新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料
新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
- PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill
- PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available
- Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
柯元惠
副法律研究員 編譯整理
PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill, https://www.allenandgledhill.com/sg/publication/articles/21953/pdpc-issues-guide-on-responsible-use-of-biometric-data-in-security-applications (last visited July 1, 2022)
PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available , https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available (last visited July 1, 2022)
Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie, https://insightplus.bakermckenzie.com/bm/data-technology/singapore-pdpc-publishes-guide-on-responsible-use-of-biometric-data-in-security-applications/ (last visited July 1, 2022)
王自雄、周晨蕙,〈智慧建築安全監控資料應用法制課題與因應對策〉,《建築學報》,116期,頁105-122(2021),可參見https://www.airitilibrary.com/Publication/alDetailedMesh?docid=10163212-202106-202109290012-202109290012-105-122 (最後瀏覽日:2022/07/11)。
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64 (最後瀏覽日:2022/07/01)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2022/07/01)。
科法觀點
歐盟成員國就《網路團結法》(Cyber Solidarity Act)草案於2024年3月達成臨時協議,目的是為了加強歐盟的團結以及偵測、準備和因應網路安全威脅事件的能力。 歐盟執委會(European Commission)提案的主要目標如下: (1)提供重大或大規模網路安全威脅事件的偵測和認識。 (2)強化準備、保護重要建設和必要服務。例如醫院和公共設施。 (3)加強歐盟的團結以及成員國之間有一致的危機管理與應變能力。 (4)最後,致力確保公民和企業皆有安全可靠的數位環境。 為了能快速且有效地偵測重大網路威脅,該法規草案建立了「網路安全警報系統」(cyber security alert system),這是一個由歐盟地區的國家和跨國界的網絡樞紐組成的泛歐洲基礎設施,將使用先進的資料分析技術以及時分享資訊,並警告有關跨境網路威脅的相關事件。 該草案亦建立網路緊急機制(cybersecurity emergency mechanism),以增強歐盟對網路安全事件應變的能力,它將包含: (1)準備行動:包含根據常見的危機情境和方法,測試高度關鍵部門(highly critical sectors)(醫療保健、運輸、能源等)的潛在漏洞。 (2)歐盟網路預備隊:係由經過認證且事先簽約的私人供應商所組成,在歐盟成員國及機構的請求下,對於發生大規模的網路安全事件進行干預及回應。 (3)財政互助:一成員國可以向另一個成員國提供援助。 最後,因應委員會及各國家當局的要求,研議中的法規建立了網路安全事件審查機制,事後對已發生的大規模網路安全事件進行審查、評估、汲取經驗,並提出一份建議報告,從而改善歐盟網路的態勢,以加強歐盟對此些事件的應變能力。 歐盟成員國此次的協議將進一步提高歐洲網路韌性,期能強化歐盟及其成員國在面對大規模網路威脅和攻擊時,能以更有效率的方式進行事前準備、預防以及提升事後從中恢復的能力。 網路安全事件是各國都會遇到的課題,《網路團結法》的發展與相關推動措施值得我們持續追蹤,以作為我國資通安全管理及網路資安事件應變機制之參考方向。
eBay接連於法國與英國L'Oreal商標侵權訴訟中獲勝擁有Lancome、YSL(Yves Saint Laurent)及Garnier等全球知名品牌的法國L'Oreal集團,於2007年9月向於英國、法國、德國、比利時及西班牙等五國的法院提起商標侵權訴訟,控告全球網拍龍頭eBay放任網路使用者於eBay出售仿冒的香水、化妝品及其他L'Oreal集團產品,導致L'Oreal蒙受重大損失,主張eBay應為網路使用者的侵權行為負起連帶責任。 但繼2008年8月比利時法院率先判決eBay勝訴後,2009年5月法國及英國法院亦接連判決eBay勝訴。法國巴黎法院於5月14日作成的裁決中,表示eBay已恪遵自身所負義務並以良善態度解決仿冒商品問題,因此eBay毋庸為網路使用者的侵權行為加以負責;法院同時表示eBay與L'Oreal雙方應攜手合作,共同制定打擊侵權行為的策略,以防制仿冒商品繼續透過網路販售流通。 法方判決eBay勝訴未久,英國法院緊接於5月22日判決eBay勝訴,對於接連獲勝,eBay仍再三強調本身僅係一單純提供商品交易服務之平台,自無須就使用者侵權行為加以負責;L'Oreal則表示eBay有責採取進一步的措施,以杜絕網路使用者販售仿冒的L'Oreal商品,其並表示未來仍將以eBay助長商標侵權為由,持續於歐洲各國提出訴訟。
南韓個人資料保護委員會宣布通過修訂個人資料保護法施行法2024年3月6日,南韓個資保護委員會(Personal Information Protection Commission, PIPC)宣布通過個人資料保護法施行法(Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree)修正案,並於2024年3月15日正式實行。 本次修法重點如下: 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策,個資主體(即,個人)有權要求解釋決策過程並進行審查,尤其當決策結果對個資主體權益有重大影響時(例如:不通過其社福補助申請),個資主體可拒絕自動化決策結果,並要求改為人為決策及告知重新決策結果。另為確保透明、公平,自動化決策依據的標準與程序亦須公開,並於必要時向公眾說明決策過程。 2.確立隱私長(Chief Privacy Officers, CPOs)的資格要求及適用範圍 為確保CPO能順利開展個資保護工作,要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗,且個資經驗至少2年。適用機關包括:年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者;學生超過2萬人的大學;處理大量特種個資的教學醫院或大型私人醫院等;疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定,PIPC每年需對公共機構(如:中央行政機關及其所屬機關、地方政府及總統令規定者)進行個資保護程度評估,而為使評估作業有所依循,本次新增評估標準及相關程序包括:政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任,將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時,調整適用門檻,將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人,以減輕小型企業負擔。另亦明訂可豁免責任的對象包括:不符合CPO資格的公共機構,公益法人或非營利組織,及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案,內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等,並舉行說明會來收集回饋意見。
歐盟委員會發佈新「電視無疆界指令」(Television without Frontiers)歐盟委員會在2007年03月09日,發佈了具現代化的統一文案:「電視無疆界指令」。在經過歐盟議會以及首長會議一讀後,委員會對於歐洲相關視聽的未來法律框架,有了廣泛的共識。 加速1989年電視無疆界指令的現代化,是2005年12月13日由委員會提出,目的是希能夠幫助歐洲視聽產業能更具競爭力,也期望透過對傳統電視廣播業者更彈性的規範,使其能夠因應技術的發展,接受新的技術,也能因應市場變化以及閱聽者收視習慣的改變,進一步創造新興的視聽媒體服務(數位電視中的視聽服務、行動電視、隨選視訊服務)。 除了新的規範內容,新指令還重申了自1989以來,一直為歐洲視聽政策核心的共同政策目標。這些目標包括尊重多元文化、要求各會員國採取適當措施來保護未成年人、媒體多元化、打擊種族和宗教仇恨等。此外,也明確鼓勵業者自律以及國家與非國家間的相互約束。整個新指令的文案目前正進行二讀中。