不透明、歧視性的零工管理演算法違反GDPR,義大利資料保護機關裁罰平台業者260萬歐元

◎ 陳錫平(中央研究院法律學研究所博士後研究學者)

義大利資料保護監理機關(Garante per la protezione dei dati personali;簡稱Garante)在今(2021)年7月5日針對該國的餐飲外送平台業者Foodinho(相當於在臺灣的Uber Eats、foodpanda),開出一張260萬歐元的高額罰單,認定其違反眾多資料保護規定。特別值得注意的是,開罰的理由包含,作為零工經濟(Gig Economy)商業模式核心的應用程式,其使用的演算法對配送員造成違法歧視。

Photo by MART PRODUCTION from Pexels

在數位化及新經濟模式迅速發展的現在,零工經濟已然蓬勃發展,在新冠肺炎疫情下,更是加速成長。然而,餐飲配送員的待遇、勞動條件及社會保護,也不時引人同情擔憂。因此,在數位化零工經濟日益興盛之際,保障勞動者權益與加強管制數位平台的討論,也成為全球關注的議題。歐盟執委會已於今年2月24日啟動改善數位平台勞動者保護立法的諮詢程序,預定今年底提出立法草案。今年6月在義大利召開的G20國家勞動部長級會議,主辦方義大利也要求各國加強零工經濟的管制,以解決零工經濟中已明顯可見的弊端,保障勞動者權益。

本案顯示,在創設新法律框架管制人工智慧科技於勞動就業領域的應用之前,歐盟會員國各該主管機關,在某程度上已能依據現行的歐盟一般資料保護規則(General Data Protection Regulation, GDPR)規定,禁止使用歧視性、不透明演算法,並要求採取改善措施。

Foodinho是總部位於西班牙全球性外送平台企業GlovoApp 23在義大利的子公司,其應用程式使用數據演算法的評價系統,依據外送員接受、執行多少訂單,完成訂單的準時程度,拒單率等等因素,透過數學公式排定外送員的派單順序或予以獎懲。在經過調查後,Garante認定這種自動化決定方式構成GDPR第22條規定的剖繪(Profiling)(或譯為「建檔」),因而此類軟體的使用必須遵守GDPR資料保護的相關要求。

Garante的調查結果顯示,餐飲外送平台業者Foodinho的演算法評價與派單系統是偏頗的,而且違反歐盟GDPR有關資料處理的透明性(transparency)與合法性(lawfulness)原則,受影響的外送員高達1萬9千人。Garante指出,Foodinho未能充分告知外送員系統評價其工作表現的運作方式,也沒有設置一確保自動化處理對於外送員表現的評價結果是公平且正確的擔保機制。此外,Garante特別強調,Foodinho未能保障外送員得使用適當程序以保護其獲得人為參與(human intervention)、表示個人意見,以及對系統根據演算法作成決定提出申訴的權利,特別是演算法作成的停權決定。另外,Garante還認定Foodinho其他多項對資料保護不足之處,例如未進行資料保護影響評估(Data Protection Impact Assessment, DPIA)、未採取技術和組織安全措施(technical and organisational security measures)、未設置資料保護專員(Data Protection Officer, DPO)、未保存記錄(record-keeping)以及未設置資料保護機制(Data Protection by Design)等等。總括來說,Foodinho完全無視GDPR的規定,幾乎違犯了所有想像得到的資料保護要求。

綜合上述,Garante判定Foodinho違反GDPR第5條第1項第1、第2及第5款、第13條、第22條、第25條、第30條、第32條、第35條及第37條等規定。除了科處260萬歐元的罰鍰外,Garante更命令Foodinho採取多項改正措施,其中特別包含:

  • 需保護外送員面對自動化決定時應享有之權利及自由;
  • 檢證系統使用資料的正確性與關連性;以及
  • 採取措施以防止消費者及合作商家不適當或歧視性使用評價系統。

Garante給予Foodinho 60天時間執行上述要求,採取改正違規情事的必要措施。另外,Foodinho必須在150天完成系統演算法之變更。

對於使用演算法監控及操控外送員工作表現的平台業者來說,義大利資料保護監理機關Garante的強勢作為,敲響了警鐘。格外引人注意的還有,Garante已經依據GPDR啟動共同合作機制,與西班牙資料保護監理機關(Agencia Española de Protección de Datos, AEPD)合作調查Foodinho的西班牙母公司GlovoApp23。如今,AEPD也在Garante的合作協助下,另行開啟對GlovoApp23的調查程序,以釐清母公司本身的數位平台是否符合GDPR的要求。這是歐盟國家監理機關間動用GDPR合作機制(cooperation mechanism)的首例,後續發展值得觀察。


資料來源