英國資訊委員辦公室表示個人資料之處理應遵循GDPR,公務機關也不例外
自西元2017年1月以來,英國稅務海關總署(Her Majesty's Revenue and Customs, HMRC)開始要求英國民眾使用線上語音方式進行身分認證,而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室(Information Commissioner's Office, ICO)深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形:
- 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。
- 蒐集民眾的生物識別資料時,未能給予民眾自由行使同意或拒絕權利的機會。
英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則(General Data Protection Regulation, GDPR),根據歐盟一般資料保護規則,英國稅務海關總署在蒐集、處理或利用民眾個人資料時,必須合法、公正及透明,並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。
本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法(The Data Protection Act 2018),英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆,但絕不能以犧牲民眾的隱私為代價,同時也隱約透露著:「沒有一個組織(包含政府機關)能夠凌駕於法律之上。」。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張恩若
法律研究員 編譯整理
ICO says that voice data collected unlawfully by HMRC should be deleted, Information Commissioner's Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/ico-says-that-voice-data-collected-unlawfully-by-hmrc-should-be-deleted/ (last visited July 11, 2019).
Blog: Using biometric data in a fair, transparent and accountable manner, Information Commissioner's Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/ (last visited July 11, 2019).
「不被追蹤網路資訊保護法」(Do Not Track Me Online Act of 2011)的內容為法律規定企業必須提供選項給消費者選擇退出不被網路追蹤的機制,例如廣告商為了廣告的行銷,以網路技術追蹤消費者軌跡,廣告商必須提供消費者退出被追蹤的選項,給消費者作選擇,主要的目的在保護消費者資訊不被網路技術追蹤而洩漏隱私,若是此法案通過後,可以藉此保護消費者的網路隱私權。 在2010年12月由美國聯邦交易委員會(U.S Federal Trade Commission, FTC)的網路隱私報告中初步提出Do Not Track Me Online Act,美國國會議員在2011年提出此法案進行討論,若是通過後,將會有效限制線上廣告及社群媒體追蹤消費者使用網路的行為,並且防免其將個人資料分享予其他企業,及有效限制線上廣告及社群媒體追蹤消費者使用網路。對於行政機關來說,能夠藉此協助美國聯邦交易委員會建構整體的不被追蹤網路法案標準。若業者未遵守此法案提供退出機制,美國聯邦交易委員會將可能提起不公正及詐欺訴訟,而發動此一訴訟的人員為各州檢察總長。 為了保護隱私,不被追蹤網路資訊法案的提出十分需要,對於企業是否能追蹤消費者的網路活動,消費者因此擁有選擇權。在美國聯邦交易委員會去年12月初步提出此法案後,許多網路瀏覽器例如Mozilla及Explorer紛紛改進技術,以提早因應不被追蹤法案的實施,而廣大消費者團體的也紛紛支持此法案,認為可以因此保護消費者的網路隱私權。
RFID應用發展與相關法制座談會紀實 歐盟食品管理局擬建立風險評估外部專家資料庫近年來,由於(European Food Safety Authority, 簡稱EFSA)對GM產品之管理並未能進行足夠之科學分析,同時,亦過份仰賴業者所提供之數據資料等原因,而造成歐盟某些會員國家對EFSA所作出之評估報告於公正及客觀性方面產生質疑;甚至,歐洲食品業者亦對目前EFSA是否將會因為專家人力不足而導致整體風險評估能力下降之問題表示關切。一位EFSA官員指出:我們需要更多科學專家來協助處理與風險評估有關之事務。 其次,隨著各界因對GMO產品不當之批判與歐洲整體食品安全評估工作量增加等因素,EFSA於日前決定,欲透過建立一外部專家資料庫(External Expert Database),來協助其風險評估工作之執行並促進評估專家招募過程之透明化,以達成免除外界對於歐洲食品安全評估過程疑慮之目的。不過,這些將提供協助之專家,並不會因此而真正成為EFSA科學評估小組成員(其將被視為是由人民主動對該小組執行評估工作提供協助)。除EFSA擬徵求歐盟境內專家學者外,未來其亦將邀請歐盟以外其他國家並在該領域為重要研究先驅之專家提供協助,以增加風險評估之品質與客觀性。 再者,綠色和平組織歐洲發言人Mark對於EFSA現階段執行之工作狀況也表示意見並指出:目前EFSA是在一種配備不良(ill-equipped)之狀態下,來勉強執行其所執掌之事務;不過,更讓人感到憂心者,則是由EFSA科學評估小組所做出科學性之意見,於不同會員國家間或於歐盟以外其他國家其是否仍將會被完全採納之問題。有鑒於此,相關人士認為:應再次強化EFSA於風險評估方面之能力! 最後,一位非政府機組織專家也提醒:僅單純地透過專家庫之建立,其實,並不能圓滿地解決當前EFSA於決策機制中所遭遇之困難;而只有當EFSA在未來欲邀請外部專家提供協助與支援時,一併將資金及相關政策配套措施納入考量後,才是此問題真正解決之道。
歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含: 今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障? 而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)? 於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」