歐盟執委會授權各國決定GMO的提案遭抨擊  10月環境部長會議將繼續協商

印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）於2023年3月展開了一次公開諮詢和協商，介紹了印度政府以創建印度數位技術生態系統為目的而建構的法律新框架，該框架以《數位印度法案》（Digital India Act）為核心，用來取代已有22年歷史的《資訊科技法》（Information Technology Act）。MeitY強調，現行資訊科技法的創立時代背景中不僅缺乏電子商務、社交媒體平台等現代網路服務，甚至印度還未進入數位化時代，因此有必要進行通盤的法規調整，以符合當代和未來的社會變遷和對法規範的需求。 目前《數位印度法案》的草案細節尚未公布，但是MeitY的介紹揭露印度在未來政策中所重視的幾個方向： 1.新的中介類別：重新定義數位經濟產業中的中介機構類別（如數位媒體、搜尋引擎、遊戲、人工智慧、OTT平台、電信服務業者……等），並依據未來的技術發展及產業轉型，適時的調整新的分類。 2.網路犯罪刑事化：將網路犯罪（如網路色情、詐騙、霸凌、身分冒用或未經授權散播個人資料）歸類為刑事犯罪；過去的資訊科技法僅對此類行為予以罰款。 3.問責機制：建立一個線上的民刑事檢舉、審判機構，並且提供方便使用者採取權利救濟措施的線上管道；另外印度政府也將涉及演算法透明度（algorithmic transparency）、人工智慧的定期風險評估（periodic risk assessments）等評估機制納入監管項目的考量中。以建立網路用戶的權利救濟措施及數位服務者提供服務過程中的責任釐清。 4.防壟斷機制：提出開放網路（Open Internet）的概念，認為網路服務應該是具有選擇性的、容許競爭的、多樣性的，在確保網路服務的多樣性和非歧視性及非壟斷性的前提下運作；印度政府希望能夠監理佔有主導地位的廣告平台和應用程式平台，防止市場力量過度集中造成壟斷。 5.年齡門檻：對於未成年人在社交平台、遊戲和賭博程式中的資訊蒐集、資訊安全和隱私保護加以規範，並且避免以鎖定未成年人為對象的資料蒐集機制。 除了以上五點外，MeitY在介紹《數位印度法案》時也表示為了應對現今數位化時代的發展，並且確保公民的權利保障延伸到數位世界中，將承認被遺忘權（right to be forgotten）、不受歧視權（right against discrimination）和數位繼承權（right to digital inheritance）等數位時代中發展出來的權利。另外，將「推動公私部門及個人於使用數位資訊時的相關規範」以及「保護個人資料的資料保護法案」等議題做為評量指標，以做為規劃印度國家數位治理時的重要考量。這些方針都揭示了印度正在試圖踏上更有規模、更安全且可信賴的數位生態系統建置之路，《數位印度法案》的相關發展細節值得再持續關注。

歐盟資料保護監督機關（European Data Protection Supervisor, EDPS）於2024年12月13日，就歐洲數位權利中心（Noyb - The European Center for Digital Rights，下稱noyb）之申訴做成決定，認定歐盟執委會（European Commission, EC）於社群媒體上依據使用者的政治傾向投放精準廣告，違反歐盟機構資料保護規則（Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR），對EC作成訓誡處分。 本案背景事實：EC在2023年9月15日至28日間，於社群網站X上投放了精準廣告，旨在向公眾傳達EC當時正在推動的兒少性剝削防治法（Child Sexual Abuse Regulation, CSAR）草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放，該投放方針定義了某些包含和排除關鍵字，和排除了與政治利益相關的帳戶。該政策顯示，包含的關鍵字多與「親歐盟」的立場與情緒相關，包含特定政黨如荷蘭自由民主人民黨（Dutch VVD）；而排除的關鍵字則多與「疑歐論」的立場與情緒相關，如Viktor Orban。X並透過關鍵字定位和相似（look-alike）策略，根據關鍵字和與代表資料（proxy data）相比較下顯示出的相似性，篩選成年荷蘭公民進行精準廣告投放。 Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資（政治立場），在同條第2項之許可性條件未獲滿足之情況下，已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料，也未打算處理特種個資，只是使用X的服務。EC還主張，為了傳達立法草案，並基於EC依歐盟條約（Treaty of EU, TEU）的提案權，其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益，具備合法基礎。 EDPS經過調查後，認定： 1.EC透過委託投放廣告和制定受眾方針，決定了資料處理的目的（purpose determination），在此範圍內，也應被認為是資料控制者。 2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰，亦屬處理了使用者的特種個資。 3.雖然當事人若屬主動公開特種個資，會滿足EUDPR第10條第2項(e)的許可性條件，但依照歐盟法院判決先例，僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料，且即便當事人使用公開帳戶可能滿足許可性條件，該資料之處理仍須具備合法性基礎。 4.TEU中有關提案權之規定本質上非常籠統，難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求，從而，難認具備執行符合公共利益的任務之合法基礎。 5.最後，雖然EDPS認為EC違反EUDPR，但也同時認為，廣告已經結束，並無罰款的必要，因此僅對EC做成訓誡處分。

　　加拿大數位隱私法（Digital Privacy Act）於2015年6月18日獲得皇室御准，該法目的係為修訂規範私部門運用個人資料的聯邦個人資料保護及電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）。該法有多個章節於公告時便即刻施行，但仍有部分章節需待日後其他行政機關公告配套之法規後始能正式施行，例如該法的重點章節之一：「安全防護措施之違反」（Breaches of Security Safeguards）。 　　歷經約莫兩年，加拿大創新、科學及經濟發展部（Innovation, Science and Economic Development Canada）於2017年9月2日公告安全防護措施違反之規則草案（Breaches of Security Safeguards Regulations），以及規則衝擊分析聲明（Regulatory Impact Analysis Statement）。草案自公告時起開放30天供相關利益關係人發表意見，未來將和數位隱私法的「安全防護措施之違反」同時生效施行。 　　草案制定目的在於確保加拿大本國人若遇有資料外洩且具有損害風險時，可收到精確的相關資訊。私部門對本人的通知應包含使本人可理解外洩的衝擊和影響的詳細資訊。草案確保加拿大個人資料保護公署（Office of the Privacy Commissioner of Canada）之專員亦能獲得有關資料外洩的確實且對等資訊，並可監督、確認私部門遵守法規並執行。草案詳載私部門於通報個人資料保護公署時應提交的資訊，以及通知本人時應提供的資訊，且不限制私部門額外提供其他資訊。遇有資料外洩情事而故意不即時通報個人資料保護公署或通知本人者，最高將可處十萬美金罰鍰。

　　加州立法體系在2018年6月28日通過了美國最嚴格的個人資料隱私法規，該法案無異議通過，並已經加州州長Jerry Brown簽署同意，將於2020年1月1日施行，以賦予科技產業修正其內部政策的緩衝期間。 　　該法案之所以如此速戰速決，據媒體解讀是為了避免該法案內容成為加州11月選舉併公民投票之公投提案的一部分。如以公投方式通過這部法規，日後修正時將重新以公民投票進行，有造成修法困難的疑慮；而以立法者立法方式通過這部法規，賦予立法者有對其修訂改正權限，於日後能以一般修法程序進行修法。 　　該法案內容與2018年5月25日實施的歐洲GDPR規範相近似，將造成加州原先隱私權規範些許改變，與倡議最初法案不同的地方在於，揭露接受個資第三人的相關資料時需揭露該第三者之類型（category）而非其身分。 　　隨著本年度加州消費者隱私保護法（The California Consumer Privacy Act）的修法，大型科技公司如Google和Facebook等蒐集有大量消費者個人資料者，都將受到重大影響，依據該法，一般使用者可以向企業確認被蒐集的個資種類以及個資販賣流向，亦可以請求中止個資的蒐集及販賣，提升了一般使用者在以往對於個資使用上的地位。 　　自歐洲GDPR規範實施以來至目前，美國聯邦法尚未有相應強度之規範，本次加州修法可認係GDPR實施以來美國國內第一部因應而修正之法律。