新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料
新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
- PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill
- PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available
- Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
柯元惠
副法律研究員 編譯整理
PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill, https://www.allenandgledhill.com/sg/publication/articles/21953/pdpc-issues-guide-on-responsible-use-of-biometric-data-in-security-applications (last visited July 1, 2022)
PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available , https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available (last visited July 1, 2022)
Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie, https://insightplus.bakermckenzie.com/bm/data-technology/singapore-pdpc-publishes-guide-on-responsible-use-of-biometric-data-in-security-applications/ (last visited July 1, 2022)
王自雄、周晨蕙,〈智慧建築安全監控資料應用法制課題與因應對策〉,《建築學報》,116期,頁105-122(2021),可參見https://www.airitilibrary.com/Publication/alDetailedMesh?docid=10163212-202106-202109290012-202109290012-105-122 (最後瀏覽日:2022/07/11)。
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64 (最後瀏覽日:2022/07/01)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2022/07/01)。
科法觀點
伴隨人工智慧、大數據及雲端運算浪潮,生物辨識技術逐漸成為日常生活的一部分。所謂生物辨識技術,是指利用個人獨特之生物特徵辨識個人的技術。生物特徵包含任何人類生理或行為特徵,只要能夠滿足普遍性、獨特性、不變性及可蒐集性 ,即可作為生物辨識之資訊。由於生物辨識技術能利用生物特徵達到識別與驗證個人身分,因而引發公眾對隱私、資安等議題的關注。 對此,紐約市於2021年7月21日也開始正式施行《生物辨識隱私法》(biometric privacy act) ,期能藉由限制業者利用生物辨識技術以及賦予消費者訴訟權利作法,促成隱私權的週全保障。 該法主要有三大部分: 一、規範生物辨識資訊範圍,包含但不限於(1)視網膜或虹膜掃描(2)指紋或聲紋(3)手或臉部立體掃描或是其他可用於識別之特徵。就前開生物特徵,要求業者應在所有消費者入口處放置清晰顯眼的標誌,搭配簡單易懂方式揭露其蒐集、保留、儲存消費者生物辨識資訊行為。同時,也明文禁止業者將消費者生物辨識資訊以販賣、租賃、交易或是分享方式交換任何相關價值或利益。 二、提供受侵害之消費者訴訟權與法定賠償請求權。但是,就單純未符合揭露要求之業者,該法給予30天的補救期間,要求消費者應於起訴前30天通知業者改善,一經改善即不得再起訴。 三、闡明政府相關部門不適用本法。金融機構、業者與執法部門共享生物辨識資訊,以及單純以影像、圖像蒐集而未分析識別情形則豁免揭露規範。 綜上,紐約市於該法創設訴訟權、法定賠償數額及豁免事由,預料將會是紐約市企業隱私保護政策重要指標,而值得我們繼續關注其發展與影響。
美國上訴法院推翻FCC對廣電節目猥褻言論之認定美國紐約第二巡迴法院上訴法院於2007年6月5日做出判決,認定FCC對於廣電節目是否違反猥褻言論規範之判斷標準為恣意專斷(arbitrary and capricious)的決定。此一案件起因於福斯電視台轉播2002年及2003年音樂告示排行榜頒獎典禮(Billboard Music Awards)時,歌手Cher及名人Nicole Richie分別在典禮中說出不雅言詞,事後FCC認定福斯電視台之轉播違反廣電節目之猥褻言論相關規範。福斯電視台對於FCC之認定不服,因而向法院提起訴訟。 依照過去FCC對猥褻言論之認定標準來看,「瞬間之咒罵言詞」(fleeting expletives)並不屬於猥褻言論,廣電節目中播出相關內容並不違反猥褻言論之管制規範。但自2003年起,FCC改變認定標準,認為所有不雅言詞均不可避免地帶有性暗示之內涵,因此廣電節目中凡涉及不雅言論之內容都是猥褻言論。 根據紐約第二巡迴法院上訴法院之判決指出,FCC的決定毫無疑問地改變了對於廣電節目是否違反猥褻言論規範之認定標準,且FCC對於改變認定標準一事所提出的理由並不具有說服力;FCC於訴訟過程中亦承認,即便在決定改變認定標準前,也沒有證據顯示廣播電視台曾密集播送充滿咒罵言論之內容。因此,紐約第二巡迴法院上訴法院認為,FCC改變認定標準一事乃是恣意專斷的決定,從而撤銷FCC對於福斯節目之認定。對於法院之判決,FCC主席Kevin Martin表示遺憾以及難以置信,將會委請律師研議是否繼續上訴最高法院。
社群網站平台的商標爭議-Twitter v. TwitpicTwitpic公司為提供圖像分享服務軟體服務的公司,於2008年成立,2009年起,提供Twitter(微博)社群網站平台使用者,透過運用Twitpic的即時圖像分享功能,將照片及影像同時上傳至微博的服務;截至2014年6月已提供使用者此項微博平台的分享服務至少6年。Twitpic於2013年10月3日,以公司名稱「TWITPIC」為名稱,向USPTO(美國專利商標局)提出國際分類第42類之電腦服務之商標註冊案,並於2014年6月24日核准公告。 微博公司於知悉Twitpic商標申請資訊後,除了以Twitpic商標近似於先前註冊商標Twitter而提出商標異議外,並威脅Twitpic公司放棄商標申請,否則將切割Twitpic可直接連結照片至Twitter平台的服務。 同時,微博公司發言人表示,為了確保公司品牌及商譽不被侵害及淡化,故除了對於Twitpic公司提出商標異議外,並為了確保使用者能持續使用將照片及影像即時上傳至微博的服務,將由微博平台自行提供相關功能,以減少使用者無法運用Twitpic服務之不便。 因此,Twitpic公司負責人 Noah Everett於2014年9月初宣布,在無足夠的資源對抗大公司如微博的脅迫下,被迫於9月底關閉Twitpic服務。 依據Twitpic於微博上發布之最新消息顯示,Twitpic已被其他買家收購,將持續經營,但有關商標爭議案之後續發展,將持續觀察。
新加坡發布《應用程式分發服務安全準則》以強化應用程式用戶保護為降低應用程式(App)用戶接觸有害內容的風險,新加坡資通訊媒體發展管理局(Infocomm Media Development Authority,IMDA)發布《應用程式分發服務安全準則》(Code of Practice for Online Safety for App Distribution Services),要求應用程式分發服務(App Distribution Services,ADSs)採取必要防護措施,並導入年齡驗證機制,以進一步強化兒童保護。該準則將於 2025 年 3 月 31 日 生效。 本次IMDA依據《廣播法》(Broadcasting Act)第45L條所發布之《應用程式分發服務安全準則》,係為進一步強化對App用戶的保護。ADSs作為數位裝置存取應用程式的主要入口,是許多網路內容(例如線上遊戲)的上架平台,當用戶透過 ADSs下載App的比例提高,其接觸不當內容的風險亦增加。因此,新加坡要求指定業者建立安全措施,以降低用戶接觸不當內容的風險。被指定業者包括:Apple App Store、Google Play Store、Huawei AppGallery、Microsoft Store及Samsung Galaxy Store等。該準則亦要求ADSs業者建立年齡驗證機制,訂定年齡分級標準並限制兒童存取及下載不適齡的App,同時強化家長控制功能。這一措施讓新加坡成為全球首批強制推動年齡驗證的國家或地區之一,其他國家包括澳洲、歐盟、英國及美國。IMDA 亦將持續與ADSs 業者溝通,確保其有效落實年齡驗證機制。 早在2023年1月,新加坡已於《廣播法》中將線上通訊服務納入規範,政府可要求業者封鎖惡性內容(egregious content),確保網路環境安全並保護兒童免受不當內容影響。此外,依據《網路安全準則》(Code of Practice for Online Safety),政府可要求指定社群媒體服務業者(如Facebook、Instagram、TikTok、Twitter與YouTube等)降低用戶接觸有害內容的風險。 為因應日益增加的有害線上內容,新加坡未來將持續與相關政府機構、產業及社群合作,推動適當的監管措施與公共教育,以確保新加坡用戶免受線上風險侵害。