加拿大廣播電視及電信委員會(Canadian Radio-Television and Telecommunications Commission,CRTC)於2009年10月之Telecom Regulatory Policy CRTC 2009-657中,公佈網路流量管理架構(Internet Traffic Management Pratices,ITMPs)之決定,作為管理ISP業者進行差別待遇之依據。該管理架構是加拿大維護網路中立性原則的實踐。
當時CRTC並未決定該架構是否一併適用於行動無線網路,直至2010年7月CRTC發布Telecom Decision CRTC 2010-445,決定將該規則一併適用於行動無線網路,以解決潛在的差別待遇行為發生於行動無線資料服務。
根據2009年之管理架構,CRTC宣示了四項管理原則:
1.透明度(Transparency)
ISP必須透明揭露他們所使用的ITMPs,使消費者能根據這些資訊決定服務的購買與使用。例如經濟條件的透明,使消費者能夠有符合其支付意願之選擇,使市場機制能夠正常運作。
2.創新(Innovation)
解決網路壅塞最基本的方式是透過對網路之投資,也仍是最主要的解決方案。但依靠投資並不能解決所有的問題,CRTC認為,ISP業者之ITMPs在某些時候,仍需要適當的管理措施介入。業者之ITMPs應針對明確的需求而設計,不可過度。
3.明確(Clarity)
ISP業者必須確保他們所使用的ITMPs不會有不合理的歧視,也不會有不合理的優惠。CRTC所建立之ITMP的管理架構,提供一個清晰和結構化的方法,來評估既有與未來的ITMPs是否符合加拿大電信法(Telecommunications Act)第27(2)條規範。
4.競爭中立(Competitive neutrality)
對於零售服務,CRTC將採取事後管制原則,即接受消費者投訴後處理之原則,進行管制評估。而在批發服務部份,則較為嚴格。亦即,當ISP在批發服務使用了比零售服務較多的限制性ITMPs時,必須得到CRTC之批准。當ISP將ITMPs用於批發服務時,必須遵守CRTC之管理架構,不得對次級ISP(Secondary ISP)的流量造成顯著和不相稱的影響。
值CRTC並將採取行動以確保因實施ITMPs而收集之個人資訊,不被洩漏與使用至其他目的。
在本項決定公佈之後,代表加拿大提供接取網際網路的ISP,無論使用何種技術,都將適用同樣的ITMPs管理原則。在Google-Verizon於美國遊說網路中立性應不適用於行動無線網路之時,CRTC之決定可做為不同方向之參考。
歐洲法院於2016年12月21日針對英國2014年數據保留及調查權力法案(Data Retention and Investigatory Powers Act 2014;簡稱DRIPA)作出裁決,其認為該法案授權政府機關得要求電信營運商「普遍性及無區別性」保留使用戶之流量及位置數據,並應政府機關指示提供,違反歐盟電子通訊隱私指令(2002/58/EC;E-Privacy Directive),與歐洲聯盟基本權利憲章第7條私生活與家庭生活受尊重之權利,及第8條個人資料受保護之權利。 詳言之,歐洲法院認為,歐盟電子通訊隱私指令15(1),雖承認會員國在保障國家安全、國防、公共安全及預防、調查、偵查及起訴刑事犯罪或未經授權使用電子通信系統之行為下,可立法採取適當措施予以限制電子通訊之隱私權,但由於流量及位置數據是可以藉由保留數據精確得出個人私生活,並據以建立個人簡介,因此,倘允許「普遍性及無區別性」之要求保留數據,對於歐洲聯盟基本權利憲章是非常深遠與特別嚴重之侵害,將導致個人未受任何通知,政府即可要求電信營運商保留數據,使民眾之私生活處於不斷被監視之中。 據此,該裁決進一步指出,立法上須具備特定標準及客觀證據,足以證明個人或其數據可能與重大刑事犯罪或恐怖主義有關連性,且保留數據行為具有打擊重大犯罪或預防嚴重公共安全風險之利益,方可限縮歐洲聯盟基本權利憲章所規定之基本權利,且應採取適當保護措施,並確保保留數據於保存期間結束後能徹底且不可復原之銷毀。 然而,歐洲法院之此項裁決見解,在英國脫離歐盟已成定局之情形下,其遵循態度與影響力為何,尚不可知,甚且對於其國內於12月實行,以賦予政府更大權力監控民眾之調查權力法案(Investigatory Powers Act. 2016)之衝擊程度為何,亦值得後續觀察。
政府採購雲端服務新興模式暨資安一體考量之研析 英國發布《資料主體近用權指引》說明資料近用權法遵重點及實例解析英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2020年10月21日發布《資料主體近用權指引》(Guidance of Right of access),針對資料主體行使資料近用權之請求(Data Subject Access Request, DSAR),受請求之機構應如何進行識別判斷、簡化處理方式,以及特殊例外情況等法遵重點提供指導方針,並進行實例說明解析,以幫助受請求之機構在面臨資料主體之近用權請求時能快速且有效的處理。 英國「個人資料保護法」(The Data Protection Act 2018)依據歐盟「一般資料保護規則」(GDPR)於2018年重新修訂,其中資料近用權更是對於資料主體相當重要的基本權利,進而影響受請求之機構必須了解如何有效率的處理資料近用權之請求,並確實履行其在法規上所要求的保護義務,主要分為三點: 在資料主體確認其資料近用權所欲請求的範圍之前,受請求之機構依法應回覆時限應予以暫停,以利受請求之機構能有更充裕完整的時間釐清及回應資料主體之近用權請求。 為了避免受請求之機構耗費大量時間判斷何謂「明顯過度之請求」(manifestly excessive request),該指引提供相關定義說明及判別標準。 針對「明顯過度之請求」收取處理費用所包含的項目,例如受請求之機構處理請求所增加人力行政成本,在受請求之機構收取處理費用時可將其納入斟酌。