掀起網路自由與版權衝突的另一場戰爭-Megaupload事件概述
科技法律研究所
法律研究員 劉得正
101年06月25日
Megaupload 是著名的線上網路硬碟服務商,提供用戶上傳檔案、藉此分享資料予他人之網路空間。自2005年3月間上線後,迅速累積用戶至1億8千萬,並一度排名全球網站瀏覽量第11名。然而在2012年1月19日卻遭到美國政府強制關閉,相關負責人(包括創辦人KIM DOTCOM)遭到美國司法部起訴,並透過國際合作逕予逮捕。此舉為網路環境投下前所未有之震撼彈。本文以下便針對此一個案提出簡要說明,釐清美國採取行動之依據及考量。
壹、Megaupload起訴依據
根據本案起訴書[1],司法部本次起訴KIM DOTCOM等,主要是認為其觸犯以下規定:
一、「共謀實施著作權侵權」[2]、「著作權侵權刑事處罰規定」[3]-
美國司法部認為Megaupload直接藉由複製、散佈盜版物來賺取利潤,構成對著作權之侵權。因其發現,Megaupload獲利來源主要來自網站上商業廣告之瀏覽量。為了提高廣告瀏覽量,Megaupload規定用戶所上傳文件之存續時間,取決於該文件的下載次數,並鼓勵上傳可長期受到使用者青睞下載的文件。換言之,Megaupload獲利與盜版物之散佈具有直接關連。
其次,司法部發現,Megaupload網站上已使用一種「移除程序」來辨認兒童色情內容,但卻未將此技術應用在移除侵權的內容上,或以其他方式使「移除程式」無法搜尋特定盜版物,顯見Megaupload係故意以散佈盜版物來賺取商業利益,並因此無法適用數位千禧年著作權法案中,對於網路服務提供者之「安全港」條款。
二、「共謀詐欺」[4]與「網路詐欺、教唆及幫助網路詐欺」[5]-
此外,司法部認為,Megaupload網站運作方式,除了構成著作權侵權外,其以組織運作方式進行犯罪,以及透過網路進行犯罪,此等行為已符合「共謀詐欺」及「網路詐欺」 ( Fraud by Wire ) 。同時,Megaupload使用激勵程序來鼓勵用戶上傳「流行」的文件,亦構成教唆及幫助網路詐欺。
三、洗錢防制規定[6]-
最後,美國司法部認為KIM DOTCOM等Megaupload之負責人,有針對上述不法所得再進行金融交易之行為,因此亦違反洗錢防制規定。
貳、Megaupload案目前發展情況
如前所述,美國司法部係透過國際合作,逮捕相關負責人。以創辦人KIM DOTCOM而言,目前仍在紐西蘭政府監管之下,不過近期內,將依美國司法部之請求,召開引渡聽證會,討論是否引渡KIM DOTCOM至美國受審。至於在犯罪調查方面,紐西蘭法院已下令允許美國FBI可從Kim Dotcom電腦中拷貝超過150TB的資料,以作為美國司法部指控Megaupload之訴訟證據[7],相信對於是否得以引渡Kim Dotcom,將帶來一定影響。
參、代結論
Megaupload案之所以造成如此大的風波,主要可從對用戶之影響與對整體網路環境之影響看起。在用戶方面,首要原因在於Megaupload擁有廣大用戶,美國查封Megaupload之結果,造成眾多付費用戶之權益受損,此部分將如何求償,將會是相當大的難題。其次,如前所述,本次紐西蘭法院已容許美國FBI拷貝Megaupload。其中將涉及用戶資料之探知,對此是否有適當的保護措施保障用戶隱私,將是考驗美國政府之另一難題。
至於對整體網路環境面而言,此一事件是首次針對網路平台業者 ( 網路硬碟服務商 ) ,所進行之大規模跨國查緝行動。眾多網民多形容此舉象徵著作權凌駕網路言論自由的時代已經來臨,未來網路服務業者間勢必將出現所謂的寒蟬效益。然而,有待觀察的是,本次美國司法部起訴之主要依據在於,主張Megaupload係故意利用複製、散佈盜版物,以獲取商業利益,對此美國法院是否能接受此一見解,事實上仍是未定之天。因美國司法部需說服法院,Megaupload並無善盡網路服務業者保護著作權之義務。更重要的是,僅是提供平台之Megaupload,能否被解釋侵權行為人,並非毫無疑慮。
[1]USA v Kim DotCom et al, U.S. District Court, Eastern District of Virginia, no. 1:12CR3
[2]18 U.S.C. § 371 - Conspiracy to Commit Copyright Infringement.
[3]18 U.S.C. §§ 2,2319;17 U.S.C. § 506 - Criminal Copyright Infringement By Electronic Means & Aiding and Abetting of Criminal Copyright Infringement.
[4]18 U.S.C. § 1962(d) - Conspiracy to Commit Racketeering.
[5]18 U.S.C. §§2, 1343 - Fraud By Wire & Aiding and Abetting of Fraud by Wire.
[6]18 U.S.C. § 1956(h) - Conspiracy to Commit Money Laundering.
[7]“FBI told to copy seized Dotcom data”http://www.nzherald.co.nz/technology/news/article.cfm?c_id=5&objectid=10813260 (last visited 2012/06/25)
中國大陸知識產權海關保護措施與因應對策 資策會科技法律研究所 法律研究員 林宜臻 104年12月30日 中國大陸是仿冒品的產銷大國,仿冒品除了於中國大陸盛行之外,更有可能於中國大陸製造後出口至海外銷售。若仿冒品不慎從中國大陸市場擴散至海外市場,將增加企業監控打擊仿冒品的成本。中國大陸為因應仿冒品的進出口,設置了知識產權(台灣稱為智慧財產權,以下同)海關保護規範和配套措施。企業可透過海關保護的行政力量,達到監控、扣留(台灣稱為查扣,以下同)仿冒品進出口的效果。甚至當仿冒品案件的損害達到一定金額時,海關會主動將案件移送刑事公安部門,權利人可利用公安部門介入調查仿冒案件的契機,找出整個仿冒製假鏈,進而從製假源頭開始打擊仿冒品。建議企業可妥善利用知識產權海關保護措施,以達成降低仿冒品擴散海外的風險。 壹、事件摘要 企業啟動知識產權海關保護措施有兩種方式,其一為事先將欲受保護之知識產權於「知識產權海關保護系統」中備案,其二為由企業自行監控仿冒品進出口情形,針對個案提出扣留申請。 第一種方式,權利人將知識產權在海關備案系統中登錄後,海關在日常監控進出口貨物時會依照權利人的備案內容檢查進出口貨物。當海關發現有疑似侵權的產品欲通關時,會主動將貨物扣留並通報權利人,權利人可立即知悉有仿冒品欲進出口並派員處理。若確認貨物的確有侵權疑慮,再向海關申請扣留該批貨物。扣留後海關即會調查貨物是否構成侵權,若發現案件侵害情節重大,即會將案件移送公安部門進行刑事立案。 第二種方式,若企業未事先於知識產權海關保護系統中備案,則可於發現仿冒貨品進出口的資訊後,個案向海關提出扣留申請[1]。權利人申請海關扣留,應繳納與貨物等值的擔保金[2],提出申請書、證明文件[3]及足以證明侵權事實明顯存在的證據,證明貨物即將進出口且未經許可使用了其知識產權,始可向海關申請扣留貨物。海關依權利人的申請而扣留貨物後,不會調查該批貨品究竟侵權與否,而是留待權利人自行調查並該批仿冒品的相關業者起訴。若權利人在一定期限內沒有在法院起訴,則海關將放行貨物。 對企業而言,自行花時間成本監控是否有仿冒貨物進出口是較為困難且成效有限的。中國大陸各地關口甚多,可能因無法確切掌握仿冒品進出口的口岸和貨物進出口資訊而錯失申請查處的良機。根據中國海關總署的統計,查獲仿冒品的方式中,經權利人登錄備案而海關依職權扣留仿冒品的比例為99%,大幅超過依申請扣留的1%[4]。由此可知,有備案而海關主動依職權查緝扣留仿冒品的成效,遠超過企業自行查緝仿冒品進出口後申請扣留的成效。而若為海關依職權扣留,更有可能由海關移送公安部門而啟動刑事調查,降低企業自行蒐證調查的困難。 建議企業可積極執行知識產權海關備案,讓海關主動依職權查扣仿冒品,為企業減少日常監控所花費的人力資源等成本,並有效提升查扣成效。另外,即使於系統中完成備案,亦應於企業內部建立備案的相關因應機制,避免因未及達成海關扣留程序上的要求,而讓海關放行仿冒品,無法達成海關備案的目的。本文以下介紹企業執行備案採取知識產權海關保護措施時,企業內部應注意的事項及應建立的因應流程。 貳、重點說明 一、備案啟動海關知識產保護 在中國大陸註冊取得的商標權、專利權或符合著作權法中的著作權皆可登錄備案,有權登錄備案者為知識產權權利人。目前海關總署不接受知識產權的被許可人(台灣稱為被授權人,以下同)提出的備案申請,但是被許可人可以作為代理人代表權利人申請備案。中國大陸地區以外的權利人,則必須委託境內的自然人、法人或者其他組織(例如境外權利人在境內設立的辦事機構)向海關總署申請備案。備案系統為線上申請,於系統註冊成功後根據欄位填入對應資料[5]並隨附權利證明[6],填寫並上傳完成相關證明文件後,系統即會提交至海關總署審核。海關總署將在收到申請後的30個工作日內作出准駁決定。備案申請費用一案為人民幣800元[7],備案有效期為十年,於知識產權權利有效期限內可續展備案,每次續展十年。知識產權失效者或無續展者,海關備案失效。 因海關查緝仿冒品係依據備案內容審核進出口貨物,故備案時提供的資料與仿冒品查緝成效有相當程度的關聯,例如若備案時未詳細填寫合法授權人名單,將可能會導致合法經銷授權人進出口貨物遭海關扣留,延誤通關時間,或可能遭仿冒業者假冒為經銷授權人的名義進出口貨物,使海關誤認而放行。是故企業於備案系統中填寫資料時應力求詳盡完備,備案完成後若相關資料有所變更(例如經銷/代理商等授權名單變動),應及時於備案系統中更新。 二、扣留流程中的注意事項 海關在監控進出口貨物時,若發現貨物有侵犯備案知識產權疑慮者,將書面通知備案權利人。權利人自通知送達日起3個工作日內需提出確認扣留申請並繳納擔保金,始可扣留該批貨物。申請扣留需出具扣留申請書、侵權鑑定書,並繳納擔保金。易言之,自收到海關扣留通知起只有3個工作天的時間可準備申請書、鑑定書和籌措擔保金,假設企業內部事先未建立相關處理流程,很容易因時間延誤而無法提出扣留申請,平白喪失扣留仿冒品的機會。建議企業在收到海關通知後,盡快派員前往海關現場處理侵權鑑定事宜,並應事先作成鑑定侵權貨物時的侵權檢視要點,避免人員特地到現場鑑定卻無功而返,反而浪費寶貴的時間。有備案的情形下,扣留所需的擔保金上限為十萬元[8],建議企業可事先編列經費支付申請海關扣留擔保金的來源,避免無法在期限內籌措擔保金而錯過扣留機會。權利人逾期未提出申請或未提供擔保者,海關不得扣留貨物[9]。 海關扣留貨物後,自扣留之日起30個工作日內完成貨物侵權調查認定,不能認定是否侵權者亦會書面通知權利人[10]。海關調查時,若認定仿冒案件侵害情節重大[11],會將案件移送公安部門刑事立案,立案成功後公安即介入以刑事案件調查仿冒貨物。若仿冒貨物可藉由海關刑事移送而轉以刑事案件調查,將可藉由公安部門的刑事力量降低企業自行蒐證上的困難。故在海關調查的階段,建議企業可積極提供侵權事證給海關,並確認海關核算的侵害金額是否合理,以確保可達刑事移送的標準。海關扣留的同時,權利人應積極向法院起訴,否則若海關調查完畢認定不侵權或無法認定是否侵權,且又未收到法院發出的協助執行通知,即會放行該批貨物[12]。另外,待案件結束後可向海關請求返還擔保金,返還的金額應為繳納的擔保金金額扣除處理仿冒貨物所發生的倉儲或侵權貨物銷毀等費用。但因擔保金返還的時程並未明文規定於知識產權海關保護相關條文中,故建議企業在案件結束後可積極向海關跟催擔保金返還進度,以免因延宕過久而不了了之。 參、小結 企業妥善利用知識產權海關保護措施,可更及時地阻止仿冒品進出口,避免仿冒侵權損失進一步擴大至其他市場。啟動知識產權海關保護措施可分為事先備案,和企業自行監控發現仿冒品欲進出口後向海關個案申請扣留兩種方式。若企業有執行海關備案,不需自行監控仿冒品的進出口,海關即會根據備案資料針對進出口貨物進行侵權與否的比對,發現有疑似侵權的貨品欲通關,即會扣留該批貨品並通知權利人處理,確認扣留後海關更會主動調查貨物的侵權情形。而透過知識產權海關保護措施的執行,企業更有機會藉由海關行政查處或移送刑事部門立案後的調查,取得更多仿冒品的相關資訊和證據,進而有效且徹底的打擊整個仿冒產業鏈,降低仿冒再發的風險。 除了事先於海關備案系統登錄備案外,企業亦應於企業內部建立海關扣留仿冒品的因應流程,以確保知識產權海關保護措施可發揮最大的效益。權利人在海關備案系統登錄欲受保護的知識產權後,海關即會於日常審閱報關單時依據權利人在備案系統中登錄的資料扣留有侵權疑慮的貨品。建議企業應盡可能詳盡填寫備案系統中的欄位並提供相關佐證資料,若備案完成後資料有任何更動也應即時在系統中更新,以提升海關查緝扣留仿冒品的機率。收到海關扣留通知後因提出確認扣留申請的時間很短,建議應事先做成侵權檢視要點清單,提高現場人員的鑑定效率,並預先編列支付擔保金的預算,以免超過支付期限而無法扣留。海關調查期間則應積極提供仿冒貨物的侵權證據給海關,並確保仿冒貨品的侵害金額計算無誤,以促成海關將案件移送刑事公安部門立案。同時建議企業應盡快向法院提起訴訟,避免海關因誤判貨物未侵權而放行。案件結束後應注意積極跟催擔保金返還進度,以免擔保金石沉大海。除此之外,因從收到海關通知到企業提出扣留申請的期限很短,建議企業應提早在企業內部建立海關扣留應對處理流程(包含權責主管及人員、處理時限、經費來源、外部合作顧問單位等),以及時因應侵權案件的處理,使知識產權海關保護措施發揮最大效益,盡可能降低仿冒品擴散到海外市場的風險。 [1]中華人民共和國知識產權海關保護條例第12條:「知識產權權利人發現侵權嫌疑貨物即將進出口的,可以向貨物進出境地海關提出扣留侵權嫌疑貨物的申請。」 [2]中華人民共和國知識產權海關保護條例第14條:「知識產權權利人請求海關扣留侵權嫌疑貨物的,應當向海關提供不超過貨物等值的擔保,用於賠償可能因申請不當給收貨人、發貨人造成的損失,以及支付貨物由海關扣留後的倉儲、保管和處置等費用。」 未備案而依申請扣押的情形中,企業需負擔與貨物等值的擔保金金額,亦即擔保金金額無上限。而若有備案而依職權扣押,則擔保金支付最高上限為十萬元,大幅限縮了企業的負擔,是故此亦為建議企業事先備案的原因之一。 [3]中華人民共和國知識產權海關保護條例第13條:「知識產權權利人請求海關扣留侵權嫌疑貨物的,應當提交申請書及相關證明文件,並提供足以證明侵權事實明顯存在的證據。 申請書應當包括下列主要內容: (一)知識產權權利人的名稱或者姓名、註冊地或者國籍等; (二)知識產權的名稱、內容及其相關資訊; (三)侵權嫌疑貨物收貨人和發貨人的名稱; (四)侵權嫌疑貨物名稱、規格等; (五)侵權嫌疑貨物可能進出境的口岸、時間、運輸工具等。」 [4]海關總署政策法規司(2013),《中國海關知識產權保護狀況及備案名錄(2013)》,北京:中國海關出版社 [5]中華人民共和國知識產權海關保護條例實施辦法第6條:「知識產權權利人向海關總署申請知識產權海關保護備案的,應當向海關總署提交申請書。申請書應當包括以下內容: (一) 知識產權權利人的名稱或者姓名、註冊地或者國籍、通信地址、連絡人姓名、電話和傳真號碼、電子郵箱位址等。 (二) 註冊商標的名稱、核定使用商品的類別和商品名稱、商標圖形、註冊有效期、註冊商標的轉讓、變更、續展情況等;作品的名稱、創作完成的時間、作品的類別、作品圖片、作品轉讓、變更情況等;專利權的名稱、類型、申請日期、專利權轉讓、變更情況等。 (三)被許可人的名稱、許可使用商品、許可期限等。 (四)知識產權權利人合法行使知識產權的貨物的名稱、產地、進出境地海關、進出口商、主要特徵、價格等。 (五)已知的侵犯知識產權貨物的製造商、進出口商、進出境地海關、主要特徵、價格等。 知識產權權利人應當就其申請備案的每一項知識產權單獨提交一份申請書。知識產權權利人申請國際註冊商標備案的,應當就其申請的每一類商品單獨提交一份申請書。」 [6] 權利證明文件如商標註冊證、著作權自願登記證明或可證明為著作權人的資料、專利證書等。其他文件如授權他人使用的合約、權利人合法行使知識產權的貨物及包裝照片、已知侵權貨物進出口資訊等。 [7]費用以「權利」計案。例如,五個專利使用在一個商品上,需提出五件備案申請;一個專利用在五種商品上,只需提出一件備案申請。 [8]中華人民共和國知識產權海關保護條例實施辦法第23條:「有事先備案之知識產權權利人請求海關扣留侵權嫌疑貨物的,應當按照以下規定向海關提供擔保: (一)貨物價值不足人民幣2萬元的,提供相當於貨物價值的擔保; (二)貨物價值為人民幣2萬至20萬元的,提供相當於貨物價值50%的擔保,但擔保金額不得少於人民幣2萬元; (三)貨物價值超過人民幣20萬元的,提供人民幣10萬元的擔保。」 [9]中華人民共和國知識產權海關保護條例第16條 [10]中華人民共和國知識產權海關保護條例第20條 [11] 例如侵害金額達十五萬元以上、著作權盜版光碟達五百片以上者。 [12]中華人民共和國知識產權海關保護條例第24條:「有下列情形之一的,海關應當放行被扣留的侵權嫌疑貨物: (一)海關依照本條例第十五條的規定扣留侵權嫌疑貨物,自扣留之日起20個工作日內未收到人民法院協助執行通知的; (二)海關依照本條例第十六條的規定扣留侵權嫌疑貨物,自扣留之日起50個工作日內未收到人民法院協助執行通知,並且經調查不能認定被扣留的侵權嫌疑貨物侵犯知識產權的; (三)涉嫌侵犯專利權貨物的收貨人或者發貨人在向海關提供與貨物等值的擔保金後,請求海關放行其貨物的; (四)海關認為收貨人或者發貨人有充分的證據證明其貨物未侵犯知識產權權利人的知識產權的; (五)在海關認定被扣留的侵權嫌疑貨物為侵權貨物之前,知識產權權利人撤回扣留侵權嫌疑貨物的申請的。」
英HFEA同意該國婦女利用PGD技術「訂製嬰兒」現今生殖醫學進步相當快速,透過諸如胚胎殖入前之基因診斷( PGD )、組織配對( tissue match )等新興生物技術,人們將有能力選擇未來孩子的外表、智力、健康甚至性別等,故就現今的科技發展而言,篩選具有某種特徵之嬰兒的技術能力早已具備,反而是相關的倫理、道德及社會共識等等卻是最難的部分,這也是有關「訂製嬰兒」( design babies )之爭議焦點。 近幾年,訂製嬰兒的討論在英國非常熱烈,在英國,人工生殖之進行應依人工生殖與胚胎學法規定,獲得 「人類生殖與胚胎管理局」 ( Human Fertilization and Embryology Authority, HFEA )之許可,至於進行人工生殖之同時,父母親是否得附加進一步的條件以「訂製嬰兒」,則一直有爭議。英國高等法院在 2002 年 12 月 20 日的一項判決中曾認為,國會制訂人工生殖與胚胎學法之目的,乃是在協助不孕婦女能夠生兒育女,至於組織配對的行為,則不在該法授權目的之內,因此 HFEA 無權就此等行為給予准駁。惟 2003 年 4 月 8 日 ,上訴法院推翻了高等法院的判決結果,但也進一步指出,這並不代表未來所有在進行 PGD 的同時加做組織配對之行為都是被允許的,想要施行這項技術之任何人,仍然需於事前取得 HFEA 的許可,新近 HFEA 已放寬管制規範,准許對更多種遺傳性疾病進行篩檢。 英國泰晤士報最近報導,一名英國女子已獲得英國 HFEA 同意 ,讓醫師將其透過體外受精方式培養出來的胚胎,利用基因篩檢技術,選擇出健康之胚胎植入其子宮內,以避免將她所罹患的遺傳性眼癌「視網膜母細胞瘤」基因傳給下一代。 本案婦女雖經 HFEA 同意「訂製嬰兒」,但仍會使「胚胎殖入前之基因診斷」( PGD )程序的爭議加劇,反對人士堅稱,基因篩檢的過程中勢必摧毀部分胚胎,且 為了某些目的而製造胚胎,將使人類被商品化,被訂製之嬰兒在長大成人後,若得知其出生之目的乃是在於治療其它親人,其心裡會對自己產生懷疑,並影響對自己人格的認同與其心理狀態。隨著生物技術發展飛快,許多可能背離社會良俗的行為恐將不斷出現,而法規能否隨之跟上則是生技產業能否興盛與倫理道德可否兼顧之重要關鍵。
Golan v. Holder: 美國高等法院確認公共領域之外國著作可取得著作權保護美國高等法院於2012年1月18日對Golan v. Holder案做出裁定,確認維持將目前在公共領域的外國著作納入著作權保護的聯邦法。Golan v. Holder案之主要爭點為,美國國會於1994年為符合伯恩公約及WTO「與貿易有關智慧財產權協定(TRIPS)」的規定,決議通過讓之前無法在美國取得著作權保護的外國著作可以回溯取得美國著作權,一夕之間近上百萬件於1923年至1989年之間在國外發表的著作在美國不再屬於公共領域,包括了許多經典的電影,名畫及交響樂等,這個法案引起了許多樂團指揮家、表演者、老師、電影檔案保管者及電影發行商等人士的不滿,因為他們將無法像之前一樣無限制的使用這些著作。 美國聯邦地區法院於2009年曾判定認為恢復屬於公共領域的外國著作的著作權違反了保障言論自由的美國憲法增修條文第一條,但高等法院以6:2的多數意見認為,恢復公共領域的外國著作的著作權保護並不違反憲法修文第一條及憲法下的著作權條款。身為著作權擁有者,這個裁定對電影與音樂業者可以說是場勝戰,但對Google建立電子圖書館的計畫則將是個挑戰,Google表示這將使他們無法把近一千五百萬冊書籍的內容公開在網路上提供,並且也會影響到他們已完成電子化的上百萬冊書籍的使用。
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。 英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。