新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料
新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
- PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill
- PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available
- Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
柯元惠
副法律研究員 編譯整理
PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill, https://www.allenandgledhill.com/sg/publication/articles/21953/pdpc-issues-guide-on-responsible-use-of-biometric-data-in-security-applications (last visited July 1, 2022)
PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available , https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available (last visited July 1, 2022)
Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie, https://insightplus.bakermckenzie.com/bm/data-technology/singapore-pdpc-publishes-guide-on-responsible-use-of-biometric-data-in-security-applications/ (last visited July 1, 2022)
王自雄、周晨蕙,〈智慧建築安全監控資料應用法制課題與因應對策〉,《建築學報》,116期,頁105-122(2021),可參見https://www.airitilibrary.com/Publication/alDetailedMesh?docid=10163212-202106-202109290012-202109290012-105-122 (最後瀏覽日:2022/07/11)。
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64 (最後瀏覽日:2022/07/01)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2022/07/01)。
科法觀點
2011年5月英國電信主管機關Ofcom(Office of communications)對英國境內寬頻網路速率現況進行調查,寬頻網路平均下載速度從去年11月的6.2Mbits/s增為6.8Mbits/s,且有近半(47%)的使用者可享受到超過10Mbit/s的速度。 但廣告速度與真實速度間的差距擴大,今年5月業者平均廣告速度為15Mbit/s,,較真實速度6.8Mbits/s差距為8.2Mbit/s,而2010年11月平均廣告速度13.8Mbit/s真實速度6.2Mbit/s,差距為7.6Mbit/s。上述的差距主要發生於ADSL網路,英國有近75%的使用者仍用ADSL,此種傳輸方式將受到距離、纜線品質的影響。因此大多數業者所宣稱的20Mbit/s下載速度,僅能達到6.6 Mbit/s。有超過1/3的使用者速度為4 Mbit/s或更低。 F英國今年7月正式實施之寬頻速度自律規則(Voluntary Code of Practice on Broadband Speeds),為業者自願加入。除提供消費者「典型的速度範圍」(Typical Speed Range, TSR)資訊外,若消費者可使用速度小於業者宣稱之速度範圍,且業者無法解決問題時,在3個月內使用者可更換其他業者而無須罰款。目前已有BT、O2、Virgin Media等17家ISP業者加入自律規則中。
遠距健康照護之法律議題研析 德國柏林高等法院(LG Berlin)判決「Facebook」違反聯邦資料保護法德國柏林高等法院(LG Berlin)於2018年1月16日在德國聯邦消費者中心協會(Verbraucherzentrale Bundesverband)對 Facebook提起之訴訟中,判決 (Az. 16 O 341/15)Facebook網站之預設功能(Voreinstellungen)和部分使用及資料保護條款(Nutzungs- und Datenschutzbedingungen),違反德國聯邦資料保護法(Bundesdatenschutzgesetz)之相關規定,因此,部分針對企業徵求用戶同意使用其資料之條款被判定無效。 Facebook在其隱私設定中心隱藏對用戶資料保護有利之默認設置,且在新用戶注冊帳戶時未充分告知,故未符合用戶同意條款之要求。依據聯邦資料保護法之規定,個人資料僅允許在相關人同意下徵集及使用。為讓用戶能在知情下自行判斷是否同意個資使用,網路供應商須清楚、詳盡告知資料使用之方式、範圍及目的。但Facebook並未遵守該項要求,Facebook在手機App上已自行啟用定位服務,一旦用戶使用聊天功能,將透露其所在位置。尤其在隱私設定中,已預設各種搜尋引擎可取得用戶個人版面之連結,任何人均可快速和簡易的透過此種方式,發現任一用戶在Facebook上的個人資訊。因用戶能否被事先告知無法確實保障,對此,法官判定5項Facebook備受聯邦消費者中心協會批評的預設功能無效。 此外,柏林高等法院亦宣告8項包括預擬同意之服務條款無效,依照這些條款之規定,Facebook可將用戶之姓名和個人資訊運用於商業、贊助商或相關事業之內容,且其條款並未明確說明,哪些資料會被傳送至美國,以及其後續處理過程與所採用之資料安全標準為何。法官認為,上述預擬條款之意思表示並非有效之資料使用同意授權。此外,用戶在Facebook僅可使用實名之義務亦屬違法,德國聯邦消費者中心協會對此表示,電信媒體法(Telemediengesetz; TMG)規定,網路供應商須儘可能讓網路用戶匿名或他名參與網路運作,然而柏林高等法院對此觀點仍持保留態度。 柏林高等法院於判決中強調,本案單就聯邦消費者中心協會對Facebook之用戶使用條款是否有效提起之訴進行判決,並非判斷支援此些條款運作的資料處理過程之合法性。儘管如此,法院之見解仍可能對資料處理過程合法性之判斷造成影響。該項判決目前仍未最終定讞,故本案兩造皆可上訴柏林最高法院(Kammergericht),尤其聯邦消費者中心協會認為,Facebook以免費使用為廣告宣傳用語,不無誤導消費者之可能,故將對此提起上訴。至於未來本案上訴至柏林最高法院後之發展,關係個人資料保護程度之擴張及網絡供應商可用範圍之限制,故仍須持續關注。
美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突美國目前沒有聯邦的隱私法,由各州訂定州隱私法、產業隱私法,要求企業應揭露資訊以提升資訊透明度,然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法(My Health My Data Act)》的州隱私法,其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料,可用於識別消費者過去、現在或未來的物理或心理健康狀況」,例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」,如零售業者蒐集消費者近期採購的訂單內容(非健康資訊),並透過AI機器學習分析得出消費者可能懷孕的比例及預產期,藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下,導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密,建議企業可先採取: 1.使公司的智財部門與資料保護部門合作,確保公司人員對公司營業秘密標的及範圍的認知一致,並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前,先與消費者簽訂保密契約,並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施,建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。