2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。 其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。 草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。
虛擬的永恆與往生者個人資料運用逝者已矣,已不再是定律。2020年2月,韓國文化廣播公司(MBC)播放了一部紀錄片,紀錄了電視台製作團隊實現一位母親以虛擬現實VR(virtual reality)與已逝女兒重逢的過程,製作團隊透過動態捕捉技術,錄下一位兒童演員的動作,用以塑造往生者的行為動態,並重現還原往生者的聲音,製作出往生者的的三維虛擬影像。葡萄牙Henrique Jorge公司建立一個名為ETER9的社交網路,將每位用戶與AI進行配對,AI會學習複製該用戶於社交網路之行為,並可代其發表回覆與評論,即使其用戶已往生,AI仍持續運行。現今許多科技新創公司正著手研究「數位來生」,使往生者於數位中重生。 牛津網際網路研究所(Oxford Internet Institute)的一項最新研究顯示,估計約50年後,Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫,曾經創建過個人資料的用戶都不復存在,但他們的數位資訊卻永存於網際網路中,但在多數國家,往生者的資料並不是個人資料保護法令所含括的保護客體,往生者個人資料之運用勢必成為道德與法律上的重要課題。 英國阿斯頓大學的Harbinja教授表示,或可由遺囑中有無處置往生者個人資料之指示作為參考,但其亦表示在某些國家存在無法保證遺囑可得完全兌現的問題,例如,在英國遺囑中決定了個人資料的處理方式,仍可能僅被視為是個人意願,類似遺囑中選擇火葬的決定仍可能被執行者和繼承人推翻,且無法強制執行。 我國個人資料保護法施行細則第2條規定:「本法所稱個人,指現生存之自然人。」,所保護的個人資料對象是指「現生存有生命」的自然人,並不包括「往生者」,而歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利,例如匈牙利規定本人可指定特定人或由直系親屬行使本人往生後之權利、西班牙則規定繼承人有權行使GDPR第15條資料查詢權、第16條更正權和第17條刪除權,而義大利則規定親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權力。ETER9便可讓用戶設置死後停止AI代替回覆的功能,也可以指定授權往生後的帳號負責人。在數位來生的議題中,我國應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式,進而探討我國對往生者個人資料運用之相關議題。
何謂拜杜法案「Bayh-Dole Act」?美國國會於1980年通過了拜杜法案(Bayh-Dole Act),正式名稱為1980年大學與小型企業專利程序法(University and Small Business Patent Procedures Act of 1980, 35 U.S.C. 200 et seq.)。經濟學人(The Economis)曾對美國拜杜法評價為「可能是過去半世紀在美國所成立之最具創見之法律」,其目的是讓大學、中小企業等與聯邦機構締約,執行聯邦政府資助的研發計畫後仍能保有其研究成果之專利,亦即將此研究成果的專利申請權歸屬於受資助之大學或中小企業,而非聯邦政府。 拜杜法案(Bayh-Dole Act) 35 U.S.C. § 201(c)對立約人(contractors)定義為,任何簽署資助協議的自然人、小型企業、或非營利機構。而權利歸屬部分,規定於35 U.S.C. § 202,非營利機構、中小企業等與聯邦機構簽訂資助契約之承攬人可以選擇是否擁有受資助發明(elect to retain title to any subject invention)之權利。再者,立約人負責專利管理事務之人員,應於知悉受資助發明的合理期間內,向聯邦機構揭露該發明,若未於合理期間內揭露,則該發明歸屬於聯邦機構。並且,立約人應於揭露發明後2年內,以書面行使其選擇權,逾期則該發明權利歸屬於聯邦機構。另 35 USC § 203有介入權規定,聯邦機構認為有必要時,得要求立約人、其受讓人或其專屬被授權人將發明專屬、部分專屬(partially exclusive)或非專屬授權予申請人,聯邦機構得自行為之。
阿爾卡特朗訊上訴要求微軟支付15億美元的損害賠償對於微軟的Windows Media player侵害MP3科技的兩項專利,阿爾卡特朗訊公司7月7日向美國巡迴上訴法院提起訴訟,要求回復對微軟的專利侵權懲罰。 聖地牙哥陪審團在去年2月裁定微軟應就侵害兩項專利權支付15億美元賠償金。微軟爭執這項裁定沒有任何法律或事實上的依據,對此,美國地方法院法官Brewster同意微軟的主張,認為兩項專利侵權的標的中,微軟並未侵害其中一項,而另一項專利,微軟擁有德國Fraunhofer公司的授權,因此法官判定陪審團的裁定並無充足的證據支持,微軟無須支付15億美元的損害賠償。 阿爾卡特朗訊公司宣稱MP3的專利在1989年由AT&T的研發部門貝爾實驗室與Fraunhofer公司共同研發,但朗訊科技在1996年脫離AT&T成為一家獨立的公司,並保留貝爾實驗室的多項專利資產。2006年阿爾卡特與朗訊合併為阿爾卡特朗訊公司,所以該項專利係屬阿爾卡特朗訊公司所有。 微軟發言人表示,Brewster法官的判決是正確的。其中一項專利是微軟向Fraunhofer支付一千六百萬美元授權金而獲得的授權。 阿爾卡特朗訊和微軟對於這場專利爭訟都十分堅持自己的立場,目前尚未有任何跡象顯示未來雙方有和解的可能,看來這場專利戰爭還會持續很久。