德國聯邦最高法院(Bundesgerichtshof, BGH)於今(2020)年7月「VI ZR 405/18」」案中拒絕當事人請求Google刪除有關其健康個資之主張,為2018年歐盟通過一般資料保護規則(General Data Protection Regulation, GDPR)後,德國聯邦最高法院第一件與被遺忘權相關之判決。本案當事人曾為德國一慈善團體之負責人,該團體於2011年陷入財務危機,而當時有報導指稱當事人作為團體負責人,竟稱病不回應媒體訪談。當事人認為上述報導資料有損其名譽,請求Google刪除與其健康個資相關之搜尋結果。德國聯邦最高法院於判決中強調,網路搜尋結果是否須被移除,應衡量相關之基本權利,個案分別認定。本案中大眾知的權利(right to information)優於當事人被遺忘權,故駁回原告之請求,判決Google勝訴。
被遺忘權首見於2014年歐盟判決(Google Spain v. AEPD and Mario Costeja Conzalez),賦予人民要求搜尋引擎移除對自身造成負面影響資訊之權利。GDPR進一步於第17條明文化此一權利之內涵,於個資依原本蒐集之目的已不具必要性、當事人撤回同意、當事人反對個資自動化處理、當事人個資遭不法侵害、依照法律規定應刪除個資及青少年與兒童個資等六種情形,當事人得請求資料控制者刪除個資。
法國近期亦有被遺忘權相關法院判決。法國最高行政法院(Conseil d’État)於今(2020)年3月撤銷法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)於2016年3月對Google作出十萬歐元之裁罰,因其僅刪除存在於法國網域內之當事人個資,而未及於全球網域。法國最高行政法院於本判決重申2019年歐盟法院(European Court of Justice)於Google v. CNIL之立場,認定Google履行被遺忘權之網域範圍僅適用於歐盟地區,而不及於全球,撤銷CNIL於2016年對Google作出之裁罰。
G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢 資訊工業策進會科技法律研究所 2025年03月10日 七大工業國組織(Group of Seven,下稱G7)於2024年10月10日至11日在義大利羅馬舉辦第四屆資料保護與隱私機構圓桌會議(Data Protection and Privacy Authorities Roundtable,下稱圓桌會議),並發布「G7 DPAs公報:資料時代的隱私」(G7 DPAs’ Communiqué: Privacy in the age of data,下稱公報)[1],特別聚焦於人工智慧(AI)技術對隱私與資料保護的影響。 壹、緣起 由美國、德國、英國、法國、義大利、加拿大與日本的隱私主管機關(Data Protection and Privacy Authorities, DPAs)組成本次圓桌會議,針對數位社會中資料保護與隱私相關議題進行討論,涵蓋「基於信任的資料自由流通」(Data Free Flow with Trust, DFFT)、新興技術(Emerging technologies)、跨境執法合作(Enforcement cooperation)等三大議題。 本次公報重申,在資通訊技術主導的社會發展背景下,應以高標準來審視資料隱私,從而保障個人權益。而DPAs作為AI治理領域的關鍵角色,應確保AI技術的開發和應用既有效且負責任,同時在促進大眾對於涉及隱私與資料保護的AI技術認識與理解方面發揮重要作用[2]。此外,公報亦強調DPAs與歐盟理事會(Council of Europe, CoE)、經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)、亞太隱私機構(Asia Pacific Privacy Authorities, APPA)、全球隱私執行網路(Global Privacy Enforcement Network, GPEN)及全球隱私大會(Global Privacy Assembly, GPA)等國際論壇合作的重要性,並期望在推動資料保護與建立可信賴的AI技術方面作出貢獻[3]。 貳、重點說明 基於上述公報意旨,本次圓桌會議上通過《關於促進可信賴AI的資料保護機構角色的聲明》(Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI)[4]、《關於AI與兒童的聲明》(Statement on AI and Children)[5]、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》(Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions)[6],分別說明重點如下: 一、《關於促進可信賴AI的資料保護機構角色的聲明》 繼2023年第三屆圓桌會議通過《關於生成式AI聲明》(Statement on Generative AI)[7]後,本次圓桌會議再次通過《關於促進可信賴AI的資料保護機構角色的聲明》,旨在確立管理AI技術對資料保護與隱私風險的基本原則。G7 DPAs強調許多AI技術依賴個人資料的運用,這可能引發對個人偏見及歧視、不公平等問題。此外,本聲明中還表達了擔憂對這些問題可能透過深度偽造(Deepfake)技術及假訊息擴散,進一步對社會造成更廣泛的不良影響[8]。 基於上述考量,本聲明提出以下原則,納入G7 DPAs組織管理的核心方針[9]: 1. 以人為本的方法:G7 DPAs應透過資料保護來維護個人權利與自由,並在AI技術中提供以人權為核心的觀點。 2. 現有原則的適用:G7 DPAs應審視公平性、問責性、透明性和安全性等AI治理的核心原則,並確保其適用於AI相關框架。 3. AI核心要素的監督:G7 DPAs應從專業視角出發,監督AI的開發與運作,確保其符合負責任的標準,並有效保護個人資料。 4. 問題根源的因應:G7 DPAs應在AI的開發階段(上游)和應用階段(下游)找出問題,並在問題擴大影響前採取適當措施加以解決。 5. 善用經驗:G7 DPAs應充分利用其在資料領域的豐富經驗,謹慎且有效地應對AI相關挑戰。 二、《關於AI與兒童的聲明》 鑒於AI技術發展可能對於兒童和青少年產生重大影響,G7 DPAs發布本聲明表示,由於兒童和青少年的發展階段及其對於數位隱私的瞭解、生活經驗有限,DPAs應密切監控AI對兒童和青少年的資料保護、隱私權及自由可能造成的影響程度,並透過執法、制定適合年齡的設計實務守則,以及發佈面向兒童和青少年隱私權保護實務指南,以避免AI技術導致潛在侵害兒童和青少年隱私的行為[10]。 本聲明進一步闡述,當前及潛在侵害的風險包含[11]: 1. 基於AI的決策(AI-based decision making):因AI運用透明度不足,可能使兒童及其照顧者無法獲得充足資訊,以瞭解其可能造成重大影響的決策。 2. 操縱與欺騙(Manipulation and deception):AI工具可能具有操縱性、欺騙性或能夠危害使用者情緒狀態,促使個人採取可能危害自身利益的行動。例如導入AI的玩具可能使兒童難以分辨或質疑。 3. AI模型的訓練(Training of AI models):蒐集和使用兒童個人資料來訓練AI模型,包括從公開來源爬取或透過連線裝置擷取資料,可能對兒童的隱私權造成嚴重侵害。 三、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》 考慮到個人資料匿名化、假名化及去識別化能促進資料的創新利用,有助於最大限度地減少隱私風險,本文件旨在整合G7成員國對於匿名化、假名化與去識別化的一致理解,針對必須降低可識別性的程度、資訊可用於識別個人的程度、減少可識別性的規定流程及技術、所產生的資訊是否被視為個人資料等要件進行整理,總結如下: 1. 去識別化(De-identification):加拿大擬議《消費者隱私保護法》(Consumer Privacy Protection Act, CPPA)、英國《2018年資料保護法》(Data Protection Act 2018, DPA)及美國《健康保險可攜性及責任法》(Health Insurance Portability and Accountability Act , HIPAA)均有去識別化相關規範。關於降低可識別性的程度,加拿大CPPA、英國DPA規定去識別化資料必須達到無法直接識別特定個人的程度;美國HIPAA則規定去識別化資料須達到無法直接或間接識別特定個人的程度。再者,關於資料去識別化的定性,加拿大CPPA、英國DPA認定去識別化資料仍被視為個人資料,然而美國HIPAA則認定去識別化資料不屬於個人資料範疇。由此可見,各國對去識別化規定仍存在顯著差異[12]。 2. 假名化(Pseudonymization):歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)及英國《一般資料保護規則》(UK GDPR)、日本《個人資料保護法》(個人情報の保護に関する法律)均有假名化相關規範。關於降低可識別性的程度,均要求假名化資料在不使用額外資訊的情況下,須達到無法直接識別特定個人的程度,但額外資訊應與假名化資料分開存放,並採取相應技術與組織措施,以確保無法重新識別特定個人,因此假名化資料仍被視為個人資料。而關於假名化程序,日本個資法明定應刪除或替換個人資料中可識別描述或符號,歐盟及英國GDPR雖未明定具體程序,但通常被認為採用類似程序[13]。 3. 匿名化(Anonymization):歐盟及英國GDPR、日本個資法及加拿大CPPA均有匿名化相關規範。關於降低可識別性的程度,均要求匿名化資料無法直接或間接識別特定個人,惟可識別性的門檻存在些微差異,如歐盟及英國GDPR要求考慮控管者或其他人「合理可能用於」識別個人的所有方式;日本個資法則規定匿名化資料之處理過程必須符合法規標準且不可逆轉。再者,上述法規均將匿名化資料視為非屬於個人資料,但仍禁止用於重新識別特定個人[14]。 參、事件評析 本次圓桌會議上發布《關於促進可信賴AI的資料保護機構角色的聲明》、《關於AI與兒童的聲明》,彰顯G7 DPAs在推動AI治理原則方面的企圖,強調在AI技術蓬勃發展的背景下,隱私保護與兒童權益應成為優先關注的議題。與此同時,我國在2024年7月15日預告《人工智慧基本法》草案,展現對AI治理的高度重視,融合美國鼓勵創新、歐盟保障人權的思維,針對AI技術的應用提出永續發展、人類自主、隱私保護、資訊安全、透明可解釋、公平不歧視、問責等七項原則,為國內AI產業與應用發展奠定穩固基礎。 此外,本次圓桌會議所發布《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》,揭示各國在降低可識別性相關用語定義及其在資料保護與隱私框架中的定位存在差異。隨著降低可識別性的方法與技術不斷創新,這一領域的監管挑戰日益突顯,也為跨境資料流動越發頻繁的國際環境提供了深化協調合作的契機。在全球日益關注資料保護與隱私的趨勢下,我國個人資料保護委員會籌備處於2024年12月20日公告《個人資料保護法》修正草案,要求民間業者設置個人資料保護長及稽核人員、強化事故通報義務,並針對高風險行業優先實施行政檢查等規定,以提升我國在數位時代的個資保護水準。 最後,本次圓桌會議尚訂定《2024/2025年行動計畫》(G7 Data Protection and Privacy Authorities’ Action Plan)[15],圍繞DFFT、新興技術與跨境執法合作三大議題,並持續推動相關工作。然而,該行動計畫更接近於一項「基於共識的宣言」,主要呼籲各國及相關機構持續努力,而非設定具有強制力或明確期限的成果目標。G7 DPAs如何應對數位社會中的資料隱私挑戰,並建立更順暢且可信的國際資料流通機制,將成為未來關注的焦點。在全球共同面臨AI快速發展所帶來的機遇與挑戰之際,我國更應持續關注國際趨勢,結合自身需求制訂相關法規以完善相關法制,並積極推動國際合作以確保國內產業發展銜接國際標準。 [1]Office of the Privacy Commissioner of Canada [OPC], G7 DPAs’ Communiqué: Privacy in the age of data (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/communique-g7_241011/ (last visited Feb 3, 2025). [2]Id. at para. 5. [3]Id. at para. 7-9. [4]Office of the Privacy Commissioner of Canada [OPC], Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_ai/ (last visited Feb 3, 2025). [5]Office of the Privacy Commissioner of Canada [OPC], Statement on AI and Children (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_child-ai/ (last visited Feb 3, 2025). [6]Office of the Privacy Commissioner of Canada [OPC], Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/de-id_20241011/ (last visited Feb 3, 2025). [7]Office of the Privacy Commissioner of Canada [OPC], Statement on Generative AI (2023), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2023/s-d_20230621_g7/ (last visited Feb 3, 2025). [8]Supra note 4, at para. 11. [9]Supra note 4, at para. 18. [10]Supra note 5, at para. 5-6. [11]Supra note 5, at para. 7. [12]Supra note 6, at para. 11-15. [13]Supra note 6, at para. 16-19. [14]Supra note 6, at para. 20-25. [15]Office of the Privacy Commissioner of Canada [OPC], G7 Data Protection and Privacy Authorities’ Action Plan (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/ap-g7_241011/ (last visited Feb 3, 2025).
英、美等國拒絕簽署新全球電信規則由聯合國「國際電信聯盟」(the UN's International Telecommunication Union ,ITU)主持的國際電信世界大會(the World Conference on International Telecommunications ,WCIT)於2012年12月14日在杜拜落幕,此次有193個國家的政府代表與會,主要議題討論是否要更新自1988年以來已經24年未經修改的全球電信規則(the International Telecommunication Regulations ,ITRs),該修正案主要係由中國與俄羅斯所提出,其有意授權政府監管網際網路,盼望各國能合作打擊垃圾郵件並促進網路的普及。 這項修正案最大爭議點就在「人權」二字。若政府擁有網路審查權成為普世價值,保護言論自由是否將流於口號,某些習慣高壓政策的國家是否會濫用審查權,控制輿論進行不當審查與管制? ITU秘書長Hamadoun Touré認為網際網路應該納入全球電信政策框架下,但反對派則認為此舉扼殺了網路自由,美國代表團團長Terry Karamer則主張,網路政策不應由聯合國成員國來定,應該由公民、社群以及更廣大的社會來決定。 經過激烈的辯論之後,共有89國支持這項修正案,而包括美國、加拿大、澳洲和英國在內的55個國家已經拒絕簽署,該修正案將於2015年1月1日生效,由於修正後的新規定必須經過所有成員國同意才具全球約束力,大會呼籲未簽署或已經拒絕簽署的55國應盡速簽署。
青少年在網路使用安全的議題上需要更多的協助及指引為瞭解兒童及青少年透過行動裝置接取網路不當內容(inappropriate content)之情形,以及父母或監護人如何限制孩子使用網路設備等議題,英國通訊管理局(Office of Communications, Ofcom)委託英國第二大研究機構Ipsos MORI於2009年3-4月間,與797組7-16歲的兒童及青少年進行面對面的親子訪談,並於2009年9月公布該調查之研究結果。 根據該份兒童及青少年接取網路內容訪談的研究報告(Children’s and young people’s access to online content on mobile devices, games consoles and portable media players)顯示,分別有90%及74%的兒童及青少年透過遊戲裝置及行動電話使用接取網路,利用其他多媒體影音裝置上網的則占13%。另外有三分之二透過行動電話上網的使用者,可自由瀏覽及接取網路內容,而無任何內容分級或不當內容接取上的限制。該研究報告同時亦指出,對於使用行動電話上網的兒童及青少年,僅有10%的父母及監護人「非常關心」(major concerns)其瀏覽或接取不當網頁內容的問題;而使用遊戲裝置上網的兒童及青少年中,僅有11%的父母或監護人「非常關心」其對於接取或瀏覽不當內容之問題。對於兒童及青少年利用行動電話上網的管制議題上,父母及監護人多半透過通話及簡訊的使用量來限制兒童及青少年使用行動電話,而非直接要求兒童及青少年禁止其上網瀏覽不當的內容或教導其如何安全的使用網路。此外,就兒童及青少年本身使用網路所遇到的安全性問題上,介於11-16歲的青少年有54%表示,其需要有關如何維護隱私權及個人資料的建議與協助;而28%的青少年則提及,其需要資訊安全的建議,尤其是如何強化密碼及個人識別碼(personal identification numbers, PINs);至於7-11歲的兒童則多以「不知道」來回答調查問卷上的問題。 藉由該份研究報告數據的公開,英國政府開始針對兒童及青少年透過行動裝置使用網路之安全性問題進行研議,期望透過更多的宣導與教育,使父母及監護人更為關心兒童及青少年網路內容帶來的身心健康影響,並提昇父母、監護人、兒童及青少年對於網路使用的安全意識,以建立兒童及青少年對於網路安全的正確觀念。
FDA對於食品製程中應用奈米科技者發布產業指引草案FDA於今年(2012年)4月12日分別發布了兩項有關於評估應用奈米科技於化妝品及食物影響之產業指引草案(draft guidance)。其中就奈米科技應用於食品(以下簡稱奈米食品)之影響,FDA於「產業指引草案:評估包括使用新興科技在內之重要製程,改變對食品原料、與食品接觸物質及食品色素安全性及法規狀態之影響」(Draft Guidance for Industry: Assessing the Effects of Significant Manufacturing Process Changes, Including Emerging Technologies, on the Safety and Regulatory Status of Food Ingredients and Food Contact Substances, Including Food Ingredients that are Color Additives,以下簡稱新興科技衍生食品產業指引草案)中,對於食品製造商應採取哪些步驟以證明使用奈米科技之食品及食品包裝之安全性,有較為具體之說明。 於新興科技衍生食品產業指引草案中,明確表示奈米科技為此文件之涵蓋範圍,惟其聲明將奈米科技納入文件並不代表FDA認定所有內含奈米物質之產品皆屬有害,僅說明FDA認為依據奈米食品之特性,應進行特別的安全性評估以確保安全。文件中也強調,FDA對於食品製程中應用奈米科技所作之考量,與應用其他科技於食品製程者無異,並認為應用奈米科技所產出之最終產品,在原定用途之使用下,其特性及安全性與傳統製程產出者相同。 針對奈米食品之安全性評估,新興科技產業指引草案中指出,應就該食品所使用物質於奈米尺寸下之特性為其判斷基礎,而有可能必須進一步檢驗此等特性之影響,例如該物質對於生物可利用率及其於器官間運輸之影響等。此外,文件中亦提及FDA於過去針對食品添加物、色素及與食物接觸物質之化學及技術數據所作成之產業指引,於此應同樣被遵守,而將奈米食品所涉及與安全性相關之文件提供給主管機關。而FDA也將持續地向產業提供諮詢服務,以確保產品之安全性。 由FDA所發布之相關產業指引觀察,縱使FDA仍秉持美國對於奈米科技不具危害性之基本立場,其仍透過強化安全評估之科學工具及方法,以審慎之態度來取得大眾對於此類產品安全之信任。