論我國廣播電視與電信事業跨業經營相關規範

　　英國於今年5月26日通過「隱私及電子通訊規範」（The Privacy and Electronic Communications Regulations），實現隱私監督之責，以管控cookies或是侵害個人資料之行為。   　　新法納入歐盟於2009年e隱私指令中所決定之改變，旨在讓網路使用者自行決定資訊服務業或其他事業能儲存多少使用者之紀錄。但業者對此項新要求表示困惑，因此英國之隱私權主管監督機關資訊專員公署（Information Commissioner's Office，ICO）最近出版一份指引，指導網站如何遵守新法使用cookies功能之規定及履行告知義務之要求。然而指引中並未強制規定告知內容與方式，因此業者仍可自行決定如何最有效地履行告知義務。   　　ICO本週表示新法尚有一年之緩衝期間，讓業者調整使用cookies功能之方式。政府表示目前仍在與瀏覽企業者討論，如何透過瀏覽器頁面之設置取得當事人之同意，而此部分尚未規定在新法中。   　　「政府的指引太晚公布了，並且缺乏明確性，又無法確定新法是否能允許以瀏覽器技術作為解決之方法，這樣會讓業界無所適從」，任職於Pinsent Masons法律事務所的科技法律專家Clarie McCracken說，「此種非決定性之指引會使業者無法找到標準作法以避免觸犯新法。」。   　　ICO認為企業在新法正式施行前，最好趕快表明其如何使用cookies功能並制定相關規定以遵守新法。   　　新法同時要求特定企業當其所蒐集之個人資料遭受駭客攻擊或外洩時，其必須要告知消費者。根據新法，個人資料遭受侵害之定義為：某種安全狀態遭受攻擊，導致與公共電子通訊服務有關之個人資料被故意或不法毀損、滅失、竄改、越權揭露或存取、傳遞、儲存或其他相關利用。當上述情事發生時，公司必須通報ICO，說明大致情況及可能產生之結果，並提出公司將採取之因應措施，同時告知受害之消費者。

澳大利亞國庫部（Department of the Treasury）於2023年10月11日發布《支付系統管理法》（Payment Systems（Regulation）Act 1998）修正草案，擬擴張法案適用主體，將Apple Pay、Google Pay等數位支付或提供此項支付服務事業納入規範，其目的在於提升企業的開放性及責任，並關注大型科技企業在其中扮演的角色。 本次修正案中，將修改現行支付系統的定義及適用主體，擴大至提供支付服務平臺企業，將被視為金融機構受到拘束，並授權澳大利亞準備銀行（the Reserve Bank of Australia，下稱RBA）監管數位支付平臺。修正草案內容整理如下： 1.重新定義「支付系統」。現行法定義為「透過任何形式或方式促進貨幣流通的系統」，草案則納入非貨幣（non-monetary，如數位貨幣）及提供便利支付服務的支付平臺系統。 2.擴大「參與者」定義。現行法規中參與者僅包含管理、運作支付系統的企業，草案則擴張至與支付價值鏈（payments value chain）具直接或非直接相關連之所有企業。 3.現行規範中，僅RBA在可能涉及使用者財務安全及公共利益（下述）考量時，有指定支付系統的職權，並有權監管該支付系統，包含決定新參與者的加入、訂定制度內參與者應遵守的標準及指引、對相關爭議問題進行仲裁等。修法後國庫部部長（Minister）將擁有相同權力。規範所稱之「公共利益」，指有助提升財務安全、高效率並具有競爭性，且不會導致金融體系風險增加。 4.提高法案中刑事處罰的罰金金額。現行法規授權RBA訂定支付制度之相關標準及指引，若制度內參與者未依標準或指引行事，RBA會提出要求企業為特定行為或不行為之指示，仍未依循可能會科處澳幣5,500元的罰金（約臺幣11萬3千元），修法後將提高至2倍，惟罰金之處罰權最終仍須法院審判決定。 我國針對電子支付產業有電子支付機構管理條例、金融消費者保護法規範，並要求第三方支付服務業者落實洗錢防制法規定，避免淪為洗錢或地下匯兌工具，未來可持續觀察澳大利亞及其他國家對於支付平臺議題之討論及發展趨勢，作為我國評估相應治理措施及手段參考基礎。

　　英國政府於2021年11月24日，提出產品安全及電信基礎設施法案（Product Security and Telecommunications Infrastructure Bill，PSTI法案），要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商，及經銷商符合新網路安全標準，並對未遵守規範者處以巨額罰款。 　　PSTI法案之通過將保護消費者免受資安攻擊，並使政府得以引入更加嚴格的安全標準。該法案之內容包含，禁止數位科技產品之業者使用單一且通用之預設密碼，產品之預設密碼都必須有所不同；供應商應具備漏洞揭露政策，並應向客戶公開公司正採取何種防禦作為，處理該安全漏洞；應公開相關聯繫資訊或建立聯繫平台，使安全研究人員或其他人發現產品缺陷及錯誤時，方便與其聯繫；另外，針對不符合要求之產品或服務，政府亦將有權阻止其於英國境內銷售。 　　在電信基礎設施改革方面，將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判，減少相關冗長的法律爭訟事件，例如，要求電信營運商透過訴訟外紛爭解決機制（Alternative Dispute Resolution，ADR）解決紛爭，無須訴諸法院。亦加快續約之談判流程，讓根據舊有協議安裝基礎設施之營運商，得以按照類似條款進行續約，英國政府希望透過這些措施使95%國土擁有4G網路覆蓋，至2027年大多數人口能使用5G網路。 　　PSTI法案生效後，英國政府將指定監管機構，其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰，或以其在全球之營業總額的4%作為罰款。

　　日本個人情報保護委員會於5月31日與歐盟執行委員會，對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則（European Union General Data Protection Regulation,GDPR）對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式，因此只有在符合例外之情形下，個人資料才能進行跨境傳輸，而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施，或取得個資當事人明確同意等方式。此外，GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準，為適足性認定制度，取得此一認定資格者，即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定，日本則尚未取得。 　　日本為了減輕企業的負擔，2016年7月個人情報委員會決定處理方針，以取得相互認定承認為目標；於2017年1月歐盟執行委員會政策文書發表，將日本列為適足性認定之優先國家，將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法，新導入域外適用規定，並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見，今年2月14日審議擬定「個人資料保護法指引－歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案，於今年4月25日至5月25日完成草案預告及意見徵集程序，預定於今年7月上旬訂定發布。其後，將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即，個人情報保護委員會基於個人資料保護法第24條規定，指定歐洲經濟區（EEA）為與日本有同等水準之個人資料保護制度之外國，而歐盟執行委員會依據GDPR第45條規定，認定日本為具備適足保護水準。相互認定後，日本與歐盟間得相互為個人資料傳輸，如有相互協力必要性發生時，個人情報保護委員會及歐洲執行委員會應相互協議以為解決。