歐洲自律聯盟成立以塑造對兒童更好的網路環境
如何確保兒童上網安全,為歐盟數位議程(Digital Agenda)的七大目標之一。而近年來網路內容蓬勃與快速發展,更大幅加速了兒童上網的趨勢。據歐盟執委會於2011年12月的公開資料顯示(IP/11/1485),歐洲兒童平均7歲即開始接觸網路。目前有超過38%的9-12歲兒童在社交網站上有個人資訊,有30%以上的兒童是藉由行動裝置上網。如此高的上網比率,讓各業者有共識以提供兒童更好的上網環境。由蘋果、微軟、Google等跨國企業為首的二十餘家業者組成了自律組織,以提供歐盟地區的兒童更好網路內容環境而努力。
該自律聯盟於2011年12月正式成立,並以五個面向採取相關行動:簡單且強大的工具-能夠搜尋於任何裝置上可能對孩童有害的內容;分齡隱私設定-使用者可限定公布資訊予特定族群;更廣泛的內容分級:提供家長易於理解的年齡內容分級;更廣泛的家長控制工具-積極推動使用者有善的工具;兒童色情內容有效移除-與執法單位與保護熱線等積極合作,將兒童色情內容快速下架。
各業者承諾就其營業項目、產品、服務內容等皆須符合此自律規範,並成立工作小組以協助歐盟執委會處理相關議題。
社群媒體是溝通資訊之重要工具。但部分社群媒體向用戶投放易使人成癮的資訊,對兒童和青少年福祉形成重大風險。據此緣由,美國加州立法機關於2024年1月29日提出社群媒體青少年成癮法草案(Social Media Youth Addiction Law),規定社群媒體除非能合理確定用戶非未成年人,或取得未成年用戶家長同意,否則不得向用戶提供易使人成癮的資訊。 該草案將網路或應用程式中,依用戶特徵或習慣,優先顯示的多片段資訊,定義為易使人成癮的資訊(addictive feed)。除非該資訊符合以下例外條件: (1) 用戶用以搜尋資訊的關鍵字不會被使用的設備記憶,且該資訊與用戶過去的社群媒體使用行為無關。 (2) 是因用戶隱私設定、設備規格、未成年人限制而呈現的資訊。 (3) 是因用戶明確要求而提供,且不易使人成癮的資訊。 (4) 是用戶間直接且非公開之通訊組成的資訊。 (5) 是同一資訊來源,且在音檔或影片形式下,不會自動連續播放的資訊。 該草案亦規定投放易使人成癮資訊的社群媒體,不得在深夜至凌晨時段、上學至放學時段,以及開學期間的週一到週五,向未成年用戶發送通知,除非已取得未成年用戶家長同意。 最後,該草案規定投放易使人成癮資訊的社群媒體每年向公眾揭露未成年用戶總數量、家長同意接收易成癮資訊的未成年用戶數量等資訊。該規定有利大眾監督社群媒體對法規之遵循情況,並促進社會對兒童、青少年身心健康的關心。
美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書美國《健康保險可攜性及責任法》(HIPAA)係「保護個人電子醫療資訊隱私」的法規。其「受規範對象」(Covered Entity)為:使用電子方式傳送任何醫療資訊的醫療計畫、健康資訊處理機構(Health Care Clearinghouses)或醫療照護提供者。2018年12月14日,美國衛生及公共服務部(下稱:官方)發表〈公眾意見徵詢書:修改HIPAA規則以促進整合醫療照護〉(Request for Information on Modifying HIPAA Rules to Improve Coordinated Care),擬修正方向如下: (一)促進醫療行為、整合醫療照護、專案管理的資料分享 HIPAA原先僅允許受規範機關在醫療行為、支付、營運中揭露受保護健康資訊(PHI)。然而,這並不包含醫療照護或專案管理。官方傾向修法讓醫療照護或專案管理成為允許揭露PHI的情形。同時,也希望修法讓PHI的取得更具時效性,以利於病歷在受規範對象間的流通。 (二)推動親友參與解決當事人鴉片類藥物成癮和精神疾病問題 HIPAA允許受規範對象在特定條件下,向照護者(Caregiver)揭露PHI,包含緊急狀況,也包含嚴重的精神疾病。然而,許多受規範對象因為擔心違反HIPAA,而不願通知當事人的親友。這種狀況相當不利於整合醫療照護和專案管理的發展。目前官方尚未研擬出具體改善方法,希望外界可以提出方案。 (三)會計資料的揭露以存取報告代替 在當事人申請下,受規範對象或其商業夥伴應提供近六年內與PHI相關的會計資料。然而,許多受規範對象的系統無法分離出應提供給當事人的部分,只好提供整份會計資料,因而造成龐大負擔。官方擬修法,只提供當事人「存取報告」(Access Report),該報告會載明誰曾經存取電子紀錄。 (四)隱私權行為通知(Notice of Privacy Practices) 受規範對象在許多狀況下,需取得當事人隱私權行為通知的書面同意書,這次的修法希望可以減少書面同意,以利於受規範對象發展整合醫療照護。
日本推動智慧醫療照護與巨量資料應用之趨勢觀察 澳洲個人資料洩漏計畫將於二月施行澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。 根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。 NBD計畫主要內容如下: 一 、規範對象: 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。 若數機構共享個人資料,則該告知義務由各機構自行分配責任。 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。 二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。 三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。 四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。 五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動,避免再度造成損害。 惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。