立法院於2018年11月30日三讀通過《無人載具科技創新條例》,希望能透過本條例促進無人載具的產業技術與創新服務發展,同時,以「監理沙盒」的概念為核心,於特定範圍及條件下,透過本條例暫時排除相關監理規範的適用,以期能替我國無人載具創新實驗建立一個友善的法規環境。
然而,本條例第22條規定創新實驗行為得經主管機關核准,排除部分法規命令或行政規則之適用,但僅明文確保了洗錢防制法、資恐防制法及相關法規命令或行政規則不得被排除適用,卻未提及近年備受關注且與無人載具息息相關的個資保護法規,這不免令人擔憂日後若個人資料保護法被排除適用,將可能對民眾的隱私權造成侵害,也可能導致新創公司基於我國無人載具實驗沙盒研發的無人載具技術於國際間實際應用時產生法遵風險。
無人載具可能會蒐集的資訊
未來,無人載具很可能被用於公共運輸,其於運作的過程中,需要蒐集、傳輸大量的資訊,針對其可能會蒐集或傳輸的資訊,本文簡單列舉、說明如下:
• 載具內人員的生物辨識資料:無人載具為確認乘客的身分,並確保其有權使用無人載具,可能會蒐集乘客的生物辨識資料,例如指紋、聲紋或虹膜等。
• 位置、軌跡資訊:無人載具為順利運作,勢必需蒐集位置資訊,其所蒐集的位置資訊包含乘客所設定的目的地、路程中的交通資訊、無人載具本身的速度與路徑等等。
• 各式感測器所蒐集的資訊:無人載具為適時針對路況作出反應,往往設置有各式感測裝置,舉例來說,Google設計的無人車Waymo設置有攝影機、光達(LiDAR)、視覺模組與雷達等感測器,以偵測其四周的車輛、行人或路況等資訊;另外,為方便乘客操作無人載具,部分無人載具於內部裝有麥克風或類似的收音設備,以偵測乘客的語音指令。
• V2X通訊(vehicle-to-everything communication):為更進一步的防止無人載具發生交通事故,部分無人載具有採用V2X通訊技術,其中包含V2V(vehicle-to-vehicle)、V2I(vehicle-to-infrastructure)等,即允許無人載具透過網路或其他方式,與其他載具、物聯網設備或交通號誌裝置共享各類資訊。
如果個資法獲排除適用,可能會有什麼後果
依照立法院通過的《無人載具科技創新條例》第22條規定,並未確保個人資料保護法(下稱「個資法」)不會獲排除適用,因此我們不妨試為假設,如果個資法真的被主管機關核准於創新實驗行為時排除適用,則無人載具所蒐集的個人資料又會對我們造成那些影響呢?本文試想將有以下幾個例子。
無人載具可以蒐集某特定乘客經常造訪地點的位置資訊或行程軌跡,據以判斷該名乘客的生活習慣或健康狀況,比如說,一名乘客若經常將無人載具的目的地設定為健身房或運動中心,則可推測該乘客有規律運動的習慣,以及其通常前往的路徑與時間久暫;相對而言,另一名乘客若經常將無人載具的目的地設定為速食店,且經常於深夜或凌晨使用無人載具,則可推測其生活習慣較不健康,嗣後,無人載具業者若將該等資訊提供予保險公司,保險公司即得將其作為評估各個乘客健康險保險費率級距的參考之一。
除此之外,無人載具可以透過其內部所裝設的麥克風或收音設備,持續偵測、分析載具內乘客的對話內容,並根據其對話內容,推斷乘客可能有興趣的事物或產品,再據此透過載具的影音系統推播個人化的廣告內容,以提升廣告業者的行銷效果。
對無人載具外之其他公眾而言,無人載具為提高其安全性及便利性,往往會透過感測器或無人載具業者建置的其他感測設備蒐集各地的交通或路況資訊,已如前述,而這些感測設備的運作若不受個資保護法規的限制,亦可以用於蒐集載具外人員的資訊,舉例來說,停駐於選舉造勢場合周邊的無人載具可以持續感測並分析該候選人的支持者身分或族群;按特定路徑駕駛的公共無人載具,可以蒐集其他經常行駛於該路徑的車輛資訊,並分析各該車輛的駕駛習慣,進而判斷其交通事故風險的高低。
從前述之事例可知,若日後主管機關依照《無人載具科技創新條例》第22條的規定,將個資法排除適用,將會導致無人載具乘客以及一般公眾的個人資料遭受威脅。
如果新創事業遵循個資法,是否就不會有法遵風險?
新創事業於研發無人載具技術時,應考量該等技術日後極有可能與各大車廠合作生產無人載具,也就是說,台灣新創事業的無人載具技術將被使用於國外的無人載具中。而台灣個資法於民國101年施行並經104年修正後,雖然具有一定程度的個資保護作用,惟相較於近年備受關注的歐盟一般資料保護規範(General Data Protection Regulation, GDPR)的保護密度,仍有一段差距。舉例來說,我國個資法對於個人資料的認定係指可以直接或間接方式識別個人的資料,如姓名、健康等,GDPR的認定則更廣泛,只要是可用以識別自然人的任何資訊都包含在內,且明文將位置資訊納入個人資料的定義中;又比如說,按我國個資法規定,告知當事人相關事項後,當事人如未表示拒絕,並開始提供其個人資料,即會被認作適法的個人資料蒐集,惟相同之情形如依照GDPR的規範則不一定皆屬合法;另外,我國個資法原則上允許將個人資料跨境傳輸至國外,僅在例外情形下加以限制,GDPR的規範則相反,對於個資的跨境傳輸採取原則禁止,例外允許的態度;除此之外,我國個資法並未設置單一主管機關,而係採分散式管理,故可能發生各個單位於執法上標準寬嚴不一的情形,GDPR則要求歐盟各會員國皆應設置獨立的個資保護主管機關,以監督GDPR的適用情形。
綜上所述,新創事業研發無人載具技術時,縱然業已遵循我國個資法的相關規定,然而未必當然符合GDPR等新興個資保護法規。另外,近年各國為因應無人載具的發展,亦開始推動相關立法或政策,舉例來說,美國參議員於2017年提出了《智慧汽車安全與隱私法》(Security and Privacy in Your Car Study Act),要求汽車於蒐集、處理或傳輸個人資料前皆應明確告知,且應讓消費者自行決定是否允許汽車蒐集其個資;美國眾議院於2017年9月通過了《未來載具研發中的生命安全確保法案》(Safety Ensuring Lives Future Deployment and Research in Vehicle Evolution),要求汽車製造商於銷售無人載具前,應制定隱私保護計畫;除此之外,歐盟網路和資訊保安局(EU Agency for Network and Information Security)亦公布了關於智慧汽車及網路安全的研究,並建議於智慧汽車發展的過程中,應注意對個人資料的保護。而前述的法規皆與台灣個資法有一定的差異,據此,新創事業若僅遵循我國個資法,未來於海外市場推行無人載具技術的業務時,或將面臨歐盟以及美國等地的法遵風險。
新創產業發展無人載具,我們的幾點提醒
為避免法遵風險,台灣新創事業於研發無人載具的過程中,可以先從瞭解各國個資保護相關法規並遵循業界最佳指導原則著手:
首先,台灣新創事業應注意各國對於無人載具個資保護的法規或政策,於研發無人載具技術的過程中,即預先設想可能的業務推廣區域,並確認各該地區是否有制訂或施行相關的個資法規,若有,更應初步瞭解其內容,並確保無人載具技術不會違反各該法規的限制。
除此之外,汽車業界為因應無人載具技術的發展,亦開始制定最佳指導原則,舉例來說,汽車製造商聯盟(Alliance of Automobile Manufacturers)與全球汽車製造商協會(Association of Global Automakers)就汽車科技的發展定有「隱私原則」(Privacy Principles),希望業者於蒐集個人資料時注意資料蒐集的透明化、允許個資當事人選擇是否提供個資、僅在必要範圍內蒐集個資並加強對於所蒐集個資的保護與控管。
綜上所述,台灣新創業者於研發無人載具技術的過程中,如果未將歐盟以及美國等地的個資保護議題列入考量,於國外市場推行相關業務時很可能因法遵問題而受到嚴重影響,屆時勢必再投入額外的成本,將已經完成的無人載具技術修改至遵法的狀態。故台灣新創業者不妨考慮於技術研發初期,即先行確認其載具技術涉及個資蒐集的情形,並盤點各國個資保護法規與業界指導原則,以確保未來在歐美等地推廣時,能將法遵風險降到最低。
(原文撰寫於2019年1月9日)