個資外洩與詐騙事件層出不窮,資策會科法所日前舉辦隱私倡議國際研討,以保護隱私安全、搶佔跨境商機為題,邀請美、日產官研專家共聚, 探討政府推動跨境隱私規則(CBPR)並分享實務經驗。隨著AI快速發展,隱私權議題益顯重要,針對數位監控挑戰、新興技術對隱私影響、相應道德與法律問題研討對策。
跟上AI發展速度 與時俱進
行政院政務委員羅秉成表示,身處數位時代,人的圖像都由資料所建構,且可被相關科技利用,尤其,具商業價值者隨AI發展速度加快,資料流通速度越快、對隱私權威脅也等比增加。他說,隱私是非常傳統的基本人權,個人隱私保護走向法制化已30年,12/5個資保護委員會籌備處掛牌,標誌著國內個資保護新里程,未來須強化與國際接軌交流。
羅秉成強調,憲法法庭111年憲判字13號要求設立獨立監督機制,檢討個資資料庫相關規定,行政院隨後提出國家人權行動計畫,國發會將數位人權放入計畫目標,今年5月《個資法》修正,針對違反安全維護義務者,取消需先限期改正規定並提高罰鍰上限,皆凸顯個資保護計畫的必要性。臺灣身為CBPR創始國將善用國際交流機會,學習其他國家成功經驗。
資策會副執行長蕭博仁說,因應101年頒布的個資法,資策會配合法務部推動個資意識宣導,辦理大型國際研討會,邀請美國、日本與澳洲等國學者前來參與,隨著歐盟一般資料保護規則(GDPR) 修正成為個資保護的起手式,凸顯關於個資保護的高規管理與處罰重要性。資策會是亞洲唯一取得CBPR認證的當責機構,未來對隱私權保護還有很長道路要努力,需要各相關單位的支持與協助。
回應科技發展 隱私權納新規範
資策會科法所所長蕭宏宜以隱私倡議的臺灣觀點:個資保護的過去、現在與未來發表專題。蕭宏宜強調,臺灣自1995年制定電資法是亞洲第一批完成個資立法國家,2010年做出重大修法並改名為個資法,針對醫療應用做出特別限制,包括需經當事人同意且有使用上限制的2大要求。
蕭宏宜認為,站在消費者與民眾角度,當然希望政府強化個資保護,許多資訊都已經被匿名化處理,但當這些破碎化訊息拼湊起來,個資間接可識別,就進入個資法的保護範圍。他強調,立法立意良好但與現實間衝突越來越多,若事事都需當事人同意在實踐上有難度且不切實際。
針對國內強化個資保護,憲法法庭13號要求設立獨立監督機制,並檢討個資資料庫相關規定,針對「健保資料庫建置以健保法、組織法、統計法為法源依據,是否符合法律保留要求」、「健保資料因強制納保取得,可不概括提供統計或學術研究之用」、「健保資料去識別後提供統計或學術研究使用可否禁止當事人退出」三大爭議做出違憲判決,同時加碼應設立獨立監督機制。
此外,隨AI大行其道,AI在醫療上有越重大進展與應用,越無法迴避個資隱私權議題。蕭宏宜舉今年最夯的生成式AI為例,其應用價值取決於AI資料庫,是否考慮鬆綁AI對資料取得的限制有待研議。疫情期間,臺灣社交距離採用接觸追蹤技術,歐洲資料保護委員會(EDPB)建議應以自願或法律明確規定為基礎,對資料蒐集範圍、利用期限與方式進行資料保護影響評估(DPIA),盡可能以假名化方式交換資料。
惡意軟體主動擋 谷歌隱私戰略
Google(谷歌)國際隱私權全球資料傳輸政策主管 Michael Rose說,Google盡一切所能保護使用者資料,同時提供個人化選項,搶在使用者接觸前阻擋惡意軟體,每年擋下1億個惡意網站與99.9%的Gmail垃圾資料,加密也是非常重要的保護方法,且Google在所有的網站皆遵守保密協議。
Michael Rose強調, Google不會販賣使用者個人資料給任何企業或組織,也從不使用敏感性資料藉此吸引使用者點擊廣告,因Google深信使用者的信任勝過一切,將傾盡所能保護個資,使用者也可依據自己的意願,滑動按鈕就能在任何時候自由關閉廣告,Google堅持遵循資料最小化原則,使用者資料只保存18個月,之後就從資料庫內刪除。
此外,Google在2018年就針對AI制定指導原則,當時ChatGPT尚未出現,AI原則應明確訂定AI如何發展,禁止某些危險的AI應用,Google也致力於發展將AI隱私納入設計,增加大眾AI識讀能力。數位經濟仰賴資料自由流通,信任是最重要基礎,國際交流是促進臺灣隱私保護成功的第一步。
CBPR全球倡議 需符9隱私原則
全球CBPR論壇主席Shannon Coe表示,去年在APEC CBPR會員參與下成立全球CBPR論壇。這是因為APEC CBPR的會員認為隱私權保護的需求與日俱增,應成立全球CBPR論壇以強化與延伸對資料保護的力道。此外私人公司與企業需要當責機構對管理資料的獲取管道以及處理方式,建立一套共同認知標準。
CBPR框架下有9項隱私原則,當責機構必須由論壇成員提名或許可,需符合所有成員提出的標準,此外,當責機構必須受該機構轄區範圍隱私執行機構管轄,這代表在地私人企業只要經過當責機構審核,即可獲得國際認可,這對國內企業是一大福音。
日本個資保護委員會國際事務主任石井純一提醒,隨著近年來高度發展的AI和資訊科技,使跨境資料流動的重要性越來越重要,目前全球有大量資料正進行跨境流動,其中包括個人資料。
在流動的同時,當個人資料跨越司法轄區進入外國時,可能無法有效保護個人資料,亟需針對資訊和資料流通建立監管機制。「CBPR是加強企業間與消費者信任的機制,特別是在B2B資料交流中。」 石井純一鼓勵提升對資料保護的意識,並呼籲政府和監管機構進一步推廣CBPR認證價值。
國發會法制協調處處長楊淑玲表示,各國資料傳輸規範寬嚴不一,因此在監管上出現困難,如何進行跨境監管相容性變成非常重要。為擴大各國政府參與,美國也積極主導全球 CBPR論壇的成立。對臺灣來說,論壇有亞太以外國家參與,臺灣可藉此獲得與國際夥伴的溝通管道,進行平等對話、資訊交流與合作。
關於日本隱私保護實務發展, 石井純一表示個資法 (APPI)適用私人領域,針對私部門的經營者而訂定,行政機關持有的個人資料保護法、獨立行政法人持有的個人資料保護法與個人資料保護施行規則適用於公共領域。
2015年是日本第一次進行個資法(APPI)修訂,其中針對跨境傳輸法律進行修訂,唯有在某些特定狀況下,才能夠將個人資料傳輸給境外的第三方,將個人資料提供給第三方時,須先獲得可識別個人的同意,向外國的第三方提供資料時,提供的參考資料須事先獲得可識別個人的同意,且第三方提供資料或從第三方接收資料時,必須記錄某些事項才可為之。
個人資料保護委員會是根據日本個資法設立的獨立委員會,旨在確保個人資料的正確處理,以保護個人的權利和利益,同時兼顧個人資料的實用性。由於是根據第3條而建立的委員會,其行使其職權時,具有高度的獨立性和政治中立性,等同於公正取引委員會(JFTC,相當於我國公平會),個人資料保護委員會每3年會針對個資法重新檢視與修法。
國際規範影響深 業者宜速佈局
安永管顧總經理萬幼筠表示,針對臺灣產業個資保護圖像領域是從B2B角度出發,歐盟持續推動《媒體自由法》草案,要求所有投放廣告必須標定來源;加州議會也提出CCPA公司資料保護內容;巴西、智利、韓國、日本也提了ChatGPT指引,換言之所有國家都遇到智慧時代來臨與經濟型態轉變,使得交易形式受到挑戰。
現在進入歐洲的電動車產業都需要合乎規格,以實務上來看,要怎麼合乎歐洲的規範,進而降低企業成本,是我在台灣實務上與顧問常在協助解決的問題。萬幼筠補充接著並說,不管是服務業、高科技製造或其他產業,不僅僅是只要考量在國內的生產成本,未來國外市場的合規成本也需納入考量。
由於臺灣個人資料保護機制採逐次到位,取得客觀第三方個資保護認證,有助於與國際接軌;國內111年憲判字第13號確保個人資料獨立機關的成立,隨著歐洲對臺灣貿易出口佔比提升,在資料保護與法規上也要往歐洲逐漸接近。
護隱私非新議題 平衡法務優先
勤業眾信資深執行副總林彥良表示,隱私保護不是新議題,但疫情後加速了數位轉型,包含資料處理、儲存與傳輸,目前已從體驗轉型深化到營運轉型。隱私保護涉與許多單位,不能落在個人或單一部門或組織下,因其涵蓋議題廣泛,應全盤思考隱私與法規策略,尤其當涉及市場創新與突破時,須優先思考如何與法務單位做出平衡。
林彥良強調,現今企業所面對的挑戰不僅是外部的挑戰,公司內部的挑戰以及組織內的溝通也需要正視,企業進入新的平台時,不僅要考慮身分識別、軌跡還要將追蹤相關的管理納入考量,最重要的是隱私保護的設計,是要在前端時就包含在營運內,「安全不是檢查出來的,是靠設計出來的。」實務上許多客戶都是事後做補救,但事前準備更為重要,值得管理者重新思考。
