英國資訊委員辦公室表示個人資料之處理應遵循GDPR,公務機關也不例外
自西元2017年1月以來,英國稅務海關總署(Her Majesty's Revenue and Customs, HMRC)開始要求英國民眾使用線上語音方式進行身分認證,而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室(Information Commissioner's Office, ICO)深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形:
- 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。
- 蒐集民眾的生物識別資料時,未能給予民眾自由行使同意或拒絕權利的機會。
英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則(General Data Protection Regulation, GDPR),根據歐盟一般資料保護規則,英國稅務海關總署在蒐集、處理或利用民眾個人資料時,必須合法、公正及透明,並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。
本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法(The Data Protection Act 2018),英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆,但絕不能以犧牲民眾的隱私為代價,同時也隱約透露著:「沒有一個組織(包含政府機關)能夠凌駕於法律之上。」。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張恩若
法律研究員 編譯整理
ICO says that voice data collected unlawfully by HMRC should be deleted, Information Commissioner's Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/ico-says-that-voice-data-collected-unlawfully-by-hmrc-should-be-deleted/ (last visited July 11, 2019).
Blog: Using biometric data in a fair, transparent and accountable manner, Information Commissioner's Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/ (last visited July 11, 2019).
加拿大之地區航空公司-波特航空(Porter Airlines),因違反當地「反垃圾郵件法」(Anti-Spam Law),於2015年6月29日被加拿大廣播電視及通訊委員會(Canadian Radio-television and Telecommunications Commission,簡稱CRTC)裁罰150,000美元。 2014年7月1日施行之反垃圾郵件法,係為杜絕因濫發郵件而對資料當事人造成困擾所制定。在該法中,針對寄送商業電子訊息要求需符合「獲得當事人同意」、「識別發送人之資訊」、「取消訂閱功能設計」等三項條件。然而,波特航空所寄出之商業電子訊息,卻:(1)未設計退訂機制供資料當事人選擇退訂;(2)未提供法規要求之發送人完整聯絡訊息;(3)資料當事人提出取消商業電子郵件訂閱之請求,未於法定之10個工作日內執行;(4)自2014年7月至2015年2月寄出之每一封商業電子郵件,波特航空無法證明其已獲當事人之同意而為之。 CRTC法遵暨執行部門主席Manon Bombardier認為,在過去,企業都習慣依照一般商業慣例或內部政策執行相關工作,透過此一個案,希望能對其他企業產生警示作用。企業應針對發送電子商業訊息之部分,重新檢視並審查其內部相關程序及步驟,是否確實符合當地法規要求及條件,以免類似觸法事件再度發生。
英國「數位紅利」頻譜管理政策簡介 歐盟通過反脅迫規則,將針對他國的經濟脅迫手段採取反制措施歐盟理事會(European Council)表示已與歐盟執委會(European Commission,以下簡稱「執委會」)、議會(European Parliament)於2023年11月22日完成《保護歐盟及其成員國免受第三國經濟脅迫規則》(Regulation on the protection of the Union and its Member States from economic coercion by third countries,以下簡稱「反脅迫規則」)之立法流程,並將於2023年12月27日正式施行生效。 該法起源於中國大陸於2021年為抗議立陶宛(Lithuania)同意我國政府以「臺灣」名義在其首都維爾紐斯(Vilnius)設立代表處,停止輸入多項產品,導致立陶宛對中貿易額大幅降低。歐盟為避免特定國家持續利用此種經濟脅迫手段影響歐盟交易市場與會員國之主權,決定立法採行反制措施,並於2021年之貿易政策回顧(2021 Trade Policy Review)公布《反脅迫規則》之立法框架。 根據《反脅迫規則》,執委會得根據會員國、歐盟議會及其他經濟聯盟所提供之資訊進行職權(ex officio)調查;亦可依照受脅迫之會員國或企業的請求進行調查。在調查階段,執委會會在4個月內判斷特定國家之行為是否確實造成經濟脅迫,若確實存在,將進一步評估其對歐盟帶來之影響。調查完成後,若他國政府確實對歐盟成員國或企業實施經濟脅迫手段,執委會將提交報告與理事會進行決議,通過後,執委會將先採行不干涉措施(non-interventionist measures),與實施經濟脅迫手段之國家進行協商,並要求賠償因經濟脅迫而產生的損害。若採行不干涉措施後仍無改善,執委會得考慮採行干涉措施(interventionist measures),包含但不限於限制特定企業進入歐盟市場與投標政府採購案;終止對特定國家的關稅優惠,並課予額外之關稅等,以阻止該特定國家繼續干擾歐盟經濟體。