優質網路社會基本法之推動芻議

　　新加坡通訊及新聞部（Ministry of Communications and Information, MCI）與新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）於西元2020年5月14日至28日間針對其「個人資料保護法修正草案」進行民眾意見諮詢，總共收到87份回覆。綜合民眾回覆之意見後，同年10月5日，於議會提出了「個人資料保護法修正草案」，修正重點如下： 提高外洩個人資料者罰鍰金額，至該公司在新加坡年營業額10%或1000萬美元。MCI / PDPC說明，實際上於裁罰前會綜合考量個案事實與相關因素（如：嚴重性、可歸責性、影響狀況、組織有無採取任何措施減輕個資外洩造成的影響等），作為裁罰金額的判斷依據。此外，新加坡的個人資料保護法也加入了個資外洩通知義務，但與歐盟一般資料保護規範（General Data Protection Regulation, GDPR）仍有不同，例如：其多了評估是否通知的機制。 組織基於商業改善之目的，且遵守法定條件下，得未經同意使用個人資料，此處商業改善目的包含：(1)改善或加強提供之商品或服務，或開發新的商品或服務；(2)改善或發展新的營運方式；(3)瞭解客戶喜好；(4)客製化商品或服務所需。 在公司併購、重組、出售股份以及經營權轉讓等關於公司資產處置情形，得例外無需經當事人同意而蒐集、處理與利用個人資料。 新增資料可攜權相關規定。 處罰未經授權者處理個人資料之行為。針對民眾回覆之疑慮（認為草案內容不明確），MCI / PDPC說明預計在《法規與諮詢指南》中闡明有關授權行為的細節性規定，包含採取的形式。

　　大多數國家是認為動植物為法定不得授予專利之標的，歐盟以往因為歐洲專利公約實施細則(Implementing Regulations to the Convention on the Grant of European Patents，下簡稱實施細則)跟擴大上訴委員會(the Enlarged Board of Appeal，簡稱EBA)決定不一致而造成爭議，EBA於2020年5月做出的新決定，對於動植物是否為可授予專利之標的做出一致性解釋。 　　在歐洲專利公約(European Patent Convention，簡稱EPC)第53條第2款規定用以生產動植物的基本生物學方法不可授予專利，並於2017年生效的實施細則第28條第2項將其進一步擴張解釋成，僅運用基本生物學方法所產生的動植物不可授予專利，這與EBA在2015年所做出的決定(G 2/12、G 2/13)並不一致，在2015年的決定中提到，運用基本生物學方法來界定動植物的請求項仍可以被接受，因此實施細則第28條第2項與2015年的決定產生衝突。 　　於2019年，技術上訴委員會(Technical Board of Appeal)在案例T 1063/18中發現了這個問題，並提到EBA討論，EBA表示，考慮到法條涵義可能因時間產生變化，需要對EPC第53條第2款進行動態解釋(dynamic interpretation)，實施細則第28條第2項與EPC第53條第2款並未矛盾，而是進一步擴展為，僅通過基本生物學過程，或是由基本生物學方法界定動植物之情況，皆屬於不可授予專利之情況，而推翻之前的決定。而為維持法律安定性，本決定(G 3/19)對於2017/07/01前生效或申請的案件並不具效力。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　菲律賓最高法院於2013年2月5日延長了之前（2012年10月9日）對於網路犯罪防制法（Cybercrime Prevention Act of 2012），所做出的120日暫時限制適用令（Temporary Restraining Order），表示此一法令暫時尚無法正式施行。對此，菲國參議員多表示贊成，而對於該法主要的批評包括過度侵害言論自由、違反程序正義、比例原則以及一事不兩罰原則，並可能導致「寒蟬效應」，先前聲請停止該法施行的相關人士則認為該法過於模糊且規範範圍過廣。 　　該法之具體適用爭議如：（1）ISP業者僅因刊登誹謗性言論，即可能遭致處罰。（2）該法12條授權主管機關可即時蒐集利用電腦系統之特定通訊資料。（3）網路使用者可能被認定為網路犯罪之幫助或教唆者而被處罰。（4）政府可能依據此法蒐集網路使用者之各種資料。 　　不過，菲國檢察總長Francis Jardeleza 對此則表示，此法雖有缺陷，但亦尚未至完全可廢止之程度。另外，尚有菲律賓全國記者聯盟（National Union of Journalists of the Philippines, NUJP）與菲律賓網路自由聯盟（Philippine Internet Freedom Alliance, PIFA）對此限制適用令表示支持，並認為對於法令與自由衝突爭議正方興未艾。

　　歐盟電子通訊隱私指令（Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive）第五條(3)中對於cookie（即業者為辨別使用者身份而儲存在用戶端上的資料）設置的規範，將於2011年5月全面施行。惟對於cookie之使用，部分網路業者認為如果網路使用者沒有選擇不要裝置cookie (opt-out)，那麼就等同於同意裝置，而不需另外取得使用者的同意。針對此點，歐盟第29條資料保護工作小組（Article 29 Data Protection Working Party）於2010年06月22日對於網際行為廣告作出一份意見（Opinion 2/2010 on online behavioural advertising）。 　　意見中澄清，網際行為廣告係一種透過cookie的使用，追蹤蒐集網路使用者上網行為的資料，其網路資訊將被使用於日後發放與使用者上網行為相對應的廣告之用。除非是屬於網路使用者明白要求使用cookie，或是使用網路服務所『必要』的cookie（例如，沒有cookie就無法顯示或進行至下一個頁面），則不必先行取得使用者的同意外；其他凡經由cookie所儲存的資料，均應被視為『個人資料』，使用上必需先行取得網路使用者的明示同意，以自行選擇（opt-in）的方式接受cookie的使用，後存於網路使用者的個人電腦中。業者不得以搜尋引擎的cookie設定主張視為網路使用者等同已經明示同意使用cookie進行被追蹤及蒐集資料。 　　該意見受到許多歐盟及國際之網際出版、廣告及商務業者的反彈，業者表示所蒐集的資料並非可辨認性或敏感性資料，此規範的執行將會嚴重衝擊到廣告產業的收益，建議採行自律規範或使用行為守則來取代上述規定。 　　由於這項規範尚未於歐盟中被執行，歐盟第29條資料保護工作小組對於技術上如何遵循該規範也並沒有提出具體的建議。