新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
歐盟自2007年起開始實施「歐盟(EC)1924/2006號食品營養及健康訴求規則」(簡稱營養與健康訴求規則)以來,對於以營養與健康為訴求的產品,要求廠商上市販賣之產品,必須經過科學實證,產品標示必須簡易明瞭,強調科學實證必須證明食用該產品對人體有益,並證明食用產品與其功能效果間能建立因果關係,更強調文字敘述應貼近事實、清楚明瞭、確實可靠,避免使用模糊不清或造成不同解讀的文字,以便於消費者識別選購產品,滿足個人攝取這類食品的需求。 自規則實施以來,業者紛紛向歐盟食品安全管理局(European Food Safety Authority,簡稱EFSA)遞交申請案件,期待通過審查,獲准上市。然而,以營養與健康訴求規則中的第十四項減少疾病風險與促進兒童健康訴求,引起較多爭議。到2008年9月底,九件申請案當中已有八件遭到EFSA駁回,無不引起產業界的恐慌。僅Unilever(聯合利華公司,以下簡稱Unilever)的植物固醇產品(plant sterol)一案通過。反觀其餘個案,廠商遭EFSA駁回申請案的理由不一。例如,法國廠商Bio-Serae以仙人掌纖維衍生物申請具有降低血脂質的健康訴求,EFSA表示提交的證據資料不足以建立食用產品與效果功能間的因果關係。再者,另一件訴求ALA(α亞麻油酸)和LA(亞麻油酸)之攝取可以促進兒童生長的申請案中,EFSA接受廠商檢附的證據資料,但表示孩童經由正常飲食即可攝取足夠的ALA與LA,攝取量高於均衡飲食標準沒有益處。 雖然EFSA之意見不具有法律效力,且負面意見不表示否定產品之成分或功能,僅表示其依據資料不完整,不足以證明兩者具有因果關係,但卻具有相當之影響力。目前某些業者面對法令細節尚未明朗,同時負面意見多於正面意見的情形下,憂心負面意見恐將影響公司與產品形象,先行退出審查過程並暫緩產品上市。到2008年底,EFSA又駁回五件關於益生菌(probiotics)增進兒童健康的申請案,表示提供的證據資料不足以證明其功能為由。累計至去年底二十七申請案中(含上述五件益生菌申請案),僅有五件申請案獲得EFSA之正面意見,負面意見依舊多於正面意見。 然而在2009年1月,EFSA核准西班牙廠商Danone促進兒童骨骼生長的健康訴求,表示證據資料足以建立因果關係,證明維他命D有助於鈣質攝取。顯示出業者提供充足科學證據資料與完整的產品說明,以證明其食用產品與功能效果間的因果關係,將利於審查作業進行,也將助於獲得EFSA之核准上市。
中國要求互聯網企業隨著消費者擔憂程度提高應加強數據隱私在越來越多消費者擔心部分企業以進行大數據研究名義竊取、交易或透露個人資料之行為,侵犯消費者隱私情況下,中國政府已要求互聯網企業加強對個人資料之保護;這並非中國當局第一次要求互聯網企業加強數據隱私保護,中國消費者協會(China Consumers Association, CCA)亦曾示警,中國大量智慧型手機應用程式正在蒐集過多個人資料,包括但不限於用戶位置、聯絡人清單及手機號碼。 中國互聯網金融協會(National Internet Finance Association of China, NIFA)於 11月初發表聲明提及:「未經消費者同意,會員組織不得蒐集、利用或向第三方提供消費者個人資料。」、「所有會員機構都應承擔保護個人資料之個人責任。如發生問題,應立即予以改善並報告給協會……消費者風險警示亦應加強。」,該協會亦向所有會員機構提出警告,對數據隱私之改善措施應承擔個人責任。 中國互聯網企業讚揚AI工具可使用海量數據以增強消費者體驗之優點,然它們不得不靈活應對消費者對如何蒐集與利用個人資料日益增長之焦慮,而中國政府目前正起草制定有關個人數據隱私保護法律,以解決日常生活伴隨著多方數位體驗而生之敏感問題。
Unicolors v. H&M一案可能翻轉美國著作權法§411註冊無效之認定標準美國最高法院於2021年11月8日聽取了Unicolors v. H&M案的口頭辯論,該案上訴法院認為著作權法§411所規定的註冊無效情況,並不以著作權人登記註冊時有主觀的詐欺意圖為限,應擴及到對錯誤事實有認知就足以使著作註冊無效,此一見解打破了先例判決。 依美國著作權法規定,著作權登記雖非取得著作權保護的要件,但著作權人須向官方進行註冊登記,才得以在美國提出著作權侵害的民事訴訟,使登記成為在美國主張著作權利之要件。 本案原告Unicolors主張被告H&M銷售之產品侵害其著作權,被告H&M主張原告Unicolors著作登記所涵蓋的31種面料設計並非同一天出版,不符合同一出版作品的要求,依美國著作權法§411規定,若申請註冊之資訊不正確,該錯誤資訊有導致該著作註冊無效的可能性,被告H&M此主張被上訴法院—第九聯邦巡迴法院所接受,法院認為著作權法§411所規定的註冊無效情況,並不以著作權人登記註冊時有主觀的詐欺意圖為限,應擴及到對於該錯誤有概括性了解就足以使著作註冊無效。 原告Unicolors於今(2021)年初向最高法院提交請願書,認為第九聯邦巡迴法院此一認定打破了先例判決。原告Unicolors主張,要使著作註冊無效,必須著作權人登記時有主觀上的重大錯誤,不能僅因著作權人對於法律或事實的誤解所產生的錯誤,就使得著作註冊無效。而被告H&M則再次強調該法條使用”knowledge”一詞,表示著作權人僅須對該錯誤事實有認知即可,解讀該法條時不應侷限於詐欺的主觀要件。 美國最高法院於日前聽取了Unicolors與H&M針對「著作註冊含有錯誤資訊」是否足以導致註冊無效的口頭辯論,目前預計於明(2022)年6月作出判決,若最高法院採認第九聯邦巡迴法院的見解,將有可能造成許多美國著作註冊無效的結果,值得業界留意。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
韓國金融服務委員會發佈防止金融機構再度發生個人資料外洩之要求韓國於今年1月份爆發史上規模最大的個資外洩案,國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人,亦因此請辭以示負責。 為防止將來金融機構再次發生個人資料外洩等事件,韓國金融服務委員會(Financial Services Commission, FSC)與相關部會於3月份發佈一連串要求,以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段,包括蒐集、保存、使用和銷毀客戶資料時,都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利,包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任,包括提升首席資訊安全官(Chief Information Security Officer, CISO)獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制,以確保面對未來可能的資料外洩事故時,可迅速有效的應對。 韓國政府於於3月底已對不需修改法律之部分開始執行,而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。