熱門文章

【漫談】若蝙蝠俠也須遵守GDPR,正義聯盟還能成功組隊嗎?

撰文:許    斌 博士

審閱:葉奇鑫 律師

王慕民 律師

 

全文約2000字,閱讀約需7分鐘

 

※ 內含微量劇透,請斟酌服用

 

查克 · 史奈德版「正義聯盟」一經釋出便成為全球熱門,粉絲引頸期盼、敲碗三年後終於得償所願,導演查克 · 史奈德構思的正義聯盟三部曲輪廓終於向世人呈現,好萊塢收穫了一段粉絲助力導演復歸的佳話,華納影視業迎來HBO max史上流量最高峰。

 

與2017年的院線版相比,史奈德剪輯版中,閃電俠貝瑞 · 艾倫成為正義聯盟取勝的關鍵:在三個母盒已經融合,地球已開始逐漸毀滅時,是閃電俠跑贏光速、逆轉時間,鋼骨才在融合完成前成功分離母盒,讓世界終獲拯救。

 

這樣一位有超能力的英雄,日常生活中卻是個不折不扣的草根。蝙蝠俠在組建超級英雄團隊時,對超商的監視畫面使用人臉辨識技術,發現畫面中一閃不見的,是「中城的貝瑞 · 艾倫」,閃電俠由此被發掘,成為正義聯盟一員。

 

不知各位有沒有想過,如果蝙蝠俠生活在一個適用GDPR的國度,他還能不能「合法地」運用人臉辨識獲知閃電俠的身份呢?

 

蝙蝠俠識別閃電俠身份的基礎,是一段超商監視錄影畫面。蝙蝠俠獲得此一畫面,構成對閃電俠(以及畫面中其他人)的一般個資處理,有GDPR之適用。而對閃電俠的影像使用人臉辨識技術,則涉及對生物特徵辨識資料(biometric data)此一特種個資之處理,須遵守更嚴格的規範。

 

依GDPR,生物特徵辨識資料等特種個資之處理原則應予禁止。惟有同時具備GDPR第6條所列個資處理法律依據之一,以及GDPR第9條所列得特種個資處理禁止例外情形之一時,方可為之。第6條所列法律依據共有六類,分別為同意、契約、法律義務、重大利益、公共任務、正當利益。第9條所列例外情形共有十種,分別為明示同意、勞工和社會保險、重大利益、非營利組織之處理、當事人自行公開、法律主張或司法行為、重大公共利益、健康或社會照護、公共衛生、研究和統計。第6條法律依據與第9條之例外情形須獨立評估,例如,以同意作為第6條之法律依據時,未必以「明示同意」作為第9條之例外情形 [註1]。

 

我們假設蝙蝠俠已經為「組建超級英雄團隊」目的,合法蒐集該監視錄影畫面。此後,蝙蝠俠對若要對該影片進行人臉辨識,或許可主張保護地球人生命之「重大利益」、或者保衛地球免遭毀滅之「正當利益」,作為第6條之法律依據。但涉及到第9條的例外情形時,蝙蝠俠可能會遇到麻煩。該條所列全部例外情形中,重大利益、自行公開和重大公共利益看起來是比較有希望的選項。

 

你可能想說,蝙蝠俠的畫面是在超商被拍到的,這不就是已「自行公開」了特種個資嗎?其實並沒有那麼簡單。歐盟個資保護主管機關EDPB曾專門為監視錄影相關個資法議題作出指引,特別指出「進入錄影範圍的單純事實並不意味著當事人有意公開其特種個資」[註2]。因此,不是拍到路人畫面就可以任意作人臉辨識,蝙蝠俠不能主張這項例外。

 

你可能又想說,蝙蝠俠已經主張「重大利益」作為法律依據了,是不是也可以主張「重大利益」作為例外情形呢?這是個好想法,但很可惜,第9條的「重大利益」條件比第6條更為嚴格,要求當事人「身體上或法律上」不能給予同意。因此,這一例外一般是用於當事人需要緊急醫療救助但意識不清,醫護人員不經其同意即調閱醫療紀錄之情形。個項例外對蝙蝠俠也不適用。

 

最後只剩下「重大公共利益」這個選項了。GDPR要求主張這項例外時,有歐盟或會員國的「法律」為依據,且所依據的法律應與所追求的目標符合比例、規定保護當事人基本權利與自由的具體措施。蝙蝠俠所追求的保衛地球免遭毀滅可謂「公共安全」之重大公共利益。如果蝙蝠俠能找到某條法律允許為公共安全目處理特種個資,應該可以主張這項例外。

 

找到處理特種個資的例外情形,還不算完全符合GDPR。蝙蝠俠構建的人臉辨識資料庫,涉及對特種個資的大規模處理,至少還須要指派個資保護長(DPO)並事前執行個資保護保護影響評估(DPIA),才可能達到GDPR的要求。

 

從以上觀察,蝙蝠俠最終仍有機會透過人臉辨識找到閃電俠並吸納其加入正義聯盟。只是前置的法遵作業可能會讓蝙蝠俠覺得「束手束腳」。

 

超級英雄的世界與現實世界比擬當然會有落差,但無可否認,蝙蝠俠辨識出閃電俠的技術,在現實生活中已有越來越多的運用。酷炫的技術若應用於日常,即使是為了打擊犯罪等正當目的,普通民眾感受的可能不是安全,而是隱私不再的擔憂。這從目前美國、加拿大等地警用人臉辨識技術爭議就可見一斑。正是因此,如何衡平公共利益、科技發展與個人隱私,是當前各國都在面臨的議題。而適當解決方案的達成,需要立法者、監理者、業者和民眾多方的參與。

______________________________

想要更系統地掌握個資保護法規內容?點此下載個資法心智圖

 

想獲得歐盟關於監控錄影、DPIA、DPO之指引中英對照全文?點此閱讀本實務所109年108年執行之國家發展委員會研究案結案報告。

______________________________

 

註1:https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

註2:https://www.politico.eu/article/eu-leaders-facebook-data-leak-cybersecurity-didier-reynders/

註3:https://www.bbc.com/news/technology-56650387

註4:https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/amp/?__twitter_impression=true

註5:https://www.reuters.com/article/idUSL1N2M0269

註6:https://twitter.com/UlrichKelber/status/1379081494099017730

註7:https://www.pcpd.org.hk/english/news_events/media_statements/press_20210404.html

註8:https://www.csa.gov.sg/singcert/advisories/ad-2021-004

註9:https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-re-dataset-appearing-online

註10:https://www.cnil.fr/fr/fuite-de-donnees-facebook-comment-proteger-vos-donnees

註11:https://www.autoriteprotectiondonnees.be/citoyen/actualites/2021/04/07/fuite-de-donnees-facebook-l-apd-intervient-et-encourage-les-citoyens-a-faire-valoir-leurs-droits

 

※歡迎註明出處後轉載。

 

延伸閱讀:

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw