達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、瑞士聯邦資料保護與資訊委員會提醒穿戴式裝置的隱私地雷與刑事責任。  

    瑞士聯邦資料保護與資訊委員會（Federal Data Protection and Information Commissioner, FDPIC）於2026年3月25日發布有關智慧型穿戴式裝置之實務指引。隨著智慧手錶、健身手環及智慧眼鏡等穿戴式裝置快速普及，該類設備已廣泛應用於日常生活，並透過感測器持續蒐集使用者之生理數據，如心率、睡眠、行為資訊，以及影像與聲音等資料。此類資料多具有高度個人性，甚至屬敏感性個人資料，其蒐集與利用方式亦日益複雜，常涉及雲端儲存及跨境傳輸等情形。
     再者，部分裝置，特別是具備攝影及錄音功能之智慧眼鏡，具備不易察覺之資料蒐集能力，可能在他人不知情之情況下進行錄影或錄音，對第三人隱私權造成潛在侵害，甚至可能觸及刑事責任。使用者對於相關資料處理方式及風險通常缺乏充分認識，亦難以判斷產品設計是否符合隱私保護原則。因此，在此背景下，FDPIC透過發布指引，強化一般大眾對穿戴式裝置隱私風險之理解，並提供具體操作建議，以填補法規與實務使用間之落差。
     該指引主要針對穿戴式裝置之資料保護議題，提出風險說明與實務建議，重點包括：

1.資料蒐集與性質：穿戴式裝置透過感應器蒐集健康資料、行為資訊及影音資料，且部分資料可能涉及第三人，具有高度隱私風險。
2.購買前之評估事項：使用者於選購產品前應審慎檢視製造商之資料處理方式及隱私設定、資料儲存位置、資料處理流程是否透明且可理解。
3.使用過程之隱私風險：特別是具備具備攝影與錄音功能之裝置，可能被用於隱密蒐集資訊，增加對他人隱私侵害之風險。
4.法律風險提醒：若使用者透過穿戴式裝置進行隱密錄影或監控他人私人活動，於瑞士法制下可能構成違法行為，甚至涉及刑事責任。

• 資料來源：https://www.edoeb.admin.ch/en/wearables-things-to-consider-when-buying-and-tips-for-use

二、英國資訊專員辦公室

      英國資訊專員辦公室於2026年3月31日發布新聞稿，呼籲企業全面檢討招募流程中所採用之自動化決策機制。隨著人工智慧（AI）與自動化技術廣泛應用於招募流程，加上《Data (Use and Access) Act 2025》已調整相關法制，使企業更容易在合法前提下使用自動化決策（Automated Decision-Making, ADM），ICO因而發布此文呼籲企業重新檢視其招募中之自動化決策機制是否具備充分保障。
     新聞稿指出，自動化決策在招募流程中具有明顯效益，例如能快速處理大量履歷、提升篩選效率並確保一致性，特別是在應徵人數龐大的情況下，對企業與求職者均有助益。然而，ICO同時強調，若未妥善設計與使用，該類技術亦可能導致重大風險，例如產生不公平或帶有偏見的決策結果，進而影響求職者權益。
      因此，ICO明確指出，企業若欲運用新法所提供的彈性來導入自動化決策，必須建立適當的保障措施（safeguards），以確保處理過程符合法律要求並維護資料主體權利。這些核心要求包括：確保決策過程具備透明性、能讓求職者理解決策邏輯、確保決策公平且不歧視，並建立可被信賴的資料使用機制。
      ICO在其同步發布之報告與實務觀察中指出，目前企業在使用ADM進行招募時，仍存在若干改善空間，包括：對求職者揭露不足（透明性不足）、人為介入標準不一致，以及對於演算法偏見缺乏持續監測機制。此外，ICO透過與30多家企業的訪談及公眾焦點團體（public focus group）研究發現，求職者普遍對於「缺乏人類介入」及「決策不透明」感到疑慮，顯示建立信任機制的重要性。
      綜上，ICO的核心立場並非反對企業於招募流程使用AI或自動化決策，企業可以利用技術提升效率，但前提是必須同步落實資料保護法的基本原則，特別是透明性、公平性、可解釋性以及適當的人為監督。唯有在這些保障措施完善的情況下，自動化決策才能真正提升招募流程，同時維持求職者對企業的信任。

• 資料來源：https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/03/automated-decisions-can-streamline-the-hiring-process-with-the-right-safeguards-in-place/​​​​​​​

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

一、駭客無法辨識個人就不算個資？英國上訴法院：資料安全義務應以「資料控制者」視角為準

1.事實
        本案源於2017年至2018年間，英國電子零售商DSG Retail Ltd（DSG）資訊系統遭受網路攻擊。駭客透過在銷售終端設備（POS）或刷卡機中植入惡意程式，在交易進行時持續擷取交易資料，並將資料儲存在DSG伺服器中，之後嘗試將資料外流。該攻擊持續約九個月，影響超過560萬張信用卡資料。
      在部分案例中，駭客取得信用卡號碼、卡片到期日以及持卡人姓名；然而大多數交易因採用晶片與PIN碼系統，駭客僅取得信用卡號碼與到期日，而未取得可直接識別持卡人身分的資訊。 
      英國資訊專員辦公室Information Commissioner's Office（ICO）經調查後認定，DSG未依《1998年資料保護法》（Data Protection Act 1998）第七項資料保護原則（DPP7），採取適當的技術與組織措施（Appropriate Technical and Organisational Measures, ATOMs）以保護個人資料安全，因此對DSG處以50萬英鎊罰鍰。
       DSG對此提出行政救濟程序：

• 第一審法院（First-tier Tribunal）認為，相關資料在DSG手中仍屬個人資料，駁回DSG主張，維持裁罰。
• 第二審法院（Upper Tribunal）改判支持DSG，認為若第三人取得資料後無法識別個人，則該資料在第三人手中並非個人資。
• ICO上訴至英國上訴法院（Court of Appeal）

2.爭點

當資料對資料控制者而言仍可識別特定個人，但對未經授權取得資料的第三人而言無法識別個人時，資料控制者是否仍負有資料安全保護義務？

3.法院判決理由
英國上訴法院最終撤銷（Upper Tribunal）判決，改判ICO勝訴，其主要理由如下：

(1)資料安全保護義務應以「資料控制者」觀點判斷：
法院指出，《1998年資料保護法》第4條規定，資料控制者必須遵守資料保護原則，以保護其所處理的所有個人資料。個人資料之定義包括，可以直接識別特定個人之資料或需結合資料控制者掌握之其他資訊才能間接識別個人之資料。因此，只要資料在資料控制者手中仍能識別個人，即屬個人資料。即使第三人取得資料後無法識別個人，也不影響資料控制者應負之安全義務。

(2)法院認為若採（Upper Tribunal）見解，將產生不合理之結果，例如：資料控制者無須防範勒索軟體攻擊、無須防止駭客竄改或刪除資料、即使資料被非法取得，只要駭客無法識別個人，也不構成違法。

(3)資料安全義務係資料主體與資料控制者法律關係之一部分
法院強調，資料安全義務係資料控制者對資料主體所負之法律義務，其目的在於保護資料主體所交付之個人資料。只要資料在資料控制者手中仍屬個人資料，該義務即持續存在，並不取決於第三人是否能識別資料主體。

資料來源：https://www.judiciary.uk/wp-content/uploads/2026/02/ICO-v-DSG-2026-EWCA-Civ-140-FINAL-for-hand-down.pdf