新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料
新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
- PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill
- PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available
- Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
柯元惠
副法律研究員 編譯整理
PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill, https://www.allenandgledhill.com/sg/publication/articles/21953/pdpc-issues-guide-on-responsible-use-of-biometric-data-in-security-applications (last visited July 1, 2022)
PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available , https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available (last visited July 1, 2022)
Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie, https://insightplus.bakermckenzie.com/bm/data-technology/singapore-pdpc-publishes-guide-on-responsible-use-of-biometric-data-in-security-applications/ (last visited July 1, 2022)
王自雄、周晨蕙,〈智慧建築安全監控資料應用法制課題與因應對策〉,《建築學報》,116期,頁105-122(2021),可參見https://www.airitilibrary.com/Publication/alDetailedMesh?docid=10163212-202106-202109290012-202109290012-105-122 (最後瀏覽日:2022/07/11)。
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64 (最後瀏覽日:2022/07/01)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2022/07/01)。
科法觀點
歐盟RoHS、WEEE政策實施在即,出身歐洲第一大品牌的飛利浦(Philips)率先響應,今年所有LCD監視器符合RoHS全面無鉛化,代工夥伴冠捷(AOC)隨第二季正式合併飛利浦顯示器事業部,也將導入無鉛製程。國內兩大LCD監視器製造大廠明基、光寶也已防患未然,製程無鉛化製程提早開跑。 飛利浦今年在台灣LCD監視器策略,其中之一是全面推展無鉛化產品線,W、P、B、S四大系列全面符合歐盟RoHS規定,鉛含量在○‧一%(1000ppm)以下,可說領先各品牌率先推出無鉛產品。 監視器製造大廠冠捷(AOC)已和飛利浦已簽訂顯示器事業部併購意向書,第二季起將正式啟動合併機制,而飛利浦在台灣僅留下採購、行政、台灣行銷業務部門。因此這套無鉛製程,也將如期導入至AOC的產線之中。至於國內製造大廠光寶、明基也已如期順利切換到無鉛製程。光寶目前綠色採購達成率已約七成,今年底則將達九成,因應製程無鉛化需要,還添購五部X光檢測設備,以期達到滴水不漏效果;至於明基明年起工廠端也不再生產舊款機種,一律符合無鉛化作業。 儘管無鉛製程難度相當高,不過對LCD監視器而言,挑戰最高卻是無汞化,因為冷陰極管(CCFL)內必含汞,所以歐盟規定裡則將CCFL燈管、投影機燈泡列為例外條款,不過隨著環保意識抬頭,LCD監視器業者已有以LED背光模組取代冷陰極管(CCFL)計畫。
中華人民共和國發布「電子認證服務管理辦法」中華人民共和國於今年(2005年)2月18日頒布「電子認證服務管理辦法」,該辦法乃是繼2004年8月頒布「中華人民共和國電子簽名法」後,針對電子認證服務產業所為之規範,目的在於使主管機關(中華人民共和國資訊產業部)對於憑證機構與電子認證服務之實施得有一明確之監督管理辦法(第4條),將於今年(2005年)4月1日正式施行。該辦法對於憑證機構之核可、電子認證服務之提供、暫停與終止、憑證應記載事項、憑證機構之審查義務、主管機關之監督管理辦法,以及相關罰責均予以明定。並於該法第41條設有過渡條款,明定憑證機構必須於今年(2005年)9月30日前取得電子認證服務許可,於今年(2005年)10月1日起,未取得許可者不得繼續從事電子認證服務,是以不採自願認可制。
英HFEA同意該國婦女利用PGD技術「訂製嬰兒」現今生殖醫學進步相當快速,透過諸如胚胎殖入前之基因診斷( PGD )、組織配對( tissue match )等新興生物技術,人們將有能力選擇未來孩子的外表、智力、健康甚至性別等,故就現今的科技發展而言,篩選具有某種特徵之嬰兒的技術能力早已具備,反而是相關的倫理、道德及社會共識等等卻是最難的部分,這也是有關「訂製嬰兒」( design babies )之爭議焦點。 近幾年,訂製嬰兒的討論在英國非常熱烈,在英國,人工生殖之進行應依人工生殖與胚胎學法規定,獲得 「人類生殖與胚胎管理局」 ( Human Fertilization and Embryology Authority, HFEA )之許可,至於進行人工生殖之同時,父母親是否得附加進一步的條件以「訂製嬰兒」,則一直有爭議。英國高等法院在 2002 年 12 月 20 日的一項判決中曾認為,國會制訂人工生殖與胚胎學法之目的,乃是在協助不孕婦女能夠生兒育女,至於組織配對的行為,則不在該法授權目的之內,因此 HFEA 無權就此等行為給予准駁。惟 2003 年 4 月 8 日 ,上訴法院推翻了高等法院的判決結果,但也進一步指出,這並不代表未來所有在進行 PGD 的同時加做組織配對之行為都是被允許的,想要施行這項技術之任何人,仍然需於事前取得 HFEA 的許可,新近 HFEA 已放寬管制規範,准許對更多種遺傳性疾病進行篩檢。 英國泰晤士報最近報導,一名英國女子已獲得英國 HFEA 同意 ,讓醫師將其透過體外受精方式培養出來的胚胎,利用基因篩檢技術,選擇出健康之胚胎植入其子宮內,以避免將她所罹患的遺傳性眼癌「視網膜母細胞瘤」基因傳給下一代。 本案婦女雖經 HFEA 同意「訂製嬰兒」,但仍會使「胚胎殖入前之基因診斷」( PGD )程序的爭議加劇,反對人士堅稱,基因篩檢的過程中勢必摧毀部分胚胎,且 為了某些目的而製造胚胎,將使人類被商品化,被訂製之嬰兒在長大成人後,若得知其出生之目的乃是在於治療其它親人,其心裡會對自己產生懷疑,並影響對自己人格的認同與其心理狀態。隨著生物技術發展飛快,許多可能背離社會良俗的行為恐將不斷出現,而法規能否隨之跟上則是生技產業能否興盛與倫理道德可否兼顧之重要關鍵。
澳洲發布「健康隱私指引」以降低健康資料之隱私風險澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年9月發布「健康隱私指引」(Guide to health privacy)協助健康服務提供者了解及實踐相關規範所制定之隱私義務以確保個人資料安全。依據1988年澳洲隱私法(Privacy Act 1988)規定,健康服務指所有評估、維持、改善或管理個人健康狀況;或是診斷、治療或紀錄個人疾病或健康狀況之行為。而健康服務提供者除了醫院及醫療人員,更包含其他專業人員例如健身房及減肥診所、私立學校及托兒所、遠端醫療服務等所有涉及健康資料並提供健康服務之單位及人員。由於澳洲隱私法要求服務提供者必須積極建立、實施及維護隱私合法處理程序,為了協助所有健康服務提供者確實遵守法定義務,以減少健康資料之隱私風險問題,OAIC制定「健康隱私指引」提出八大步驟要求健康服務提供者確保遵守義務並保障所持有之個人資料: 制定並實施隱私管理計畫,確保遵守澳洲隱私原則(Australian Privacy Principles, APPs)。 制定明確的責任制以進行隱私管理,並及時提供員工幫助與指導。 建立個人資料檔案紀錄,以確認持有之個人資料。 了解法律規範之隱私義務並實施法定流程以履行義務。 定期舉辦員工隱私培訓課程以強化團隊基礎知識。 建立隱私權政策並於網頁上呈現或是提供手冊說明相關內容。 保護所持有之資料不被濫用、遺失或未經授權的修改及揭露等。 制定資料外洩因應措施,針對資料外洩進行危機處理。