英國Tesco於網域名稱爭議中獲得勝利

　　有鑒於智慧聯網IoT環境下，許多智慧型手持裝置及行動通訊裝置，大量蒐集消費者資訊之隱私權暨資訊安全考量，美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」（Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913）進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體（Application）在蒐集消費者資訊前，如何落實「同意」機制，乃強制行動通訊裝置應用軟體開發商（developer）應：（1）提供使用者個人資料蒐集、使用、儲存及公開之通知（notice），而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等；（2）取得使用者之同意（consent）；消費者依據該草案亦有權撤銷其「同意」（withdrawal of consent）。此外，草案乃強制要求該行動通訊裝置應用軟體開發商，就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料，應採取合理及適當之防衛措施（security measures on personal data and de-identified data）。 　　並且，針對網路環境下隱私權保護議題，更早之前，美國國會於2013年2月28日提出「線上禁止追蹤法草案」（Do-Not-Track Online Act of 2013） 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會（FTC），就透過個人線上活動追蹤，以蒐集、使用個人資料之行為態樣，進行管制。該管制模式謹據以要求如下：（1）被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知（clear, conspicuous and accurate notice and use of such information），而個人就該通知應予明白之同意（affirmative consent）；（2）FTC未來在訂定標準規範時，應（shall）考量所被搜集之資料，是否在匿（隱）名基礎上處理之，遂該資料無法有效被聯結（指認）到特定個人或裝置上；此外，消費者當享有資料不被蒐集的權利（expressed preference by individual not to have personal information collected）。該草案並就違反之個人，設定最高15,000,000美元損害賠償規定。

馬來西亞個人資料保護委員會（Personal Data Protection commissioner，下稱個資保護委員會）於2023年度收受與個人資料（下稱個資）濫用、外洩相關申訴案件數量達779件，成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步，並加強個資遭洩漏時即時採取應變措施等相關政策，以解決前述憂心狀況，數位部（Ministry of Digital）於2024年7月10日提出《個人資料保護法》（Personal Data Protection Act 2010, PDPA）修正案，並於同年7月16日經下議院（Dewan Rakyat，馬來語直譯）表決通過。 本次PDPA修正重點包含： 1.設立個資保護官（data protection officer, DPO）制度：強制要求蒐集、處理、利用個資之資料控管者（data controller），及受資料控管者委託而實質處理個資之資料處理者（data processor），均需指派個資保護官。 2.擴張對於敏感性個資（sensitive personal data）定義：與個人身體、生理或行為特徵相關之技術處理所生個資（即生物辨識資料），皆屬之。 3.制訂個資外洩通報制度：強制要求發生個資外洩時須通報個資保護委員會，以及可能受到任何重大損害之個資當事人，惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性：在遵守技術可行性（technical feasibility）與資料格式相容性（data format compatibility）之情境下，允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務：舊法僅要求資料控管者須遵守PDPA所規定的安全原則（security principle）；新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則：舊法對於違反個資保護原則者，最高僅得處300,000馬幣和/或2年監禁；新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正：原則允許資料控管者將個資傳輸至馬來西亞以外，惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當；並將跨境白名單制度調整為黑名單制度，不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA，彰顯該國政府對個資保護之重視，惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範，則仍須待修正案通過後，經個資保護委員會發布相關指引再行釐清。

　　歐盟資料保護主管機關（European Union Data Protection Authorities, EU DPAs，以下簡稱DPAs）所組成的第二十九條資料保護工作小組（The Article 29 Working Party，以下簡稱WP29） ，於2014年11月26日宣布將適用5月13日Google西班牙案（C-131/12）判決結果之指導方針（guideline）。該項宣示確立了被遺忘權效力所及之範圍，以及各國DPAs受理資料主體（data subject）所提出訴訟之標準。 　　WP29表示，一如該判決所示，將連結於搜尋結果清單中移除，必須以全球網域為範圍，才能使資料主體權利受到完整、有效之保護，並且所依據歐盟資料保護指令95/46/EC才不至於受到規避。因此，儘管搜尋引擎營運者如Google認為，該項指令效力僅限制於歐洲，以及全球網域中低於5%歐洲網路使用戶，所以他們只需要將具爭議的連結，從歐盟網域的用戶搜尋結果中移除即可。但WP29則強調，倘若判決僅以歐盟網域為限制範圍，對於欲為歐盟公民隱私保護的立意來說，可能將無法全面保護。鑑此，歐洲隱私監管機構（Europe’s privacy regulators）亦於2014年11月26日表示，搜尋引擎營運者如Google公司，將連結於搜尋結果清單中移除，必須以全球網域為範圍，而非只是僅以歐盟境內網域為資料主體得要求實行被遺忘權（right to be forgotten）的範圍，以符合歐洲法院判決的要求結果。 　　自該判決所確立之資料保護權利主張，以資料主體發現某一搜尋係以其姓名為基礎，而搜尋結果的清單顯示通往含有該個人資訊網頁之連結，則資料主體得直接與搜尋引擎營運者聯絡（approach）；次之，若搜尋引擎營運者不允其要求，資料主體則得轉向各國DPAs，在特定情形下，要求將該連結從搜尋結果清單之移除 。係該判決以歐盟資料保護指令95/46/EC為法規依據，經由釐清相關爭點、樹立指導方針及準則（criteria），謹分別列出如下： （一）搜尋結果是否連結至個人資訊，並且包含資料主體之姓名、筆名或暱稱； （二）是否資料主體在公領域居有重要角色或具公眾形象，以及是否公眾應具有取得前述資料之法益； （三）是否資料主體為少數例子，（意即顯見DPAs可能要求移除該搜尋結果） （四）是否資料具正確性； （五）是否資料具關聯性且不過份，並(a)連結至資料主體之工作生活；(b)搜尋結果（the search result）連結至據稱對訴訟者為憎恨、評論、毀謗、汙辱或具侵犯性資訊；(c)資料清楚反映為個人意見，或顯然受過驗證為事實。 （六）是否根據資料保護指令第8條，該資料具敏感性如個人健康狀況、性向或宗教信仰； （七）是否該資料已經過時，或是對於資料處理目的來說，其存在已為冗贅； （八）是否該資料處理已足生對資料主體之偏見，並且對其隱私已具有不對等的負面影響； （九）是否搜尋結果與資料連結，已造成資料主體暴露於危險威脅，例如竊取身分或受到跟蹤； （十）是否資料主體(a)自願使公眾知悉其資訊內容，或(b)可合理據知其所資訊內容將使公眾所知悉，或(c)意圖使公眾知悉其資訊內容； （十一）原有資訊是否以新聞目的為出版，而該項標準不得單獨為拒絕請求移除之基礎； （十二）資訊之出版者是否具有法律依據或義務，使該個人資料得公諸於世； （十三）是否該資料涉及刑事犯罪，而應由DPAs以公權力使犯罪者資訊公諸於世，原則上DPAs可能考慮對犯罪發生年代相對久遠、犯行較輕者，為搜尋結果之移除；而較不可能對近期發生、犯行嚴重者，為搜尋結果之移除。 　　以上13項準則皆立基於大眾取得資料權之法益為衡量，供各國依個案判斷是否受理資料主體所提出訴訟，以俾利未來各國DPAs處理相關爭訟之遵循依據。