歐洲議會呼籲尊重網路人權

　　英國新聞申訴委員會(The Press Complaints Commission，簡稱PCC)日前針對某報業網路上發布之影片寄出違反隱私權之處罰裁定，該影片為一位16歲之高中學生利用行動電話所拍攝，內容紀錄該學生就讀之班級學生於教室內脫序的上課狀況，該學生錄下脫序現象之目的在向自己父母解釋其數學成績不佳之原因，此一事件被英國報紙The Sun, The Daily Mirror and The Hamilton Advertiser報導出來並將該影片公布於網路。 　　該校「家長、老師會」(Parent Teacher Association)為此向英國新聞申訴委員會提出申訴，主張報社報導並於網路上公布該影片之行為，構成對於影片中學生之隱私權侵害，因為包括校方、學生以及學生家長皆未對影片播放表示同意。 　　PCC表示，學校的風紀問題已被認定與公共利益相關，而本案影片學校對於學生鬆散管理導致之脫序行為已經影響學生學習之表現，明顯屬於重要之公共利益事項。然而，該報社於報導此事件時，無論於報紙上之圖片以及網路上之影片皆未加以處理，尤其，網路上之影片有部分學生之身分可被明顯辨識，而新聞媒體具有確保學生隱私權不致於因出現鏡頭前而受到侵害之責，雖然依據該報社表示若將學生影像模糊處理將降低事件可能造成之影響，但學生隱私之保護將比新聞媒體呈現事件之利益更為重要，故裁定該報社違反新聞媒體工作規範中之隱私權保護規定。 　　PCC從今年(2007年)2月已開始對於報社所擁有之多媒體網路內容規範管理，而該規範並未排除大眾提出之資料，只要該資料為該報社可編輯掌控之範圍內，皆受到規範。

日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南（下稱《指南》）》，指南分為三大章，第一章為整體資料環境之變化；第二章為資料治理；第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料處理篇，主要為促使企業理解有利活用於數位技術與服務的資料管理方法。 《指南》資料處理篇指出，資料的生命週期涵蓋資料設計、資料蒐集、外部資料連動、資料整合、資料處理、資料提供、資料累積以及資料銷毀等不同階段。《指南》建議在資料生命週期的各階段，盡可能的不要有人類的介入。舉例而言，資料蒐集可以透過感測器或系統進行。該建議的目的在於，人類介入資料生命週期，僅會引起輸入錯誤或是操作錯誤等風險。 此外，《指南》亦於資料處理篇中針對資料治理給出四點建議，分別如下： (一)資料是企業的重要資產，因此應重視其管理方式。管理方式涵蓋帳號密碼、透過生物辨識技術進行資料接觸管理、Log檔之取得、系統設定禁止使用USB等方式。 (二)資料治理的重點在於對人政策。除了向員工強調不要開啟不明網站及釣魚信件以外，企業亦應與員工建立堅實的信賴關係。 (三)資料公開或流通時應注意，如果不希望提供後的資料被二次利用，應於雙方間的資料利用契約中敘明。此外，由於資料具備易於複製及傳輸的特性，因此在公開或流通資料時，應考量適用諸如時戳技術等可確保資料原本性或使資料無法被竄改的數位技術。 (四)資料銷毀如果僅是單純的刪除資料，有透過數位技術找回資料的可能性。因此，除可評估委由專門進行資料銷毀服務的公司協助以外，由於銷毀資料經由個人電腦外洩之事件時有所聞，故亦應留意個人電腦之資料管理。 我國企業如欲將資料活用於數位技術或服務，除可參考日本所發布之《指南》資料處理篇以外，亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，以建立自身資料處理流程，進而強化資料管理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

美國伊利諾州伊利諾最高法院（Illinois Supreme Court）於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決：認定符合聯邦法規健康保險流通與責任法（Health Insurance Portability and Accountability Act, HIPAA）規定，基於「治療、付款或健康照護運作」之前提下，除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露，同樣不受伊利諾州生物資訊隱私法（Biometric Information Privacy Act, BIPA）的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊（如虹膜、聲紋、指紋或生物樣本等）做了較為嚴格的限制，原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊；或2.根據HIPAA規定，基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊，才可例外免經當事人同意（biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.）。然而，基於進行治療、付款或健康照護運作的前提，資料主體除接受治療或健康照護的病患外，是否涵蓋醫療服務提供者（如醫護人員），則有疑義。 本案因醫院的護理人員認為醫療院所未經同意，使用帶有指紋掃描功能的藥品櫃，來蒐集、使用或儲存了他們的生物識別資訊，因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而，伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式，認為立法者係有意於例外規定中重複使用「資訊」一詞，兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊，而後段的資訊來源則應包含了醫療照護提供者，方符合立法者真意。 生物識別資訊風險較高，過去被認為需要取得當事人積極同意授權；於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下，如本案情形係用來確保醫藥品被正確分配給需要的患者，因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一，然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背，仍須持續關注相關案例發展。