回上一頁 友善列印
字級:
小字級
中字級
大字級

雲端紀實

日期:2019-04-19

2019/04/16 「由臉書祖克伯國會作證週年展望我國個人資料保護」研討會

主辦單位:新世代金融基金會

主持人:陳 冲 (新世代金融基金會董事長)

與談人:范姜真媺(東海大學法律學院)

    彭心儀(清大科技法律研究所)

    黃乃寬(前證交所副總經理)

    蕭白雪(聯合報社會組組長)

時 間:2019年4月16日 上午9點30分

地 點:新世代金融基金會

 

自2007年,智慧型手機問世,科技日益發達的這十年,個人數據的使用和隱私權保護被廣泛討論。臉書被爆出於2016年外洩5000萬筆個資,並被濫用於美國大選,各國更加重視個資問題。在2018年4月祖克柏於國會作證一周年之時,希望藉由此次研討會,促使政府及各方共同探討本國個資法修法方向。

 

一、針對獨立監理機關

 

范姜真媺教授(東海大學法律學院)

日本申請GDPR認證,在歷經三年時間後,通過歐盟適足性認證,已於今年1月底成為「白名單」,而申請的過程中,為了讓歐盟認定其適格性,國內配合GDPR修法,首先即設立「獨立監督機關」,而目前台灣正積極與歐盟洽談,亦希望可以通過GDPR認證,進入白名單。根據日本雜誌調查,在亞洲區的個資保護評比,台灣目前只贏泰國,而就貿易角度而言,台日兩國貿易密切,若不加強個資保護,在日本成為GDPR白名單後,恐造成日後貿易上的困難點。

台灣需設立獨立監督機關,而此獨立監督機關不能具政黨色彩,且建議應為「合議制」機關,因各資保護牽涉個人資料、資訊科技、消費者保護及各行各業,故以委員制形式,綜合各方意見較為恰當。

 

彭心儀教授(清大科技法律研究所)

台灣目前採「分散式目的事業主管機關」之監理型態確有不妥,應有專責機關負責資料保護與流通。

以英國為例,英國的「資訊辦公室」(Information Commissioner's Office, ICO),主要功能即為「隱私保護及資訊流通的平衡」,當兩者有利益衝突時,此獨立機關須跨部會尋求平衡。獨立監督機構的設立,也應有專門領域之訴願或司法機構(一個完整配套流程)。

而面對GDPR,有幾個點值得大眾思考:

  • GDPR的標準是否應作為全球的標準?(其標準是否過於嚴苛? 且考量文化背景不同,華人社會對於隱私權是否有如此高的隱私期待?)
  • 台灣需要GDPR嗎?本土化的GDPR應著重哪些面向?所欲保護的價值為何?
  • 歐洲因嚴格的個資保護法,造成人工智慧及物聯網(IoT)發展受限,如何在產業發展及個資保護中取得平衡?
  • 國內資料保護監理機制應如何設置?

目的事業主管機關對於個資保護,固然有專業,但也可能存在「標準不一致」以及「裁量權過大」的問題,例如,NCC從嚴解釋個資法第20條例外事項,對於有線電視業者蒐集機上盒數據以精準估計收視率,始終持保留態度。但電信業者利用大數據進行行銷,似乎又被允許。

整體而言,設立資訊專責機構是一個可辯論的方向,問題在於制度及配套措施如何設計。

 

黃乃寬(前證交所副總經理)

常常我們還不自覺,就在提供各種隱私的資訊。許多人認為只要關閉手機上的「位置」選項,Google或是其他App就無法蒐集位置資料,但事實上,我們設定位置為開或關,和任何App是否可以蒐集沒有關係。以Google而言,在關閉時,位置資料只是不存進Location History,以致根據位置放送廣告的活動會暫停,但仍會存進稱作「Web and App Activity」的資料庫。這些紀錄只認設備不認人,足夠分析設備使用者的屬性,甚至再旁敲側擊、旁徵博引,多半可成功標註與此設備相關的電郵帳號、電話號碼等,遊走在可識別個資的灰色地帶。近三年來,美國檢警益加頻繁地經由Google資料庫來協助鎖定嫌疑犯,幫助偵查本來毫無頭緒的重大刑案。個資固然是個賺錢的機會,運用的巧,也有助公益;個資法若規範得當,既可防弊,亦足興利。

精準行銷是社群網路的主要收入來源。許多代理客戶投放「精準廣告」的行銷科技(Martech)業者其實只用到「可定位的設備」大數據資訊來分析對象的屬性,而不用知道設備背後真實的使用者。個資當然有價值,但是擁有價值的法律風險太高,令人卻步。一般企業其實也要付出許多成本來防止執行業務時取得的個資外洩,包括禁網站、過濾郵件、控管端點和防制進階持續性滲透攻擊(Advanced Persistent Threat, APT)等。對於個資,企業切應遵守:不需要蒐集的不要蒐集、不需要保留的不要保留,並且設定權限,使不該看到隱私資料的人不能去看。

 

蕭白雪(聯合報社會組組長)

國發會日後若換主委,個資保護修法方向是否會受影響,值得觀察。

牽涉行業及廣大利益,若要平衡各方利益,仍需要獨立專責機構。

現行法規及裁罰不明確,業者多有抱怨,不同行業間的標準應一致。

 

二、針對台灣修法架構:

  

范姜真媺教授(東海大學法律學院)

個人資料成兩種:「屬性資料」(生物特性)以及「社會活動資料」,保護個人資料是要保護個人資訊自主權,每個人應該可以決定是否公開、如何公開。現今有許多文獻探討,個人資料是屬於人格權或是財產權,若是屬於財產權是否代表可以交易?

歐美兩方針對個資保護議題立場不同,歐洲因為歷史文化,相對重視弱勢階層的人權,而美國雖然有規範聯邦政府蒐集個資的條文,但針對民間企業仍無相關規範,因美國是資本主義國家,個資對他們而言是一個發展經濟的工具。日本雖通過GDPR認證,但其國內立法並未全部複製GDPR,在GDPR中的被遺忘權及描繪(Profiling)皆未納入條文中。

在大數據運作的時代,需要特別強到個資的「匿名化」,降低「特定個人識別性」,在匿名性及利用價值間取得平衡,而匿名/假名應作區別,個人識別性的標準也需制定。

 

 

彭心儀教授(清大科技法律研究所)

修正個資保護法,最核心的問題是:台灣在數位經濟時代,需要什麼樣的隱私保護架構?

現行個資法的主要支柱已動搖,亦即,「同意權」的行使,諸多情況下,已不可行或不具意義。這是一個蒐集資料無所不在的新世界。現代社會應先認清,現今已經很難要求每一筆蒐集都需經過當事人同意,且無法在蒐集之際說清楚未來所有可能之「特定目的」,故在「蒐集」的階段,嚴格的同意權或許不可能繼續存在。因此,同意權應該在資料「利用」階段被強調,告知當事人將如何利用個資。

至於財產權問題,個人以為,越是原始(Raw Material)的資料,越屬於個人,應當從嚴保護,加強行政監理。反之,月是被加工統計處理的資料,甚至關於群體行為模式者(無法輕易辨識個人之資訊),則越屬於資料處理者,應賦予財產權,讓其充分發揮數據力量。

核心問題在於De-identification(去識別化),建議應由第三方專業機構負責認證,進行再識別化(Re-identification)測試等,以科學方法檢驗再次辨識個人之可能性。此外,「間接」個資,應從嚴解釋,以避免個資範圍過大。

 

 

黃乃寬(前證交所副總經理)

貧富不均,自古而然,農牧社會如此,資訊時代尤甚。向來,隱私權是富貴人家的特權,貧寒子弟的奢望。She’s entitled to no privacy without first having a room of her own. 資訊時代,個資的使用權顯然偏向資訊強勢的那一方。且看現今科技巨頭挾其強勢寡占,除非不使用他們的服務,不然只能提供個資,沒有隱私可言。良法的設計應使這種衝突不至惡化。譬如,為商業目的取得的可識別個資必須在一定年限後去識別化;為監理目的取得的可識別個資在一定年限後,亦應擇可公開部分去識別化,供統計分析等公益目的使用。證交所每日盤後公布證券商的進出表(曾有客戶極少的外資券商反彈),也把超過一年以上的委託成交檔等歷史資料去識別化以後供業者與學者研究,皆為其例。

 

 

個人資料已經是一種財產權,而如何運用、所謂特定目的外的使用是指哪些?數據應用於營利和隱私權的界線該如何界定值得思考。

  • 國發會曾表示本國個資法是很先進的立法,但據日本雜誌BUSINESS LAW JOURNAL 2018 No.127 第10期個人資料保護專刋,調查亞洲各國個資保護排名,臺灣排名倒數第二名。我國個資法修法應不要預設立場,應有此意識才能共同討論。
  • 法律的檢討需要有次序,這牽涉各行各業的發展利益、不同世代的文化價值及華人社會隱私權的重視程度等,須綜合考量整體社會的需要,才能了解那些值得保留,那些需要修改。例如資料蒐集時,社會上如已認清事實很難要求每一筆蒐集都需經過同意,是否增訂同意權的拋棄程度,並將同意權移列到資料「利用」面,也應注意個人資料範圍的合理程度。
  • 要保護消費者個資,就不應淪為形式保護,而應實質保護。目前採「分散式目的事業主管機關」之監理型態,幾陷於無人監督個資法之遵法情形,並形成金融業、上市櫃公司的嚴格遵守寸步難防,而其他行業肆意搜集處理利用個資之一國多制的現象,確有不妥。若有設立獨立專責機關,考量各產業蒐集資料的屬性而有作差異化保護(例如金融交易的資訊和一般購買商品的資訊),應可以要求保護程度接近(不可能完全相同,安全等級不同)。
  • 對於申請為歐盟GDPR「白名單」,作為政府唯一或是最優先的考量,有點可惜,應可藉此機會,重新審視個資保護及產業發展等問題。日本申請GDPR認證,在歷經三年時間後,通過歐盟適足性認證,已於今年1月底成為「白名單」,而申請的過程中,為了讓歐盟認定其適格性,國內配合GDPR修法,首先即設立「獨立監督機關」。

相關圖片

議程表

一、背景

(一) 臉書遭爆外洩個資及被濫用事件

2018年3月間遭爆臉書在2016年發生5000萬個資遭外洩並被濫用於2016年美國總統大選時干涉選舉,美國麻州檢察長宣布將對Facebook及劍橋分析公司展開調查。主要原因源於臉書在2014年同意英國一家數據公司劍橋分析(Cambridge Analytica),透過心理測驗App「這是你的數位生活(thisisyourdigitalife)」蒐集高達5千萬名Facebook用戶個資,並轉交由劍橋分析解讀數據,被應用於2016美國總統大選。

其中劍橋分析涉及擴大蒐集受試者(27萬)以外臉書好友的個資,並將蒐集的個資作蒐集目的範圍外的使用。而臉書,也涉及是否違反2011年11月與美國聯邦貿易委員會(FTC)所簽CONSENT ORDER之「資料持有者」保護用戶個資隱私權的義務,此涉及臉書防止第三者濫用個資的防火牆是否足夠,除主動下架了違法的App及要求刪除違法取得的個資外,是否負有告知案關用戶等行為義務。目前仍由FTC依臉書在2011年因違反其隱私權政策與FTC針對用戶資料的穩私權問題達成CONSENT ORDER的和解協議,調查是否違反該和解協議中。

無獨有偶,Google經法國CNIL委員會在2018年啟動調查後,於2019年1月21日公布調查結果,發現Google有二項違法事實。一是搜集個人資料時欠缺明確及透明度,客戶欲了解被搜集的資料,需經至少8道程序始得知道。二者,發送個人化廣告的用戶同意並不明確,因概括式同意,並不符合GDPR要求用戶給予「明確」及「清楚」的同意。GDPR 與美國法,最大不同就在於客戶「明確同意才能視為同意」。

 

(二) 祖克柏的國會聽證會

2018年4月11日祖克伯前往參議院司法委員會作證,主要回應下列問題 :

  1. 隱私權問題,祖克柏重申用戶的隱私權至關重要,並承諾用戶隱私權的控管會做得更簡明易懂。
  2. 劍橋分析(Cambridge Analytica)事件,承認在劍橋分析2015年末成為臉書上的廣告商,未即對其有所限制及相信其没有誤用個資,是一項錯誤。臉書目前已經更新政策,確保日後不會再有同樣錯誤。
  3. 針對洩漏個資給廣告商,臉書並沒有賣個資給任何廣告商。對於可以接觸到大量個資的app,臉書也會逐一審查,如果他們誤用資料,臉書會取消他們的app資格。
  4. 俄國利用資料影響美國2016總統大選(假新聞議題操作),祖克柏承認,在 2016 年的美國總統大選,Facebook 未能及時發現及阻止俄羅斯勢力操弄假新聞和選民的情緒。他重申那是事業上「最大憾事之一」。
  5. 假帳號問題,祖克柏回應臉書不允許用戶開設假帳號,頁面的內容也必須是真實的。並表示,已對今年內世界各地的多場選舉,準備了一系列措施應對,包括以最新的人工智慧科技挑出假新聞,聘用超過 2 萬人專責網絡安全、審查每一個政治/時事廣告。

祖克柏表示,臉書已經對社群媒體操控影響選舉和民主制度展開研究,同時要修訂它數據的政策和服務條款,並要求廣告商宣傳重大政治議題時必須先取得授權。

 

(三) 美國近來立法趨勢

據報導美國新任國會將推動研擬針對大型科技公司的新規範,把重點放在更嚴格執行隱私與資料保護。實際上並於2018.12.12由Senator Brian Schatz等14位議會連署提案The Data Act of 2018

2018.6.28之加州消費者隱私法(California Consumer Privacy Act)預計將於2020.1.1生效,此法主要參考歐盟的GDPR立法。依據該法,消費者有權知道商店收集了他們那些個人資料、為何收集,還有商店將資計分享給誰及向誰出售個資等。

加州隱私法主要有五項重點:

  1. 擴大個人資料定義範圍,包括可直接或間接地識別、描述、追溯,或可合理地連結到特定人或家庭的資料,例如有關該特定人的個人資料或生物識別資料、歷史交易(所購買的產品或服務)、線上個人識別碼、IP地址、瀏覽歷史、地理位置資料、音頻(audio)、數位、視覺、熱量(thermal)、嗅覺資料、就業相關資料、在網路的活動與互動資料,及從任何資料中得出的推論,反映出該特定人的偏好、特徵、心理傾向、行為、態度等。其中家庭的非個人資料亦受到保護,例如家庭所使用電力和自來水的資料亦被視為個人資料。因此加州隱私法的個人資料的定義遠比GDPR更加廣泛。
  2. 要求應有個資的透明權,即蒐集前,告知個資的蒐集類別及使用目的,並有權要求揭露已蒐集個資及是否轉予他人;
  3. 行使刪除權之請求方式多元化,至少需包括免費電話號碼和網站;
  4. 個人資料轉售退出權,有權要求企業不得轉售其個資給第三方,企業銷售個人資料的情形下,需提供消費者行使退出權的機會;
  5. 確保不因行使隱私權利而受到歧視,提供不同品質的產品或服務。

 

二、討論題綱

本基金會前於2018(107)年5月23 日由陳董事長冲主持個人資料保護法研討會 ,從歐盟2018.5.25開始實施之「個人資料保護通則」(The General Data Protection Regulation , GDPR)之啓示,檢視我國參考歐盟1995年「資料保護綱領指令」修正之現行個資法,認應有必要參考新版歐盟GDPR內容,全面翻修我國個資法,以因應國際趨勢。該次研討會提出十項建議,提供政府啓動修法之參考:

  1. 由日本情報保護委員會可知,獨立監管機關( Independent supervisory authorities)之設立,除可承擔訂定標準規範,亦有助於我國接軌國際社會,現行法甚至未設法律主管機關,亟應翻轉思考,修法設置獨立監管機關。
  2. 大數據運用對於企業及人民眾皆有利,但仍須保護個人資料,修法要在企業競爭力和社會利益中求取平衡。
  3. 特定個人識別性因有相對性,由歐盟on-line identifier(網路識別符號)及日本經驗顯示,我現行法第二條第一款的規定顯然不足,故應修法研擬認定基準。
  4. 去識別化後可否回復原狀,是值得探討的議題,應可參考日本的規定。
  5. 關於被遺忘權,應在公共利益和個人權利間尋求平衡,若契約純粹出於商業利益,應加強被遺忘權,反之公共利益為導向時可適當限縮(如性侵案件)。
  6. 現行個資法第七條對個資收集之同意,仍採推定同意,應修正同GDPR中的同意要件,出於自願、具體且明白的聲明,或清楚肯定的意思表示。另外,應增列撤回同意,並重視資訊不對等下表示同意的怪異現象。
  7. 條文中所稱”特定目的”應研擬標準,不含糊不概括,否則將喪失特定目的的立法意義。
  8. 要求未來的獨立監管機關,對於DPIA(隱私衝擊評估機制)、DPBD(隱私保護設計)及DPO(資料保護長)三項應有明確規範。
  9. 針對跨境資訊移轉,應重新檢視與國際趨勢漸行漸遠的個資法第21條立法意義(現行法律為原則不限制,例外才限制)。
  10. 現行社群媒體服務業及國際網路或App服務提供者(如line、FB等)很多,更應修法保護國內消費者個資,並配合新設之獨立監管機關,才能與國際跨境合作,落實保護,並應同時檢討privacy policy的引進與執行,以確保使用者在下載應用軟體時能獲得保障。

 

在2018年3月間爆出臉書2016年之個資外洩濫用事件後,自祖克伯同年4月在美國國會作證及本基金會5月呼籲應全面翻修我國個資法,已屆近一年,尚未見報導政府對我國個人資料保護的積極改善措施。

一、 擁有大量個人資料的企業,因無專責主管機關且中央或地方政府亦無法據對所轄行業或個人,辦理日常的監督,幾陷於無人監督個資法之遵法情形,如何強化落實個人資料保護法的監督執行。又該企業對於個資保護應有那些作為及那些不作為,以取得客戶的信任?

二、 社群媒體對於利用個資從事所謂精準廣告的獲利行為,除特定目的外,是否應設定利用個資的條件(當事人明確同意並告知廣告群,如有變動亦應告知,及授予當事人取消權利)及限制利用行銷的行為?

三、 在Data is the fuel of future 的時代,各方都努力蒐集各種個人資料。但除自我要求的上市櫃公司或金融業依各該金融業法應保守客戶資料秘密且仍應適用個資法,並受金融監理機關高度監理,要求增加成本強化其法律遵循外,其他應適用個資法之各行各業或個人,因無專責主管機關且中央或地方政府亦無法據對所轄行業或個人,辦理日常的監督,幾陷於無人監督個資法之遵法情形,對個人資料的保護形成金融業、上市櫃公司的嚴格遵守寸步難防,而其他行業肆意搜集處理利用個資之一國多制的現象。

 

  • 個資法是否應進行務實性的修法? 為使個資法不致於一國多制,在未修法前,如何協調 ?
  • 個資法有無必要參考歐盟GDPR第六章規定,增設「獨立」專責的主管機關(Independent supervisory authorities)或專責主管機關或委員制? 優劣如何 ?

 

更新日期:2019-06-06 瀏覽人次:864
TOP