【個資週報37】防疫與隱私緊張關係如何解?各國策略有不同|2021/01/28~2021/02/04
2021-02-05
達文西個資週報
盤點全球最新焦點
全文約1500字,閱讀約需5分鐘
▶ 法規動態 ◀
- 2月2日,歐盟個人資料保護監察人(European Data Protection Supervisor, EDPS)發布《歐盟機構人工接觸史追蹤指引》(EDPS Orientations on Manual Contact Tracing by EU Institutions in the Context of the COVID-19 Crisis),要求歐美機構就人工接觸史追蹤計畫之制定與實施辦理個資保護影響評估。
- 該指引原文請見:https://edps.europa.eu/sites/edp/files/publication/21-02-02_orientations_on_manual_contact_tracing_euis_en.pdf。
- 延伸閱讀:
- 個資週報5|接觸史追蹤APP的貢獻與隱憂:https://www.davinci.idv.tw/news/789。
- 防疫期間資料主體權利限制的邊界在哪裡? —歐盟EDPB就GDPR第23條發表聲明:https://www.davinci.idv.tw/news/782。
- 不同接觸史追蹤應用程式間如何安全實現「互通有無」?:https://www.davinci.idv.tw/news/788。
- 英國ICO就Apple和Google合作開發之新冠肺炎接觸史追蹤技術發表意見:https://www.davinci.idv.tw/news/757。
- 2月1日,新加坡《個人資料保護法》修正案生效。本次修正包括個資侵害事故通知義務、同意之例外等。新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)為新法制定的施行細則亦於同日生效。
- 2月3日,新加坡議會通過《新冠肺炎臨時措施法修正案草案》(COVID-19 (Temporary Measures) (Amendment) Bill)。該草案明文規定,新加坡警方得將新冠肺炎接觸史追蹤應用程式TraceTogether所蒐集之資料用於刑事調查活動,但僅限於該草案所列之七類重罪。
- 1月28日,美國參議員向國會提出《公共衛生緊急事件隱私法》(Public Health Emergency Privacy Act)法案。該法案旨在監管新冠肺炎防疫過程中的隱私問題,如健康資料之蒐集與儲存、為公共衛生目的運用資料、緊急事件結束後刪除資料等。
- 2月3日,美國眾議員向國會提出《接觸史追蹤資料和隱私安全法》(Secure Data and Privacy for Contact Tracing Act)法案。該法案擬對建立完善接觸史追蹤制度、對使用者隱私提供確實保護的州提供補助。
▶ 監理動態 ◀
- 1月27日,美國司法部(Department of Justice, DOJ)與知名行銷公司Epsilon達成和解協議。Epsilon因販售個人資料予詐騙團體,將向美國司法部支付1.5億美元(約合新台幣41.95億元)和解金,其中1.275億美元將用於補償受害者。
- 原文請見:https://www.justice.gov/opa/pr/marketing-company-agrees-pay-150-million-facilitating-elder-fraud-schemes。
- 延伸閱讀:
- 個資週報36|Google「威脅」退出澳洲,WhatsApp或面臨5千萬歐元罰鍰:https://www.davinci.idv.tw/news/913。
- 個資週報35|GDPR生效2年裁罰額累計近百億,個資法遵不周代價高:https://www.davinci.idv.tw/news/911。
- 個資週報30|「數位發展部」或有變數,cookie違法罰鍰創紀錄:https://www.davinci.idv.tw/news/893。
- 重罰1億歐元!法國CNIL出手懲治cookie違法,Google、Amazon雙雙被罰:https://www.davinci.idv.tw/news/894。
- H&M侵害員工隱私被罰11億,GDPR史上第二高:https://www.davinci.idv.tw/news/851。
- 2月1日,美國聯邦貿易委員會(Federal Trade Commission, FTC)通過與Zoom的和解方案。Zoom因資訊安全方面之不實陳述,將須改正相關行為,並定期接受獨立第三方查檢。
- 1月29日,比利時資料保護署(Data Protection Authority, DPA)發布新冠肺炎疫苗資料處理問答集(Q&A),認為疫苗接種狀況為健康資料之一種,非有GDPR規定之例外情形不得處理。
- 該問答集原文請見:https://www.autoriteprotectiondonnees.be/citoyen/themes/covid-19/vaccination。
- 2月2日,加拿大隱私委員辦公室(Office of the Privacy Commissioner of Canada, OPC)與亞伯達、英屬哥倫比亞和魁北克省隱私委員針對Clearview AI發布聯合報告,認為Clearview AI涉及在資料主體不知情、未同意的情況下蒐集生物特徵辨識資料,並呼籲Clearview AI停止對加拿大客戶提供服務。
- 該報告原文請見:https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2021/pipeda-2021-001/。
- 延伸閱讀:
- 個資週報19|Facebook人臉辨識爭訟6.5億和解,網路巨頭個資法遵新痛點:https://www.davinci.idv.tw/news/847。
- Facebook人臉辨識功能違法,6.5億和解金開放申領:https://www.davinci.idv.tw/news/848。
- 1月28日,歐盟資通安全署(European Union Agency for Cybersecurity, ENISA)就個人資料假名化處理技術發布報告(Data Pseudonymisation: Advanced Techniques and Use Cases)。該報告分析了不同的假名化技術,並建議採風險基礎方法(risk-based approach)確定適當的假名化處理方式。
- 1月29日,丹麥個人資料保護署(Datatilsynet)發布個資違法裁罰指引,說明6類不同違法行為的裁罰額計算方法。
▶ 最佳實務動態 ◀
- 1月29日,據媒體報導,Facebook任命了該公司首位「法遵長」(Chief Compliance Officer)。Facebook的法遵長將負責隱私、競爭、稅務等多方面的法令遵循與風險管理。
- 2月1日,據媒體報導,Apple將推出iOS 14作業系統的更新版本,強制要求應用程式在使用廣告識別碼(Identifier for Advertiser, IDFA)前徵得使用者同意。作為因應,Facebook將在iOS 14更新發布前,在全球範圍內向Facebook應用程式使用者推送消息,說明iOS此一更新對社群媒體產業之影響,以期「協助使用者作出知情決定」。
※ 歡迎註明出處後轉載。
不想錯過全球個資法大事嗎?〔訂閱電子報〕