【個資週報4】人臉辨識:技術與隱私的較量|2020/06/05~2020/06/12
達文西個資週報
盤點全球最新焦點
• 五分鐘一覽當週全球個資法大事 •
全文約2400字,閱讀約需8分鐘
❝ 達文西短評 ❞
本週我們整理了17則全球個資法重要焦點,其中五則尤其值得關注,我將為大家作進一步解讀。
這五則新聞的共通點,是都涉及人臉辨識技術的應用限制。其中兩則是關於監管者的立場。一方面,歐盟資料保護主管機關EDPB認為,執法部門若將Clearview AI提供之人臉辨識技術用於執法活動,則很可能違反GDPR。另一方面,在大西洋對岸的美國,也有參議員要求Clearview AI公開與執法機關合作狀況。大家對於人臉辨識科技公司Clearview AI應該並不陌生。上一期的個資週報中,我們為大家報導了Clearview在美國被訴違反生物特徵辨識資訊隱私法規的消息。
另外三則是關於科技業者的反應。5月底以來,白人警察對非裔男子執法過當事件在美國不斷發酵,民眾抗議浪潮迭起。執法部門為管控抗議遊行活動,試圖動用人臉辨識技術確定抗議者身份。這不僅加劇民眾之憤怒,更使得執法部門運用人臉辨識技術對民眾進行大規模監控的隱憂浮上檯面。在此背景下,IBM、Amazon和微軟三家科技巨頭先後發聲,宣布終止或暫停人臉辨識技術之供應。
人臉辨識技術涉及對生物特徵辨識資料(biometric data)之處理。生物特徵辨識資料在歐盟GDPR下為特殊類型個資,其處理限制較一般個資更加嚴格。在美國伊利諾伊等州,也已頒行專門法規加以規範。大規模甚至常態化地應用人臉辨識技術很可能違反個人之隱私權與資料保護權利。此外,若蒐集大量臉紋(faceprint)資料並進行分析彙整,則可能涉及對資料主體的剖析(profiling)或歧視性歸類。對抗議遊行活動的參加者運用人臉辨識技術,甚至可能引發寒蟬效應,影響言論自由、集會自由等基本權之行使。
由於對隱私及基本權存在不利影響,人臉辨識之大規模應用引發了很大爭議。另一方面,人臉辨識技術之應用潛力與商業價值,亦不容小覷。縱使如IBM宣布終止人臉辨識技術之供應,也僅以「一般用途」為限,IBM仍保有日後就「特定用途」再行開發人臉辨識軟體之空間,從這個角度觀察,人臉辨識技術與其他新興技術之監理要求並無二致,如何在保障隱私及其他基本權的同時,保護創新並促進業界發展,是監管者持續面臨的挑戰。
許斌
於達文西
2020.06.12
▶ 法規動態 ◀
- 6月5日,日本國會通過「個人情報保護法」修正案。修正案一方面強化當事人之個人資料自主權,另一方面也為了促進資料之利用,引入「假名情報」之概念。業者處理假名資料時,得豁免某些個資保護義務。
- 6月11日,韓國個人資料保護委員會(개인정보보호위원회)就假名資訊指引的制定工作公開徵求民眾意見。
- 6月3日,紐西蘭「隱私法草案」」(Privacy Bill)進入三讀程序。如三讀通過,其將取代現行之「1993年隱私法」(Privacy Act 1997)。
- 6月5日,比利時資料保護署發布新冠肺炎防疫期間體溫測量指引。若使用體溫熱顯像儀等技術裝置測量體溫,或將測得結果、組織對當事人之應對方式等作成記錄,將構成GDPR規範的個資處理行為,且此時幾乎不能以資料主體「同意」作為處理資料之法律依據。
-
本事務所相關快訊請見:https://www.davinci.idv.tw/news/783。
-
▶ 監理動態 ◀
- 6月10日,歐洲個人資料保護委員會(European Data Protection Board, EDPB)發表意見,認為執法機關若將Clearview AI人臉辨識技術用於一般執法活動,將很難符合歐盟個人資料保護規範。EDPB亦宣布設立行動小組,調查TikTok 是否違反歐盟個人資料保護法規。
- 6月3日,EDPB針對國家緊急狀態期間限制資料主體權利議題發表聲明,強調在國家緊急狀態期間,GDPR依然適用,任何對資料主體權利之限制,皆須符合GDPR第23條。
- 本事務所相關快訊請見:https://www.davinci.idv.tw/news/782。
- 6月2日,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)正式將APEC跨境隱私保護規則(Cross Border Privacy Rules, CBPR)與資料處理者隱私認可(Privacy Recognition for Processor,PRP)兩項認證列為資料跨境傳輸之官方承認資格。
- 本事務所相關快訊請見:https://www.davinci.idv.tw/news/781。
- 6月8日,香港個人資料私隱專員公署就香港政府「現金發放計劃」當中涉及的個人資料私隱議題發表意見,強調現金發放計劃所蒐集之個資僅得在該計劃目的內利用,且資料之保存不得超出合理期限。
- 6月5日,菲律賓國家隱私委員會(National Privacy Commission, NPC)發表意見,認為對於疫情期間在家工作(work-from-home)之員工,僱主得在配發給員工的工作設備上安裝監控軟體,但須遵守菲律賓「資料隱私法」(Data Privacy Act)關於通知當事人及實施隱私影響評估(privacy impact assessment)之要求。
- 6月9日,法國「國家資訊自由委員會」(Commission Nationale de l'Informatique et des Libertés, CNIL)發表「2019年度活動報告」(Rapport d’Activité 2019)。報告回顧了CNIL在2019年的工作進展,同時概述了2020年之工作重心。
- 6月8日,美國參議員Edward Markey致函飽受爭議之人臉辨識技術公司Clearview AI,要求後者詳細說明在其是否與地方執法部門合作,將人臉辨識技術用於監控為種族平等而上街抗議的民眾。
- 6月9日,美國聯邦通訊委員會(Federal Communications Commission, FCC)對一宗自動語音電話行銷詐欺案發出裁罰先行告知書,認為行為人違反「電話消費者保護法」(Telephone Consumer Protection Act, TCPA)關於拒絕來電(Do Not Call)名單制度的規定,且未經同意即針對無線網路顧客行銷,擬裁罰2億2500萬美元。如裁罰最終確定,這將是FCC針對此類案件作出的最高額罰鍰。
- 6月8日,加州民間團體Californians for Consumer Privacy請求法院命令加州州務卿(Secretary of State)在6月25日前完成「加州隱私權法案」(California Privacy Rights Act, CPRA)公投提案連署簽名查核,以確定該提案能否於今年11月美國總統大選時,一併交由加州全體選民投票。
▶ 最佳實務動態 ◀
- 6月8日,IBM CEO Arvind Krishna致函美國國會,表示IBM將不再提供任何一般用途之人臉辨識或分析軟體,以防此等技術被用於大規模監控、種族剖析或其他違反基本人權與自由之用途。
- Arvind Krishna之信函原文請見:https://www.ibm.com/blogs/policy/facial-recognition-sunset-racial-justice-reforms/。
- 6月10日,Amazon宣布,對於其人臉辨識軟體Rekognition,將暫停警方使用授權一年。
- 6月11日,微軟公司宣布,在國會就人臉辨識技術頒行法律前,其將停止向美國警方供應人臉辨識技術。
- 6月10日,隱私科技公司Ethyca宣布獲得1350萬美元A輪融資,並推出自助式隱私法遵方案Ethyca Pro。
- Ethyca之聲明原文請見:https://ethyca.com/a-letter-from-the-ceo/。
※ 歡迎註明出處後轉載。
不想錯過全球個資法大事嗎?
▶ 延伸閱讀 ◀
- CCPA甫上路,CPRA又公投?—加州民間團體發起隱私權保護新提案:https://www.davinci.idv.tw/news/759。
- 加州CCPA施行細則草案定稿出爐:https://www.davinci.idv.tw/news/776。
- 達文西個資週報,盤點全球最新焦點(2020/05/30~2020/06/05):https://www.davinci.idv.tw/news/779。