虛擬的永恆與往生者個人資料運用
逝者已矣,已不再是定律。2020年2月,韓國文化廣播公司(MBC)播放了一部紀錄片,紀錄了電視台製作團隊實現一位母親以虛擬現實VR(virtual reality)與已逝女兒重逢的過程,製作團隊透過動態捕捉技術,錄下一位兒童演員的動作,用以塑造往生者的行為動態,並重現還原往生者的聲音,製作出往生者的的三維虛擬影像。葡萄牙Henrique Jorge公司建立一個名為ETER9的社交網路,將每位用戶與AI進行配對,AI會學習複製該用戶於社交網路之行為,並可代其發表回覆與評論,即使其用戶已往生,AI仍持續運行。現今許多科技新創公司正著手研究「數位來生」,使往生者於數位中重生。
牛津網際網路研究所(Oxford Internet Institute)的一項最新研究顯示,估計約50年後,Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫,曾經創建過個人資料的用戶都不復存在,但他們的數位資訊卻永存於網際網路中,但在多數國家,往生者的資料並不是個人資料保護法令所含括的保護客體,往生者個人資料之運用勢必成為道德與法律上的重要課題。
英國阿斯頓大學的Harbinja教授表示,或可由遺囑中有無處置往生者個人資料之指示作為參考,但其亦表示在某些國家存在無法保證遺囑可得完全兌現的問題,例如,在英國遺囑中決定了個人資料的處理方式,仍可能僅被視為是個人意願,類似遺囑中選擇火葬的決定仍可能被執行者和繼承人推翻,且無法強制執行。
我國個人資料保護法施行細則第2條規定:「本法所稱個人,指現生存之自然人。」,所保護的個人資料對象是指「現生存有生命」的自然人,並不包括「往生者」,而歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利,例如匈牙利規定本人可指定特定人或由直系親屬行使本人往生後之權利、西班牙則規定繼承人有權行使GDPR第15條資料查詢權、第16條更正權和第17條刪除權,而義大利則規定親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權力。ETER9便可讓用戶設置死後停止AI代替回覆的功能,也可以指定授權往生後的帳號負責人。在數位來生的議題中,我國應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式,進而探討我國對往生者個人資料運用之相關議題。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
賴國任
副法律研究員 編譯整理
Sarah Alcantar, Data of the dead, https://www.statepress.com/article/2020/04/spmagazine-data-of-the-dead (last visited June 18, 2020)
Umberto Bacchi, Data of the dead: Virtual immortality exposes holes in privacy laws, https://www.reuters.com/article/us-global-tech-privacy-trfn/data-of-the-dead-virtual-immortality-exposes-holes-in-privacy-laws-idUSKBN21Z0NF (last visited June 18, 2020)
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。 故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。 該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
受美國聯邦最高法院Alice案影響,各級法院傾向宣告商業方法之電腦軟體專利無效依據美國專利法第101條規定,任何人發明或發現一新的、有用的程序、機器、製造物、組合物,或做出任何新的或有用的改良,並符合專利法所定之其他條件或要求,即可以取得專利權;然而,今年(2014年06月19日)美國聯邦最高法院於Alice Corp. v. CLS Bank International一案,認定原告透過第三方中介電腦系統 促進交易雙方交換資訊,以降低交易風險之技術,只是將抽象概念(第三方中介交易之商業方法)以一般方式於電腦軟體運行,故無法取得專利。 司法實務上,各級法院開始遵循此一判決先例,宣告與此性質類似之專利無效。例如:於Buysafe, Inc. v. Google, Case No. 2012-1575 (Fed. Cir. Sept. 3, 2014)一案,法院認定原告用來擔保線上交易安全之技術,只是將擔保契約關係此抽象概念運用於網路,故無法取得專利;於Loyalty Conversion Systems v. American Airlines, Inc., Case No. 2:13-CV-655 (E.D. Tex. Sept. 2, 2014)一案,法院認定原告以獎勵點數換取消費點數之技術,只是將貨幣交換此抽象概念透過電腦進行,故亦無法取得專利。 由各級審法院判決可以觀察到,以商業方法(抽象概念)為內容的電腦軟體專利有逐漸被宣告無效的趨勢,尤其是涉及到:縱使不以電腦軟體運行,但似乎亦可完成的交易方法。由此可見,各級法院對於專利法第101條已經開始採取較嚴格的審查標準。未來無論在專利申請或專利訴訟時,都宜一併考量Alice Corp. v. CLS Bank International案所帶來的影響。
日本制定民間個人健康紀錄業者蒐集、處理、利用健康資料之基本指引草案日本厚生勞動省、經濟產業省和總務省共同於2021年2月19日公布「有關民間個人健康紀錄(Personal Health Record, PHR)業者蒐集、處理、利用健康資料之基本指引」(民間PHR事業者による健診等情報の取扱いに関する基本的指針)草案,檢討民間PHR業者提供PHR服務之應遵守事項,希望建立正確掌握和利用個人、家族健康診斷或病例等健康資料之電子紀錄制度。 本指引所稱之「健康資料」,係指可用於個人自身健康管理之敏感性個人資料,如預防接種、健康診斷、用藥資訊等;而適用本指引之業者為蒐集、處理、利用上開健康資料並提供PHR服務之業者。根據指引規定,PHR業者應針對資訊安全對策、個人資料處理、健康資料之保存管理和相互運用性及其他等4大面向採取適當措施。首先,在資訊安全對策部份,業者需取得風險管理系統之第三方認證(如資訊安全管理系統制度(ISMS));其次,針對個人資料,業者應制定隱私政策和服務利用規約,並遵守個資法規定;然後,為確保健康資料之保存管理和相互運用性,系統應具備雙向資料傳輸之功能;最後,本指引提供檢核表供業者自行檢查,業者亦應在網站上公佈自行檢查結果。
美國針對政府雲端運算應用之資訊安全與認可評估提案為建構政府雲發展的妥適環境,美國於今年度啟動「聯邦風險與認可管理計畫」(Federal Risk and Authorization Management Program, FedRAMP),由國家技術標準局(National Institute of Standards and Technology, NIST)、公共服務行政部(General Service Administration)、資訊長聯席會(CIO Council)及其他關連私部門團體、NGO及學者代表共同組成的跨部會團隊,針對外部服務提供者提供政府部門IT共享的情形,建構一個共同授權與持續監督機制。在歷經18個月的討論後,於今(2010)年11月提出「政府雲端資訊安全與認可評估」提案(Proposed Security Assessment & Authorization for U.S Government Cloud Computing),現正公開徵詢公眾意見。 在FedRAMP計畫中,首欲解決公部門應用雲端運算所衍伸的安全性認可問題,因此,其將研議出一套跨部門共通性風險管理程序。尤其是公部門導入雲端應用服務,終究會歸結到委外服務的管理,因此本計劃的進行,是希望能夠讓各部門透過一個機制,無論在雲端運算的應用及外部服務提供之衡量上,皆能依循跨機關的共通資訊安全評定流程,使聯邦資訊安全要求能夠協調應用,並強化風險管理及逐步達成效率化以節省管理成本。 而在上述「政府雲端資訊安全與認可評估」文件中,可分為三個重要範疇。在雲端運算安全資訊安全基準的部份,主要是以NIST Special Publication 800-535中的資訊安全控制項作為基礎;並依據資訊系統所處理、儲存與傳輸的聯邦資訊的敏感性與重要性,區分影響等級。另一部份,則著重在持續性的系統監控,主要是判定所部署的資訊安全控制,能否在不斷變動的環境中持續有效運作。最後,則是針對聯邦資訊共享架構,出示模範管理模式、方策與責任分配體系。