聯合國討論網路身份管理計畫
聯合國國家安全組織(U.N. National Security Agency)計畫於一項名為Q6/17之「網路使用者身份管理計畫」提案中,討論如何以修改網路架構之方式,確保網路通訊來源之真實性與可追溯性。此項計畫被認為可能對網路匿名性產生極大衝擊。
目前網路所賴以溝通訊息之TCP/IP通訊架構,仍允許使用者於一定範圍內保有於網路上匿名發言或活動之可能,例如Tor線上匿名軟體(Tor: anonymity online)之運作即是。然而,此種匿名式的運作架構,被抨擊可能威脅網路安全,例如駭客可利用大量偽造來源地址(spoofed source IP addresses),發動分散式阻斷服務(DDoS)攻擊。
有鑑於此,Q6/17提案乃嘗試藉由網路連線技術架構的調整,確保未來任何網路上之活動皆可追蹤出原始網路通訊來源(“IP Trackback”)。然而,此種作法被批評為將摧毀網路匿名特性,並對個人隱私造成侵害,或成為各國政府打擊政治異議人士的工具。發表匿名言論權利曾受許多國家憲法或國際條約的肯認,例如1995年美國最高法院於McIntyre v. Ohio Elections Commission一案,做出「匿名發表權乃受憲法保護之人民基本權」見解,歐盟亦有「網路通訊自由宣言(Declaration on Freedom of Communication on the Internet)」。故Q6/17嘗試消弭發表網路匿名言論之技術突破,是否能通過世界各國憲法之嚴格檢驗,仍值得後續關注研究。
本文為「經濟部產業技術司科技專案成果」
韓國法務部於2009年9月21日宣布將於2009年10月向韓國國會提交入出境管理法修正案,要求任何超過17歲之外國人於入境韓國時,必須提供食指指紋及個人臉部照片;如不提供,則不許其入境。而如該外國人欲滯留韓國境內超過3個月時,則必須登錄其所有手指的指紋。通過該方式所取得之指紋及照片,將依韓國個人資料保護法統一存放於「外國人生理資訊資料庫」(database of physical information on foreigners)。 據韓國法務部官員表示,之所以提出此法律修正案,是因為近來韓國已面臨嚴重的非法入境、移民犯罪、外國人犯罪以及恐怖主義之威脅,因此重新實施指紋及生理資訊登錄制度顯然刻不容緩。 不過,值得注意的是:原先韓國入出境管理法要求滯留韓國境內超過1年之外國人需提供所有指紋的規定,已於2004因被認為有侵害個人隱私之嫌疑而遭韓國國會廢止。然而此次不僅捲土重來,而且還擴大到短期滯留旅客亦須提供指紋及照片。相關立法措施是否真能順利通過,似乎仍有待進一步觀察。
歐洲航空安全局EASA將制訂無人機管理草案近來無人機使用越來越普遍,歐洲各國無人機管理制度不同,例如在德國,無人機不得超過25公斤,英國則規定重量超過20公斤以上的無人機視同一般民航機管理。法國雖禁止飛行器未經核准不得在巴黎上空飛行,但日前頻傳有無人機圍繞著艾菲爾鐵塔、美國大使館、羅浮宮和巴士底獄紀念碑,一度造成恐慌。至於美國,聯邦航空總署(Federal Aviation Administration,FAA)原則上禁止大部份商用無人機飛行,但業者可以申請豁免。 因此,為了統一無人機相關管理辦法,歐洲航空安全局(European Aviation Safety Agency, 以下簡稱EASA)目前已擬管理草案,並將無人機分為三種等級,最低風險無人機是指低耗能飛行器(aircraft),包括模型飛機,該類飛機無須任何形式的證照,只能在操作者視線內且不得在機場與自然保護區使用,其最高飛行高度為150公尺,並禁止在人群上空使用。然而,最高風險無人機管理範圍則將與現行飛行器相關管理規則一樣,必須取得多種飛行證明。此外,無人機帶來的隱私與安全憂慮,EASA表示,這是國家層面議題,例如各國政府可要求無人機上加裝SIM卡的方式解決。 歐盟委員會(European Commission)希望無人機基本規範架構能於今年年底前到位。有關最低風險無人機相關管理草案預計於12月提出,以便業者經營無人機明年可以上路。EASA局長Patrick Ky在一份聲明中表示:「這些規定將確保無人機產業可在安全與可成長的環境下發展。」
Google被控不當蒐集蘋果公司Safari瀏覽器用戶的個人資料案件緣於Judith Vidal-Hall等三人對Google提告,主張Google規避蘋果公司Safari瀏覽器預設之隱私設定,在未取得用戶同意前,逕行使用cookies追蹤其網路活動,蒐集瀏覽器產生的資訊(the Browser-Generated Information, or ‘BGI’),並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知,而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決,並進入審理程序(裁判字號:[2015] EWCA Civ 311)。 本案主要爭點包含,究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料?濫用隱私資訊是否構成侵權行為?以及在沒有金錢損失(pecuniary loss)的情形下,是否仍符合英國資料保護法(Data Protection Act 1998)第13條所指損害(damage)的定義,進而得請求損害賠償? 法院於判決認定,英國資料保護法旨在實現「歐盟個人資料保護指令」(Data Protection Directive,95/46/EC)保護隱私權的規定,而非經濟上之權利,用以確保資料處理系統(data-processing systems)尊重並保護個人的基本權利及自由。並進一步說明,因隱私權的侵害往往造成精神損害,而非財產損害,從歐洲人權公約(European Convention of Human Rights)第八條之規定觀之,為求對於隱私權的保障,允許非財產權利的回復;倘若限縮對於損害(damage)的解釋,將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。 法院強調,該判決並未創造新的訴因(cause of action),而是對於已經存在的訴因給予正確的法律定位。從而,因資料控制者(data controller)的不法侵害行為的任何損害,都可以依據英國資料保護法第13條第2項請求損害賠償。 本案原告律師表示:「這是一則具有里程碑意義的判決。」、「這開啟了一扇門,讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定:「這是一場以弱勝強(David and Goliath)的勝利。」 註:Google 在2012年,曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資,與美國聯邦貿易委員會(United States Federal Trade Commission)以2,250萬美元進行和解。
美國第三州!科羅拉多州正式通過《科羅拉多州隱私法》美國科羅拉多州州長於2021年7月正式簽署《科羅拉多州隱私法》(Colorado Privacy Act, CPA)草案,科羅拉多州正式成為美國第三個制定全面性隱私專法的州,該法將於2023年7月1日施行。 隨著全球化及科技快速發展,以及大數據的應用趨勢,資料的蒐集、處理、利用規模及範圍逐漸擴大,全美各地隱私保護規範遍地開花,期待能促使企業在「保護個人資料」與「資料自由流通」及「資料商業運用」中取得平衡。 2018年美國加州首先制定《加州消費者隱私保護法》(California Consumer Privacy Act, CCPA)成為全美第一州級隱私保護專法後,包含華盛頓州、伊利諾州、紐約州等,也都提出各該州級隱私保護法案,而美國維吉尼亞州議會於今年2月通過《消費者資料保護法》(Consumer Data Protection Act, CDPA)法案,並在3月經由州長簽署,正式成為美國第二個擁有隱私保護專法的州,該法預計於2023年1月1日生效。 科羅拉多州於今年6月將CPA草案送交州長簽署後,於7月順利成為第三個通過隱私保護專法的州。一旦CPA生效,消費者除將享有近用權(right of access)、更正權(right of correct)、刪除權(right of delete)、資料可攜權(right of data portability)外;CPA規定在資料控制者對其消費者進行目標式廣告(targeted advertising)、銷售消費者個人資料,或者將對消費者決策產生重大影響時,消費者享有選擇退出權(right to opt out)。 整體而言,儘管 CPA 與CCPA及CDPA規範相似,在隱私保護規範上可能不是特別具有開創性,但CPA反映了美國各州強化隱私保護的趨勢與決心。舉例而言,去(2020)年不僅美國大選結果受矚目,美國各州隱私保護相關公投案,包含《加州第24號提案》、麻州《汽機車機械資料》、密西根州《電子資訊搜索票》及緬因州波特蘭市《臉部辨識禁令》也獲通過。美國在尚未具有統一聯邦隱私保護法下,透過州級隱私立法,保有各州特色並作為各州隱私保護執法依據。