智慧財產權管理標準之建立－由管理系統標準談起（下）

　　歐盟電子通訊隱私指令（Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive）針對cookie（即業者為辨別使用者身份而儲存在用戶端上的資料）設置的規範，於2009年修正，將在今年在5月25日之前全面施行。歐盟跟據該項規定，要求業者，當其使用cookie追蹤網路使用者的使用行為時，必須取得網路使用者的「明示同意」，且每隔一年，業者皆必須重新取得該項「同意」，網路使用者亦得隨時撤回。實務上對於該項同意究竟應由業者「主動」要求，亦或「被動」等待網路使用者以允許cookie設置方式而直接視為同意，仍有爭議。 　　儘管如此，英國政府仍已決定內化該指令，制定其國內cookie設置規範。英國資訊委員會（Information Commission）將提出指導原則，協助業者遵循該規範。相關政府單位，亦已開始著手協助業者重新設定網頁瀏覽器。有關當局表示，英國政府將會在歐盟限定的期限內推動此規範，不過，該歐盟指令係強制規範，業者是否能在短期內完成該規範遵循仍有疑議。針對此點，英國政府已通令其資訊委員會，對於已著手改正其隱私規範並重新設置瀏覽器的業者，即便未於期限內完成該規範遵循，亦不受罰。英國未來實施的cookie設置規範究竟會如何發展，仍待觀察。

　　隨著資料多元應用，大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等，因此在跨境傳輸基礎上需要共同的監管制度，以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動，以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。 　　另外，在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中，techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement)，英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper)，將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整，而在過渡期間為企業提供監管確定性，而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制，如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後，將不會直接適用GDPR，因此除非有新的安排，個資在歐盟傳輸仍可能受限，而需昂貴複雜替代機制，故仍應速採取行動： 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”)，應即為過渡期之安排。 英國應考慮實施其他措施，確保歐盟對英國資料保護框架之擔憂能獲解決，尤其是國家安全目的之資料處理。 英國應確保國際傳輸制度(包括美國在內)，與歐盟具相同保護水準，且此作為歐盟適當保護評估的關鍵。