以上之國內外汽車製造商等機關,預計於東名高速道路、新東名高速道路、首都高速道路及常磐自動車道及東京臨海地區之一般道路,參加之大規模實證實驗。 SIP自動駕駛系統係從2013年開始,以早日實現自動駕駛系統實用化、透過技術普及以減少交通事故和實現次世代交通系統為目標,並協調產官學各界共同領域工作,和將研究開發推進之重點聚焦於自動駕駛用 Dynamic Map高精度3D地圖(由日本7家相關公司共同出資成立之Dynamic Map Platform= DMP 開發之3D地圖)、人機界面 (Human Machine Interface, HMI)、資訊安全、降低行人事故、次世代都市交通等5種技術領域。 研究開發由汽車製造商於公開場合下進行,並接受大眾檢視,於研究開發成果公布同時,也因海外製造商的參與促進國際合作與國際標準化。本次有超過20個機關參加規模,係日本自動駕駛最大規模實證實驗。
日本發布成為可信賴夥伴的資料治理手冊,呼籲企業應建立並實施貫穿資料生命週期的資料治理機制日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊(下稱《手冊》)》,旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」,藉此將資料價值最大化,並將資料風險最小化。 《手冊》指出,資料驅動著社會發展,資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產,並透過制定相應的政策與規則,確保資料的品質與安全性。同時,考量資料具備易於複製、竄改且流通難以控制的特性,建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎,則仰賴適當且有效的資料管理機制,亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而,資料管理本身要能發揮效益,仍須依賴組織具備足夠的資料成熟度,即具備正確處理與應用資料的整體能力,方能系統性的落實管理與治理工作。 根據《手冊》內容,透過資料治理,企業或組織將能確保資料品質、透明度及安全性,並基於可信任的資料進行決策,進而有效提升決策精準度,實現風險管理與法規遵循,進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制,可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,作為制度設計與實務推動之參考,以強化資料治理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
OECD啟動全球首創的《開發先進人工智慧系統組織的報告框架》2025年2月7日,經濟合作暨發展組織(Organization for Economic Cooperation and Development,OECD)正式啟動《開發先進人工智慧系統組織的報告框架》(Reporting Framework for the Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems,簡稱G7AI風險報告框架)。 該框架之目的是具體落實《廣島進程國際行為準則》(Hiroshima Process International Code of Conduct)的11項行動,促進開發先進人工智慧系統(Advanced AI Systems)的組織建立透明度和問責制。該框架為組織提供標準化方法,使其能夠證明自身符合《廣島進程國際行為準則》的行動,並首次讓組織可以提供有關其人工智慧風險管理實踐、風險評估、事件報告等資訊。對於從事先進人工智慧開發的企業與組織而言,該框架將成為未來風險管理、透明度揭露與國際合規的重要依據。 G7 AI風險報告框架設計,對應《廣島進程國際行為準則》的11項行動,提出七個核心關注面向,具體說明組織於AI系統開發、部署與治理過程中應採取之措施: 1. 組織如何進行AI風險識別與評估; 2. 組織如何進行AI風險管理與資訊安全; 3. 組織如何進行先進AI系統的透明度報告; 4. 組織如何將AI風險管理納入治理框架; 5. 組織如何進行內容驗證與來源追溯機制; 6. 組織如何投資、研究AI安全與如何降低AI社會風險; 7. 組織如何促進AI對人類與全球的利益。 為協助G7推動《廣島進程國際行為準則》,OECD建構G7「AI風險報告框架」網路平台,鼓勵開發先進人工智慧的組織與企業於2025年4月15日前提交首份人工智慧風險報告至該平台(https://transparency.oecd.ai/),目前已有包含OpenAI等超過15家國際企業提交報告。OECD亦呼籲企業與組織每年定期更新報告,以提升全球利益相關者之間的透明度與合作。 目前雖屬自願性報告,然考量到國際監理機關對生成式AI及高風險AI 系統透明度、可問責性(Accountability)的日益關注,G7 AI風險報告框架內容可能成為未來立法與監管的參考作法之一。建議企業組織持續觀測國際AI治理政策變化,預做合規準備。
歐盟公布數位單一市場下ICT標準化優先發展項目歐盟於2016年4月19日公布數位單一市場下ICT標準化優先發展項目(ICT Standardisation Priorities for the Digital Single Market),包括:5G通訊、雲端運算、智慧聯網、巨量資料技術、以及網路安全等,作為目前數位單一市場發展的基礎。相關影響產業包含:智慧健康、智慧能源、智慧運輸系統、電動車、智慧家居、以及智慧城市等。其三大主軸依次說明如下: 1. ICT標準建立為數位單一市場發展核心 歐盟將依1025/2012規則為基礎,進行標準化建立,因此將聚焦在數位單一市場需要發展的核心技術領域,優先進行標準訂定。 2. 因應全球技術變遷發展 ICT標準發展主要仍以產業為導向,且由產業自願性採納,建立之原則包括應具備透明性、開放、公平與一致性、有效與連結性等,此同時也能促成歐洲創新能量之發展。 3.以雙主軸計畫優先發展ICT標準設立 (1)首先歐盟執委會將確認數位單一市場優先發展之五項領域,並且設立發展時程。 (2)針對上述的優先發展領域,歐盟將進行施行檢視以及相關細項。 在5G通訊部分,預計將透過5G公私協力合作發展,同時以目前產業的需求為發展導向;在雲端運算方面,歐盟將以資金補助方式,促進雲端應用的互通性與易取性發展,並且支持企業,尤其在中小企業部分,以服務層級協議為基礎,協助採用雲端運算服務;在智慧聯網發展部分,主要為發展技術、介面、Open API等,建立準則,並預計將智慧聯網標準納入成為政府採購項目之一;在網路安全性部分,在上述發展技術領域當中,資料安全與隱私保護為核心議題,因此除了透過公司協力方式發展安全技術以外,同時也鼓勵業者應該設計著手保護隱私等概念優先納入技術之中;關於巨量資料技術部分,包括跨部門技術整合、資料與後設資料有更佳的互通性。此外,尚包括資料與軟體基礎設施服務,提供科學資料的交換、執行資料管理計畫、品質驗證、信賴性與透明性等原則。 最後,在可能受影響之產業方面,以智慧健康發展為例,智慧健康必須符合病人預期要求,如病人安全維護以及達到更佳的健康照護體系。因此,互通性的標準為當中關鍵的角色,未來亦有助於發展各國之間跨境醫療照護實踐。在電子病歷交換方面,從病人病歷摘要、電子處方簽等等,在符合個資保護條件之下,建立互通性標準可使疾病的治療更為完善。歐盟未來將持續鼓勵各會員國之間標準互通性之發展,包含目前行動健康應用程式的使用,以及未來遠距醫療應用。後續,歐盟將從2016年開始至2017年,持續針對標準建立進行討論會議,預計以資金費用補助以及其他政策方式輔導發展,同時也在2016年6月提出規劃說明使歐盟標準化政策發展符合現代化。