私部門使用生物辨識技術之法律規範

在私部門使用生物辨識技術方面，除了用作個人或居家保全措施之 外，金融機構亦積極使用生物辨識技術，希望能夠有效降低身分盜用所造成 之損失。另外，為了加強對進出人員的管制，有些公司也開始採用生物辨識 技術作為對員工進出管制之方式。有鑑於此，針對私部門使用生物辨識技術 之規範亦日漸受到重視。美國加州便立法限制一般個人、商業或其他私部門 僅得在為了保護公共安全、個人財產或防止違法行為時，合理使用生物辨識 技術¹⁶⁹。

4.3.1 金融機構之使用

根據美國聯邦交易委員會（Federal Trade Commission）統計，自 1998 年至 2003 年，約 2 千 7 百萬美國人曾經遭到身分盜用，消費者總計損失 5 兆美元，而商家以及金融機構則損失將近 48 兆美元¹⁷⁰。而根據另一份於

169 McCormack, supra note 116, at 144.

170 Gwen “Wendy” Kennedy, Thumbs up for Biometric Authentication!, 8 COMP. L. REV. &

TECH. J. 379, 380 (2004).

2003 年 1 月所做之調查顯示，在消費者對金融機構使用生物辨識技術之態 度上，85%受訪者表示企業應該使用生物辨識技術確認以信用卡消費者，

78%受訪者表示自動提款機應該加裝生物辨識技術。而在隱私權保障方面，

90%受訪者表示如果企業蒐集、儲存客戶之生物辨識資訊，應該要揭露該訊 息，85%的受訪者則希望有管道可以接近、更正他們的生物辨識資訊¹⁷¹。

美國之金融機構使用生物辨識技術可能帶來之隱私權隱憂在於，美國 聯邦最高法院於 United States v. Miller 案¹⁷²當中，確認個人對自己的銀行紀 錄沒有正當的隱私期待，且美國之 GLB 法（Gramm-Leach-Bliley Act）允許 銀行和其分支機構分享客戶資訊，因此，用戶之生物辨識資訊極可能因為成 為銀行紀錄之一部分而失去隱私權期待，且蒐集客戶生物辨識資訊之金融機 構更可能將該資訊與保險公司或其他分支機構分享¹⁷³。

不過，由於生物辨識技術大多被金融機構採用為用戶接近使用其帳戶 時，確認身分之方式，而根據 GLB 法之規定，銀行不得與任何機構分享用 戶接近使用帳戶之資訊¹⁷⁴，因此，金融機構與其他機構分享用戶之生物辨 識資訊的可能性並不高。而且，金融機構採用生物辨識作為用戶接近使用帳 戶之管制，亦可增加對用戶之保障。

我國於「金融控股公司法」中，雖規定金融控股公司及其子公司對於 客戶個人資料、往來交易資料及其他相關資料，除其他法律或主管機關另有 規定者外，應保守秘密，但對於金控公司與其子公司間的共同業務推廣、資 訊交互運用等行為，可於相關同業公會共同訂定自律規範，報經主管機關核 定後實施¹⁷⁵，其實質上已產生與美國 GLB 法類似的效果。近來關於金控法 修正座談會中，主管機關亦表示考慮將放寬共同行銷之資訊共享行為，如此

171 Id. at 399.

172 United States v. Miller, 425 U.S. 435 (1976).

173 Moo-Young, supra note 6, at 446.

174 Kennedy, supra note 170, at 398.

175 金融控股公司法第 42 條。

一來，則 GLB 法中關於銀行不得與任何機構分享用戶接近使用帳戶資訊之 規定，於我國則有更重要之參考價值。

4.3.2 工作場合之使用

在工作場合使用生物辨識技術部分，加拿大之隱私委員會曾經針對私 人企業員工之申訴做出裁決¹⁷⁶，在該案件當中，員工申訴雇主強迫蒐集員 工之聲音，以作為聲紋辨識之用，而公司則表示由於該公司必須處理大量客 戶資訊，為了提供客戶資訊更高的保障，同時降低公司支出，因此採用聲紋 辨識作為管制員工接近、使用客戶資訊之方式。

在加拿大隱私委員會之調查下，認定由於該生物辨識系統確實可以增 進公司的效率、節省費用、增加客戶資訊安全，且該系統僅可進行一對一比 對，無法以一對多比對，並僅能用於客戶資訊之管制，無法對員工進行其他 監督，因此在以該系統之實施所可獲得之利益與員工受損之隱私相權衡之 下，認定該公司可以使用生物辨識技術，且不需要提供員工其他選擇。但 是，隱私委員會同時強調，該公司對生物辨識技術之使用，不得用於其他不 相關之目的，因此該公司之其他使用被隱私委員會認定為不當之使用。

在我國，公司若於工作場合使用生物辨識技術作為身分識別之用途，

原則上只要能於事前告知，並使用於原先的特定目的範圍內，原則上即不違 反個人資料保護法之精神¹⁷⁷，但個人資料保護法修正草案中，對於蒐集個 人資料時之告知事項有相關規定¹⁷⁸，若草案通過後，則蒐集、利用生物辨 識資訊之公司，自應遵守該等規定。

176 OFFICE OF THE PRIVACY COMMISSIONER OF CANADA, PIPEDA CASE SUMMARY 281, http://privcom.gc.ca/cf-dc/2004/cf-dc_040903_e.asp (last visited on Sept. 8, 2005).

177 關於工作場合中雇主對員工之資訊監控行為與隱私權的關係，請參考王郁琦，「工

作場合中電子郵件隱私權之研究」，資訊、電信與法律，頁 73-108（2004）。

178 相關規定請參考「個人資料保護法」修正草案第 8 條。