美國明尼亞波利斯市禁止政府部門使用人臉辨識技術
美國明尼蘇達州明尼亞波利斯市的市議會鑑於人臉辨識技術有可靠性的疑慮,以及對有色人種有潛在的傷害,該議會於2021年2月12日通過修正《明尼亞波利斯條例》(Minneapolis Code of Ordinances)關於資訊治理(Information Governance)的部分,新條例規定除有例外情形,禁止政府部門採購人臉辨識技術及使用從該技術獲得之資訊。明尼亞波利斯是繼波士頓、舊金山、奧克蘭等,新加入禁用人臉辨識技術的城市。
新條例是由該市市議會議員Steve Fletcher倡議,其指出市民擔心在未得其同意時使用人臉辨識技術進行監視,是否會侵害市民的隱私權。此外,根據研究亦顯示人臉辨識技術仍存在瑕疵,尤其是辨別婦女、兒童和有色人種的錯誤率相當高,而不正確的識別,恐怕讓弱勢者受到更不利的對待。
明尼亞波利斯市以明尼蘇達州《明尼蘇達政府資料應用法》(Minnesota Government Data Practices Act)中所定資料隱私原則,作為制定新條例的基礎,規定在蒐集有關個人資料時應考慮並重視個人隱私,包含僅在具備理由時始得蒐集資訊,並且就蒐集的內容與原因保持透明。再者,新條例要求在市議會設置專門的委員會,市政府應向該委員會提出書面報告,說明新條例遵守的情形,以及追蹤及報告違反的情形及賠償措施。惟隨著技術和情事的變化,政府部門可能有使用人臉辨識技術的需求,就此,新條例規定政府部門需向市議會解釋使用該技術的必要性、說明如何使用該技術及所獲取之資訊、對技術及所獲取之資訊進行監管的計畫,市議會依規定應召開公聽會。若例外情形符合消除歧視、保護隱私、透明與公眾信任的目標,市議會則可同意政府部門使用人臉辨識技術,或要求政府部門修正前述監管計畫,作為市議會同意的條件。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蔡岳霖
高級法律研究員 編譯整理
Council members vote to bar City’s use of facial recognition technology, Feb. 12, 2021, http://news.minneapolismn.gov/2021/02/12/council-members-vote-to-bar-citys-use-of-facial-recognition-technology/ (last visited Mar 3, 2021).
Amending Title 2, Chapter 41 of the Minneapolis Code of Ordinances relating to Administration: Information Governance, https://lims.minneapolismn.gov/Download/File/4860/Facial%20Recognition%20Ordinance%2001.21.2021.pdf (last visited Mar 3, 2021).
COALITION CALLS ON MINNEAPOLIS CITY COUNCIL TO BAN FACIAL RECOGNITION, Feb. 9, 2021,https://www.aclu-mn.org/en/news/coalition-calls-minneapolis-city-council-ban-facial-recognition (last visited Mar 3, 2021).
基於維持「更好的管制」原則,歐盟執委會針對電子通訊管制架構之內容,公開徵詢社會大眾的意見。 此一電子通訊管制架構,係包括「架構指令」(2002/21/EC)、「發照指令」(2002/20/EC)、「網路接續指令」(2002/19/EC)、「普及服務指令」(2002/22/EC)及「隱私及電子通訊指令」(2002/58/EC)五個指令。除了此了指令之規範上,此次公開徵詢內容尚包括執委會有關「相關市場的建議」(C(2003)497)。 諮詢議題內容,則包括「管制架構的優劣點」、「現行管制架構是否能達到預期目標」、「現行管制架構如何改進」,以及特定之主題,如「範圍及目標」、「匯流及科技發展」、「頻譜管理」、「市場競爭及網路接續管制」、「執照核發及使用權」等。公開諮詢時間至2006年1月24日止。
日本修訂大學與研究機關敏感技術出口管理指引,因應外為法相關行政命令修正擴大出口行為之認定範圍日本經濟產業省於2022年2月4日公告修正「大學與研究機關敏感技術出口管理指引」(安全保障貿易に係る機微技術管理ガイダンス(大学・研究機関用))。該指引係依據外匯與外貿法(外国為替及び外国貿易法,下稱外為法)及其行政命令訂定,用以協助大學與研究機關,建立符合出口管制法規之內控制度,防止關鍵技術外流。 經產省於2021年11月18日公告修正外為法第55條之10第1項授權訂定之行政命令「出口人法遵標準省令」(輸出者等遵守基準を定める省令の一部を改正する省令),強化「視同出口」(みなし輸出)行為管制之要件明確性。經上述行政命令修正,日本居民位於外國政府支配下,或其行動係經外國政府與組織指示,而受到外國政府與組織強烈影響之情形,視同非日本居民,向其提供敏感技術需申請出口許可。本次指引修正即以此為基礎配合調整相關內容,重點如下: 針對如何認定是否該當「視同出口」要件,追加說明模擬事例與判斷方式,例如:日本大學教授同時在外國大學兼職,又取得敏感技術時,是否該當「視同出口」要件,應以契約判斷或要求該教授應主動申報。 大學與研究機構之出口管理程序:就教職員與學生是否會在「視同出口」要件下,被認定為非日本居民,建議應由大學或機構內之相關部門於其到職或入學時,掌握必要資訊;技術提供方在提供技術前,需先確認技術取得方是否屬於「視同出口」要件下之非日本居民等。 增訂敏感技術出口人之義務:若需向直接取得敏感技術以外之人,獲取判定「視同出口」要件該當性之必要資訊,應訂定程序依此進行判定;大學或研究機構衍生新創事業若有涉及敏感技術出口之業務,大學或機構方應進行相關指導。 遠距工作與線上會議相關:應留意透過線上會議「提供技術」之可能性;存在僱傭關係但未入境日本,經遠距工作提供勞務者,視為非日本居民;於日本境內線上參加海外研討會時提供受管制技術,視同向境外出口技術而須申請許可。
歐盟發布未成年網路安全指引歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》(Guidelines on measures to ensure a high level of privacy, safety and security for minors online,下稱指引),依據《數位服務法》(Digital Services Act)第28條未成年網路保護規定,未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障,且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料,前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務,及其服務面向包含未成年人或主要由未成年人使用,或其提供者知曉部分接收者為未成年人,則該數位平臺可被視為提供未成年人存取,數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡,常見的年齡確認方式有三種:自我聲明、年齡估測、年齡驗證,數位平臺提供者應評估所採方式之必要性及適當性,以最小侵害措施達成高度安全性,並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮,歐洲數位權利組織(European Digital Rights, EDRi)認為政府忽略數位平臺設計與商業模式的根本性問題,依賴年齡認證可能限制未成年人的權利,且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性,但歐盟執委會已將指引作為合規評估標準,使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界,該如何避免未成年人接觸不良網路內容成為許多國家關心的議題,值得持續追蹤相關動態作為我國未成年網路安全政策之參考。
Google被遺忘權近期歐洲法院判決趨勢德國聯邦最高法院(Bundesgerichtshof, BGH)於今(2020)年7月「VI ZR 405/18」」案中拒絕當事人請求Google刪除有關其健康個資之主張,為2018年歐盟通過一般資料保護規則(General Data Protection Regulation, GDPR)後,德國聯邦最高法院第一件與被遺忘權相關之判決。本案當事人曾為德國一慈善團體之負責人,該團體於2011年陷入財務危機,而當時有報導指稱當事人作為團體負責人,竟稱病不回應媒體訪談。當事人認為上述報導資料有損其名譽,請求Google刪除與其健康個資相關之搜尋結果。德國聯邦最高法院於判決中強調,網路搜尋結果是否須被移除,應衡量相關之基本權利,個案分別認定。本案中大眾知的權利(right to information)優於當事人被遺忘權,故駁回原告之請求,判決Google勝訴。 被遺忘權首見於2014年歐盟判決(Google Spain v. AEPD and Mario Costeja Conzalez),賦予人民要求搜尋引擎移除對自身造成負面影響資訊之權利。GDPR進一步於第17條明文化此一權利之內涵,於個資依原本蒐集之目的已不具必要性、當事人撤回同意、當事人反對個資自動化處理、當事人個資遭不法侵害、依照法律規定應刪除個資及青少年與兒童個資等六種情形,當事人得請求資料控制者刪除個資。 法國近期亦有被遺忘權相關法院判決。法國最高行政法院(Conseil d’État)於今(2020)年3月撤銷法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)於2016年3月對Google作出十萬歐元之裁罰,因其僅刪除存在於法國網域內之當事人個資,而未及於全球網域。法國最高行政法院於本判決重申2019年歐盟法院(European Court of Justice)於Google v. CNIL之立場,認定Google履行被遺忘權之網域範圍僅適用於歐盟地區,而不及於全球,撤銷CNIL於2016年對Google作出之裁罰。