【警政時報 薛秀蓮/台北報導】
個資外洩與詐騙事件層出不窮,財團法人資訊工業策進會科技法律研究所(資策會科法所)12月7日舉辦隱私倡議國際研討會,聚焦保護隱私安全、搶佔跨境商機的議題,邀請來自美國、日本的產官研專家共聚, 分享政府推動跨境隱私規則(CBPR)的實務經驗。隨著AI快速發展,凸顯隱私權議題的重要性與急迫性,行政院日前成立個資保護委員會籌備處,針對數位監控挑戰、新興技術對隱私影響、相應之道德與法律問題提出對策討論。
跟上AI發展速度 順勢而為
行政院羅秉成政務委員表示,數位時代,人的圖像都是資料所建構而來,可被任何科技所利用,尤其具商業價值者,隨著AI發展速度越快,資料流通速度越快、對隱私權的威脅也等比例增加。「隱私是基本議題,且非常傳統的基本人權,臺灣在個人隱私保護法制化已經走了30年,隨著12月5日個資保護委員會掛牌,標誌著國內個資保護新里程碑,未來也須強化與國際接軌交流。」
羅秉成強調,憲法法庭111年作成憲判字13號,要求設立獨立監督機制,並檢討個資資料庫相關規定,行政院隨後提出國家人權行動計畫,國發會將數位人權放入計畫目標,今年5月《個資法》修正,針對違反安全維護義務者,取消需先限期改正之規定,並提高罰鍰上限,,皆凸顯個資保護計畫之必要。臺灣身為CBPR的創始國成員,可善用國際交流機會,學習其他國家的成功經驗。
主辦方資策會蕭博仁副執行長表示,因應101年《個人資料保護法》頒布,資策會配合法務部推動個資意識宣導,辦理大型國際研討會,邀請美國、日本與澳洲等國學者前來參與,隨著歐盟一般資料保護規則(GDPR) 修正成為個資保護的起手式,凸顯關於個資保護的高規管理與處罰重要性。臺灣資策會是亞洲唯一取得CBPR認證的當責機構,未來對於隱私權保護還有很長道路要努力,需要各相關單位的支持與協助。
回應科技發展 隱私權納入新興議題規範
資策會科法所蕭宏宜所長以「隱私倡議的臺灣觀點:個資保護的過去、現在與未來」發表專題演說。蕭宏宜強調,臺灣自1995年制定《電腦處理個人資料保護法》(簡稱電資法),是亞洲第一批完成個資法立法國家,2010年做出重大修法並改名為《個人資料保護法》,針對醫療應用做出特別限制,包括需經當事人同意且有使用上限制的兩大要求,顯示臺灣在重要隱私權議題上並未落後國際。
「站在消費者及民眾角度,當然希望政府強化個資保護,許多資訊都已經被匿名化處理,但當這些破碎化訊息拼湊起來,個資間接可識別,就進入個資法的保護範圍。」蕭宏宜認為,良好立意的立法與現實發展間衝突越來越多,若每一件事情都須得到當事人同意,在實踐上有難度且不切實際。
針對國內強化個資保護,憲法法庭作成111年的憲判字13號要求設立獨立監督機制,並檢討個資資料庫相關規定,針對「健保資料庫建置以健保法、組織法、統計法為法源依據,是否符合法律保留要求」、「健保資料因強制納保取得,可不概括提供統計或學術研究之用」、「健保資料去識別後提供統計或學術研究使用可否禁止當事人退出」三大爭議做出違憲判決,同時加碼應設立獨立監督機制。
除此之外,隨著AI大行其道,AI在醫療上有越重大進展與應用,越無法迴避個資隱私權議題。蕭宏宜舉今年最夯的生成式AI為例,其應用價值取決於AI資料庫,有鑑於此是否該考慮鬆綁AI對資料取得之限制,有待討論研議。疫情期間,臺灣社交距離採用接觸追蹤技術,歐洲資料保護委員會(EDPB)建議應以自願或法律明確規定為基礎,並對資料蒐集範圍、利用期限與方式進行資料保護影響評估(DPIA),並盡可能以假名化方式交換資料。
主動阻擋惡意軟體 Google 資料隱私戰略
Google Michael Rose表示,Google盡一切所能保護使用者資料,同時提供個人化選項,搶在使用者之前阻擋惡意軟體,每年擋下1億個惡意網站與99.9%的Gmail垃圾資料,加密也是非常重要的保護方法,且Google在所有的網站上皆遵守保密協議。
Michael Rose強調, Google不會販賣使用者的個人資料給任何企業或任何組織,也從不使用敏感性資料藉此吸引使用者點擊廣告,只因Google深信使用者的信任勝過一切,將傾盡所能保護個人資料,而使用者也可依據自己的使用意願,只要滑動按鈕就能在任何時候自由關閉廣告,Google堅持遵循資料最小化原則,使用者資料只會保存18個月,之後就會從資料庫內刪除。
此外,Google在2018年就針對AI制定指導原則,當時ChatGPT也尚未出現,AI原則明確訂定AI應如何發展,且禁止某些危險的AI應用,Google也致力於發展將AI隱私納入設計,增加大眾的AI識讀能力。數位經濟仰賴資料的自由流通,而信任是最重要的基礎,國際間的交流是促進臺灣隱私保護成功的第一步。
全球CBPR倡議 需符合9個隱私原則
全球CBPR論壇主席Shannon Coe表示,去年在APEC CBPR會員參與下成立全球CBPR論壇。這是因為APEC CBPR的會員認為隱私權保護的需求與日俱增,應成立全球CBPR論壇以強化及延伸對資料保護的力道。此外,私人公司及企業也需要當責機構對管理資料的獲取管道以及處理方式,建立一套共同認知標準。
CBPR框架下有9個隱私原則,當責機構必須由論壇成員提名或許可,需符合所有成員提出的標準,此外,當責機構也必須受該機構轄區範圍之隱私執行機構管轄,這代表在地私人企業只要經過當責機構審核,即可獲得國際認可,這對國內企業是一大福音。
日本個人資料保護委員會國際事務主任石井純一提醒,隨著近年來高度發展的AI和資訊科技,使跨境資料流動的重要性越來越重要,目前,全球有大量資料正進行跨境流動,其中也包括個人資料,在流動的同時,當個人資料跨越司法轄區進入外國時,可能無法有效保護個人資料,亟需針對資訊和資料流通建立監管機制。「CBPR是加強企業間及消費者信任的機制,特別是在B2B資料交流中。」 石井純一鼓勵提升對資料保護的意識,並呼籲政府和監管機構進一步推廣CBPR認證價值。
國家發展委員會法制協調處處長楊淑玲表示,各國資料傳輸規範寬嚴不一,因此在監管上出現困難,如何進行跨境監管相容性變成非常重要。為擴大各國政府參與,美國也積極主導全球 CBPR論壇的成立。對臺灣來說,論壇有亞太以外國家參與,臺灣可藉此獲得與國際夥伴的溝通管道,進行平等對話、資訊交流與合作。
關於日本隱私保護實務發展, 石井純一表示《個人資料保護法》(APPI)適用私人領域,針對私部門的經營者而訂定,行政機關持有的個人資料保護法、獨立行政法人持有的個人資料保護法與個人資料保護施行規則適用於公共領域。
2015年是日本第一次進行《個人資料保護法》(APPI)的修訂,其中針對跨境傳輸法律進行修訂,唯有在某些特定狀況下,才能夠將個人資料傳輸給境外的第三方,將個人資料提供給第三方時,須先獲得可識別個人的同意,向外國的第三方提供資料時,提供的參考資料須事先獲得可識別個人的同意,且第三方提供資料或從第三方接收資料時,必須記錄某些事項才可為之。
個人資料保護委員會是根據日本《個人資料保護法》設立的獨立委員會,旨在確保個人資料的正確處理,以保護個人的權利和利益,同時兼顧個人資料的實用性。由於是根據第3條而建立的委員會,其行使其職權時,具有高度的獨立性和政治中立性,等同於公正取引委員會(JFTC,相當於我國公平交易委員會),個人資料保護委員會每3年會針對《個人資料保護法》重新檢視與修法。
國際規範影響深刻 業者應積極佈局
安永管理顧問股份有限公司總經理萬幼筠表示,針對臺灣產業個資保護圖像領域是從B2B角度出發,歐盟持續推動《媒體自由法》草案,要求所有投放廣告必須標定來源;加州議會也提出CCPA公司資料保護內容;巴西、智利、韓國、日本也提了ChatGPT指引,換言之所有國家都遇到智慧時代來臨與經濟型態轉變,使得交易形式受到挑戰。
「現在進入歐洲的電動車產業都需要合乎規格,以實務上來看,要怎麼合乎歐洲的規範,進而降低企業成本,是我在台灣實務上與顧問常在協助解決的問題。」萬幼筠表示,不管是服務業、高科技製造或其他產業,不僅僅是只要考量在國內的生產成本,未來國外市場的合規成本也需納入考量。
由於臺灣個人資料保護機制採逐次到位,取得客觀第三方個資保護認證,有助於與國際接軌;國內111年憲判字第13號確保個人資料獨立機關的成立,隨著歐洲對臺灣貿易出口佔比提升,在資料保護與法規上也要往歐洲逐漸接近。
顧問經驗分享 企業個資保護實務
勤業眾信資深執行副總經理林彥良表示,隱私保護不是新議題,但疫情後加速了數位轉型,包含資料處理、儲存及傳輸,目前已從體驗轉型深化到營運轉型。隱私保護涉及許多單位,不能落在個人或單一部門或組織下,因其涵蓋議題廣泛,應全盤思考隱私及法規策略,尤其當涉及市場創新及突破時,須優先思考如何與法務單位做出平衡。
林彥良強調,現今企業所面對的挑戰不僅是外部的挑戰,公司內部的挑戰以及組織內的溝通也需要正視,企業進入新的平台時,不僅要考慮身分識別、軌跡還要將追蹤相關的管理納入考量,最重要的是隱私保護的設計,是要在前端時就包含在營運內,「安全不是檢查出來的,是靠設計出來的。」實務上許多客戶都是事後做補救,但事前準備更為重要,值得管理者重新思考。