新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料
新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
- PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill
- PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available
- Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
柯元惠
副法律研究員 編譯整理
PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill, https://www.allenandgledhill.com/sg/publication/articles/21953/pdpc-issues-guide-on-responsible-use-of-biometric-data-in-security-applications (last visited July 1, 2022)
PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available , https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available (last visited July 1, 2022)
Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie, https://insightplus.bakermckenzie.com/bm/data-technology/singapore-pdpc-publishes-guide-on-responsible-use-of-biometric-data-in-security-applications/ (last visited July 1, 2022)
王自雄、周晨蕙,〈智慧建築安全監控資料應用法制課題與因應對策〉,《建築學報》,116期,頁105-122(2021),可參見https://www.airitilibrary.com/Publication/alDetailedMesh?docid=10163212-202106-202109290012-202109290012-105-122 (最後瀏覽日:2022/07/11)。
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64 (最後瀏覽日:2022/07/01)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2022/07/01)。
科法觀點
中國大陸電子遊戲機內銷管制變革 科技法律研究所 法律研究員 蘇彥彰 2014年07月22日 自中國大陸國務院2000年發布「國務院辦公廳轉發文化部等部門關於開展電子遊戲經營場所專項治理意見的通知」起,至2013年12月21日國務院發佈「國務院關於在中國(上海)自由貿易試驗區內暫時調整有關行政法規和國務院文件規定的行政審批或者准入特別管理措施的決定」為止,中國大陸長期以來嚴格執行其境內的「遊戲機內銷禁令」,一方面限縮了中國大陸遊戲機市場的發展,另一方面也使手機、網路遊戲得以在中國大陸地區崛起。如今遊戲機禁令逐步鬆動,是否會帶動整體遊戲市場洗牌,值得關注。為此,以下回顧中國大陸近年來就家用、掌上型遊戲機的管制政策沿革,並提示逐步開放過程間可能出現的變化和問題。 壹、中國大陸自2000年起長期禁止電子遊戲主機的國內銷售 中國大陸國務院於2000年發布「國務院辦公廳轉發文化部等部門關於開展電子遊戲經營場所專項治理意見的通知」,當中明白表示「任何企業、個人不得再從事面向國內的電子遊戲裝置及其零、附件的生產、銷售活動」,此一決定造成風行於世界其它國家地區的家用、掌上型遊戲主機,在中國大陸遊戲市場喪失其合法性[1]。當時中國大陸官方就管制家用遊戲機政策所提出的理由是其「擾亂了社會治安秩序、對青少年的身心發展帶來潛在傷害」。 然事實上中國大陸對於可能同樣對青少年造成影響的網路遊戲,不僅未加以禁止,反而將其列為重點產業大力扶植,此一作為明顯和禁止電子遊戲主機內銷理由相矛盾。因此長期以來各大主力電子遊戲機廠商,如索尼、微軟、任天堂等,仍一直試圖以各種方法打入中國市場,並呼籲中國大陸政府開放對內銷售電子遊戲主機[2]。 貳、2013年宣布於上海自貿區內重新開放電子遊戲機之內銷 中國大陸對電子遊戲主機的禁令在持續13年後,在2013年9月18日中國國務院發布的「中國(上海)自由貿易試驗區總體方案」中,終於提出允許外資企業在自貿區從事遊戲設備的生產和銷售。此後,僅隔五天上海文廣新聞傳媒集團旗下的百視通便宣佈將與微軟在自貿區合資組建公司,宣稱主要業務是「設計、開發、製作遊戲、娛樂應用軟件及衍生產品;銷售、許可、市場行銷自產和協力廠商的遊戲、娛樂應用軟體;遊戲機相關技術諮詢和服務」[3]。緊接著在2013年12月21日國務院再發佈「國務院關於在中國(上海)自由貿易試驗區內暫時調整有關行政法規和國務院文件規定的行政審批或者准入特別管理措施的決定」,正式宣佈在自貿區內停止實施「遊戲機禁令」。至此,自貿區的遊戲機銷售大門正式向投資者開放。 參、電子遊戲機於中國大陸市場可能面對的問題 在前述微軟案例中,其採取的方式是透過合資模式進入中國大陸市場,有論者指出,之所以如此,主要原因在於上海自貿區仍是「禁止外商投資經營網路資料中心業務」。因此,對於微軟而言,仍需倚重百視通成熟的資料中心業務和機上盒業務牌照,以作為其在中國大陸地區網路服務的內容提供主體。除了前揭百視通宣佈將與微軟在自貿區合資組建公司外,另外兩間在電子遊戲機市場上佔有巨大版圖的索尼(SONY)和任天堂(NINTENDO)目前雖然還無具體動作,但業界人士預計這兩間在遊戲機產業界具有舉足輕重地位的公司,很有可能仿照百視通與微軟合資的模式,尋找具有中國境內相關執照的廠商合作,進入中國大陸市場。 另一方面,由於2014年6月底最新公布的上海自貿區「負面清單」[4]中,仍然明確規定自貿區內外商「禁止直接或間接從事和參與網絡遊戲運營服務」。由於遊戲機上遊戲目前已朝向具有網路連線功能趨勢發展,此類遊戲若經有關部門歸類為網路遊戲,由於外商不得直接或間接進行遊戲的營運,因此將為中國大陸國產遊戲軟體業者留下相當大的發展空間,可據以抵抗技術實力和知名度兼具的外商國際遊戲軟體大廠;反之若此類具網路連線功能的單機遊戲不在中國大陸網路遊戲營運資格之限制範圍內,外商可直接或間接介入經營,對於目前仍處於「全本土化」的中國大陸網路遊戲產業,勢必會帶來相當的衝擊和競爭。 此外,中國大陸雖然放鬆對電子遊戲主機的內銷管制,但對於關鍵的遊戲軟體,由於中國大陸對出版境外著作權人授權的電子出版物(含網路遊戲作品),仍需由新聞出版廣電總局進行內容審查[5],對於有意進入中國大陸電子遊戲機市場的企業,如何推出能通過內容審查卻又不失遊戲性的遊戲軟體,並讓長期以來已習慣於「低價」甚至「免費」網路遊戲的中國大陸消費者買單,都是相關產業有待克服的問題。 [1]蓝齐,〈国务院禁令解除游戏机成客厅娱乐新力量〉,《IT时代周刊》,2014年3期。 [2]徐涵,〈13年禁令一夕难解 游戏3巨头苦盼中国市场开放〉,《IT时代周刊》,2013年3期。 [3]诸悦,〈游戏机,“行货”来了〉,《小康。財智》,2013年10期。 [4]《中国(上海)自由贸易试验区外商投资准入特别管理措施(负面清单)(2014年修订)》(上海市人民政府公告2014年第1号)。 [5]《国务院对确需保留的行政审批项目设定行政许可的决定》(国务院令第412号2004.06.29)。
美國通過最新的電子醫療紀錄之隱私與安全標準美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。 這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。 在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。