歐盟孤兒著作指令(Directive 2012/28/EU)立法評析

　　美國資安事件頻傳，美國 8/30 驚傳電信及電報公司（ AT ＆ T ）購物網站中之顧客消費資料遭駭客竊取事件。 AT ＆ T 發言人表示工程師在發現異狀後一個小時內關閉該網站並已採取相關保護措施，據 AT ＆ T 估計約 1 萬 9 千名在該網頁上以信用卡消費的顧客機密資料已外流，目前該公司正進行通知客戶之動作，並聯繫相關信用卡公司，期能將對顧客之損害降至最低。 　　AT ＆ T 通知當事人之作法，符合美國立法之趨勢。目前美國除了部分州已經通過立法要求資料持有業者必須將資料外洩事件告知當事人外，今年 7 月 19 日 Virginia 州議員 Thomas Davis 亦提出美國聯邦法典第 44 編（ title 44 ）修正提案，該提案通過後將強化美國聯邦法典中對於個人資料外洩時資料收集者之告知義務，以避免當事人因此蒙受損失。 　　雖然法規要求漸趨嚴格、完整，但長期關注隱私權問題之 Privacy Rights Clearinghouse 估計，美國自去年 2 月起至今年 8 月底止，約有 9100 萬人次之機密資料遭到竊取，換言之，約 1/3 的美國人機密資料曾遭竊取或外洩，網際網路與駭客技術的發展使得機密資料今日已不再機密了。

　　歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則（一般資料保護規則）」（Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR），該草案內容包括行政罰鍰三審制（three-tiered system）。凡故意或過失違反歐洲資料保護基本權之企業，情節重大者，可能招致鉅額行政罰鍰，草案之裁罰性措施將讓從業者更加重視資料保護法益。 　　是否對違反GDPR之侵權行為裁處罰鍰，會員國政府有裁量權限；已受刑事制裁者，政府亦得免除罰鍰以避免重複處罰。資料保護主管機關（data protection authorities, DPAs）依三審制判斷，確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括：第一審，是否對資料當事人之資料要求延遲、變更回應；第二審，是否對資料當事人、DPAs盡資訊透明義務；第三審，各種具體侵權行為，包括對於資料取得缺乏法律依據、未能即時告知資料違反情事，或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 　　依草案，DPAs審酌罰鍰額度時，應依下列計算罰鍰： 　　(1) 企業故意或過失未能於一定期間內，回應資料當事人之資料查閱請求者，裁處上一會計年度全球總年營業額0.5%罰鍰。 　　(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊；或未能對消費者充分揭露個人資料蒐集、處理的目的者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(3) 企業故意或過失未能維護消費者權益，更正或刪除消費者資料，違反GDPR所保障之消費者「被遺忘權」者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(4) 企業故意或過失處理個人資料，行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域，該區域沒有適當安全資料保護者，就企業上一會計年度全球總年營業額裁處2%罰鍰。 　　六月中旬，歐盟各部長將就歐洲議會、歐盟理事會的提案，就罰鍰額度進行最後協商，未來將持續關注草案協商後續發展。

　　歐盟資料隱私保護監督官（European Data Protection Supervisor, EDPS）Peter Hustinx呼籲歐盟，儘速建立專家小組，制定指導原則，將資料保護以及隱私原則納入網路中立原則中（Network Neutrality）。 　　網路中立原則原係要求對於網路服務提供者之間不應有所歧視，應平等對待所有資料。但是，在符合歐盟法規下，ISP業者亦得針對網路內容提供者或終端使用者，以不同收費方式管制網路流量。判斷的準據，則以使用者在網路上傳遞的個人訊息為主。調查官Hustinx在其意見書中指出，調查使用者傳遞的訊息可能會背離歐盟資料與隱私保護相關法律。 　　根據歐盟的隱私及電子通訊指令（Privacy and Electronic Communication Directive），ISP業者在某些條件下，得以促進通訊傳輸為目的，處理個人資料，但是必須取得使用人同意。這項指令亦要求ISP業者必須採取適當的技術、組織措施以確保資料的安全。承此，Hustinx就網路中立性所提出的意見，即為前述指令之例外，亦即ISP業者在確保網路順暢及監督是否有干擾時，其監控行為無須使用者同意。但若為限制某些服務，例如檔案交換，而進行的監控行為，則不在此限。再者，該同意必須免費的、明確的並且使用者得了解的。Hustinx提出的指導原則強調確保網路使用者被適當的告知，進而了解該項個人資料監控的意義而做出同意與否的決定。同時，ISP業者在進行調查時，亦應謹慎為之，不違反比例性原則。

　　歐盟國家期望未來能夠發現對抗流行性致命疾病的新方法，降低醫療成本，並提高行政體系的效率，成為開創奈米醫學的先驅。 　　位於法國南部格勒諾布爾（ Grenoble ）的電子科技與資訊實驗室（ the Electronics Technology Information Laboratory ） Patrick Boisseau 說明，奈米分子可以穿透人類身體內的各器官與細胞，克服傳統醫學不能檢測、治療與給藥的地方 ， 因而開啟新興醫療技術的無限可能 ， 未來病人可以接受因其特殊需要而作的治療，降低醫生治療的風險。 　　歐盟贊助的眼角膜工程研究計劃（ Cornea Engineering Project ）是重新排列組合人類蛋白質，創造與人類眼角膜相似的物質，這比人造眼角膜的治療更有效，且較不會受到排斥。此項計劃每年已幫助歐盟 28,000 人。在編列總預算 437 萬歐元（ 541 萬美元）中，針對該項計劃，歐盟已經花費 256 萬歐元（ 317 萬美元）。而每年編列 6 億美元（ 4 億 8 仟 4 佰萬歐元）用於奈米科技方面。同樣的，人工關節之再造也幫助歐盟各國 4,000 人。 　　奈米科學過去僅著重於電子科學領域的應用，而未來將朝向整合物理學、化學、機械學、生物學與電子學各領域之路邁進。