新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料
新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
- PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill
- PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available
- Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
柯元惠
副法律研究員 編譯整理
PDPC issues Guide on Responsible Use of Biometric Data in security applications, Allen & Gledhill, https://www.allenandgledhill.com/sg/publication/articles/21953/pdpc-issues-guide-on-responsible-use-of-biometric-data-in-security-applications (last visited July 1, 2022)
PERSONAL DATA PROTECTION COMMISSION [PDPC], Guide on the Responsible Use of Biometric Data in Security Applications Now Available , https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available (last visited July 1, 2022)
Singapore: PDPC publishes guide on responsible use of biometric data in security applications, Bakermckenzie, https://insightplus.bakermckenzie.com/bm/data-technology/singapore-pdpc-publishes-guide-on-responsible-use-of-biometric-data-in-security-applications/ (last visited July 1, 2022)
王自雄、周晨蕙,〈智慧建築安全監控資料應用法制課題與因應對策〉,《建築學報》,116期,頁105-122(2021),可參見https://www.airitilibrary.com/Publication/alDetailedMesh?docid=10163212-202106-202109290012-202109290012-105-122 (最後瀏覽日:2022/07/11)。
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64 (最後瀏覽日:2022/07/01)。
蔡毓華,〈紐約市實施《生物辨識隱私法》強化生物特徵保護〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8713&no=64(最後瀏覽日:2022/07/01)。
科法觀點
加拿大政府由創新、科學和工業部長(Minister of Innovation, Science and Industry)代表,於2022年6月16日提交C-27號草案,內容包括聯邦的私部門隱私權制度更新,以及新訂的《人工智慧資料法案》(Artificial Intelligence and Data Act, 下稱AIDA)。如獲通過,AIDA將是加拿大第一部規範人工智慧系統使用的法規,其內容環繞「在加拿大制定符合國家及國際標準的人工智慧設計、開發與應用要求」及「禁止某些可能對個人或其利益造成嚴重損害的人工智慧操作行為」兩大目的。雖然AIDA的一般性規則相當簡單易懂,但唯有在正式發布這部包含絕大多數應用狀況的法規後,才能實際了解其所造成的影響。 AIDA為人工智慧監管所設立的框架包含以下六項: (1)方法 以類似於歐盟《人工智慧法案》採用的方式,建立適用於人工智慧系統具「高影響力」的應用方式的規範,關注具有較高損害與偏見風險的領域。 (2)適用範圍 AIDA將適用於在國際與省際貿易及商業行動中,設計、發展或提供人工智慧系統使用管道的私部門組織。「人工智慧系統」的定義則涵蓋任何「透過基因演算法、神經網路、機器學習或其他技術,自動或半自動處理與人類活動相關的資料,以產生結果、做出決策、建議或預測」的技術性系統。 (3)一般性義務 I 評估及緩和風險的措施 負責人工智慧系統的人員應評估它是否是一個「高影響系統」(將在後續法規中詳細定義),並制定措施以辨識、評估與減輕使用該系統可能造成的傷害風險或具有偏見的結果。 II 監控 對該「高影響系統」負責的人員應建立準則,以監控風險緩解措施的遵守情況。 III 透明度 提供使用管道或管理「高影響系統」運作的人員應在公開網站上,以清晰的英語揭露 i 系統如何或打算如何使用。 ii 系統所生成果的類型及它所做出的決策、建議與預測。 iii 為辨識、評估與減輕使用該系統可能造成的傷害風險或具有偏見的結果,而制定的緩解措施。 iv 法規明定應揭露的其他訊息。 IV 記錄保存 執行受規範活動的人員應遵守紀錄保存要求。 V 通知 若使用該系統將導致或可能導致重大傷害,「高影響系統」的負責人應通知部門首長。 VI 匿名資料的使用 從事法案所規定的活動及在活動過程中使用或提供匿名資料的人員,必須依據規範制定關於(a)資料被匿名化處理的方式(b)被匿名化資料的使用與管理,兩方面的措施。 (4)部長命令 部門首長可以透過命令要求(a)製作紀錄(b)從事審計或聘請一位獨立的審計師執行(c)成立一個專責執行審計程序的組織(d)成立一個在有理由相信「高影響系統」之使用可能造成急迫重大傷害風險時負責進行終止或准許的組織。 (5)行政管理 AIDA為部門首長制定一項,可指定其所管轄部門中一名高級官員為「人工智慧與資料專員」的權利,其職責在協助部門首長管理與執行AIDA。 (6)罰則 違反AIDA規範之罰則主要為按公司、個人之收入衡量的罰款。特定嚴重狀況如以非法方式取得人工智慧訓練用資料、明知或故意欺騙大眾造成嚴重或心理傷害或財產上重大損失,亦可能判處刑事監禁。
英HFEA同意該國婦女利用PGD技術「訂製嬰兒」現今生殖醫學進步相當快速,透過諸如胚胎殖入前之基因診斷( PGD )、組織配對( tissue match )等新興生物技術,人們將有能力選擇未來孩子的外表、智力、健康甚至性別等,故就現今的科技發展而言,篩選具有某種特徵之嬰兒的技術能力早已具備,反而是相關的倫理、道德及社會共識等等卻是最難的部分,這也是有關「訂製嬰兒」( design babies )之爭議焦點。 近幾年,訂製嬰兒的討論在英國非常熱烈,在英國,人工生殖之進行應依人工生殖與胚胎學法規定,獲得 「人類生殖與胚胎管理局」 ( Human Fertilization and Embryology Authority, HFEA )之許可,至於進行人工生殖之同時,父母親是否得附加進一步的條件以「訂製嬰兒」,則一直有爭議。英國高等法院在 2002 年 12 月 20 日的一項判決中曾認為,國會制訂人工生殖與胚胎學法之目的,乃是在協助不孕婦女能夠生兒育女,至於組織配對的行為,則不在該法授權目的之內,因此 HFEA 無權就此等行為給予准駁。惟 2003 年 4 月 8 日 ,上訴法院推翻了高等法院的判決結果,但也進一步指出,這並不代表未來所有在進行 PGD 的同時加做組織配對之行為都是被允許的,想要施行這項技術之任何人,仍然需於事前取得 HFEA 的許可,新近 HFEA 已放寬管制規範,准許對更多種遺傳性疾病進行篩檢。 英國泰晤士報最近報導,一名英國女子已獲得英國 HFEA 同意 ,讓醫師將其透過體外受精方式培養出來的胚胎,利用基因篩檢技術,選擇出健康之胚胎植入其子宮內,以避免將她所罹患的遺傳性眼癌「視網膜母細胞瘤」基因傳給下一代。 本案婦女雖經 HFEA 同意「訂製嬰兒」,但仍會使「胚胎殖入前之基因診斷」( PGD )程序的爭議加劇,反對人士堅稱,基因篩檢的過程中勢必摧毀部分胚胎,且 為了某些目的而製造胚胎,將使人類被商品化,被訂製之嬰兒在長大成人後,若得知其出生之目的乃是在於治療其它親人,其心裡會對自己產生懷疑,並影響對自己人格的認同與其心理狀態。隨著生物技術發展飛快,許多可能背離社會良俗的行為恐將不斷出現,而法規能否隨之跟上則是生技產業能否興盛與倫理道德可否兼顧之重要關鍵。
韓國科學及資通訊部發布「韓國科學技術主權藍圖」韓國科學及資通訊部(Ministry of Science and ICT, MSIT)於2024年8月26日發布第一次國家戰略技術發展計畫「韓國科學技術主權藍圖」(Blueprint for National S&T Sovereignty)(下稱科技主權藍圖),以促進國家戰略技術(national strategic technology)之發展。 韓國於2022年10月發表〈國家戰略技術培育計畫〉(National Strategic Technology Nurture Plan),選定12個國家戰略技術。本次發布之科技主權藍圖,旨在為國家戰略技術提供中長期之支援政策,主要政策與預期效果如下: 1. 支持國家戰略技術商業化:MSIT將在5年內投資30兆韓元(約7200億台幣)於國家戰略技術之研發,並推出「顛覆性差距特殊上市程序」(super-gap special listing procedure),為具顛覆性之新技術提供融資、租稅優惠等支援,加速其商業化。 2. 增強韌性:韓國將加強與戰略夥伴之合作,觀察國際趨勢,定期更新國家戰略技術清單,以利其對國家戰略技術保持良好的應變能力。另一方面,韓國希望保持半導體記憶體(semiconductor memory)、蓄電池與顯示器技術之領先,並積極發展人工智慧半導體、尖端生物技術與量子技術等三大顛覆性領域,以期在國際上建立韓國主導之戰略技術標準化體系。 3. 建立任務導向的研發體系:MSIT將建立任務和目標績效管理體系,並搭建創新平台,鼓勵戰略技術之研發,目標為創造15家以上的戰略技術獨角獸公司(unicorn start-up),以引領韓國未來戰略技術之發展。
EDPS發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」(EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data),旨在協助決策者更易於進行隱私友善(privacy-friendly)之決策,評估其所擬議之措施是否符合「歐盟基本權利憲章」(Charter of Fundamental Rights of the European Union)關於隱私權和個人資料之保護。 該指引分為三大部分,首先說明指引的目的與如何使用;第二部分為法律說明,依據歐盟基本權利憲章第8條所保護個人資料的基本權利,並非絕對之權利,得於符合憲章第52條(1)之規定下加以限制,因此涉及處理個人資料的任何擬議措施,應進行比例檢驗;指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗: 必要性檢驗(necessity test) (1) 步驟1:初步對於擬議措施與目的為詳細的事實描述(detailed factual description)。 (2) 步驟2:確定擬議措施是否限制隱私保護或其他權利。 (3) 步驟3:定義擬議措施之目的(objective of the measure),評估其必要性。 (4) 步驟4:特定領域的必要性測試,尤其是該措施應有效(effective)且侵害最小(the least intrusive)。 若前述評估認為符合必要性,則接續比例性檢驗,透過以下4步驟評估: 比例性檢驗(proportionality test) (1) 步驟1:評估目的正當性(legitimacy),擬議措施是否滿足並達到該目的。 (2) 步驟2:擬議措施對隱私和資料保護基本權的範圍、程度與強度(scope, extent and intensity)之影響評估。 (3) 步驟3:繼續進行擬議措施之公平對等評估(fair balance evaluation)。 (4) 步驟4:分析有關擬議措施比例之結果。 科技時代的決策者在立法和政策擬定時,面臨的問題愈趨複雜,需要全面性評估,擬議措施限制應符合歐盟法規,且具必要性並合於比例,隱私保護更是關鍵,參酌該指引搭配EDPS於2017年發布之「必要性工具包」(Necessity Toolkit),將使決策者所做出的決策充分保護基本權利。