英國資訊專員辦公室強調歐盟資訊保護改革成本充滿不確定性
英國資訊專員辦公室進行獨立調查時發現,
1、40%的企業沒有充分認識提出的主要條文;
2、87%的企業無法估計公司中業務為因應改革可能支出的成本;
3、82%的受訪者是無法量化其當前資訊保護的開支;
4、在少數的大型組織觀測調查中發現,估計資訊保護的平均花費時常會受到扭曲;
5、當公司擁有超過250名員工或處理超過10萬筆個資紀錄時,絕大多數都已經聘請資訊保護專人;
6、重點業別包括服務業、金融保險業以及公共管理等,需要針對資訊管理有所計畫。
而調查報告在2013年5月14日於柏林舉辦的第三次歐洲資訊保護日會議中提出,資訊專員Christopher Graham表示「必須說,有少數人不同意為面臨21世紀的挑戰,而需要修訂歐洲資訊保護法。但真正進步之實現在於,今日或將來的法律面,針對個人資料有更好的體現。關鍵點在於確實地衡平理論面與執行面中資訊保護權利之平衡點。」
「已經談論過很多關於『什麼是最好的商業』,但這必須基於合法證據。此次的改革的結果會是非常重要的,我們希望敦促歐盟委員會可以考慮並將重點放在制定法律,為消費者提供真正的保障。」
「同樣的,企業和其他的利益相關者必須參與具建設性的義務與隱私權權利的重要性改革,在此過程中仍然可以受到影響」
- Implications of the European Commission’s proposal for a general data protection regulation for business, Watch May 20 2013
- ICO blog: EU data protection reforms: how the process works, and what the ICO is doing, Watch May 20 2013
- Report highlights uncertainty on cost of EU data protection reform Watch, May 20 2013
新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 國內於1995年制定施行「電腦處理個人資料保護法」,在資訊科技日新月異下,加諸法規本身適用上的限制,原有法制設計已不符實務需求。考量個資外洩事件日漸增加,歷經長時間討論,國內於2010年4月三讀通過新版個資法,將法律名稱調整為「個人資料保護法」,並在2012年10月1日正式實施新制。新法不僅全面調整法規內容,並大幅加重企業所負義務與責任,就民事責任而言,單一事件 賠償金額最高達到10億。對國內產業而言,如何有效因應個資法要求,採取妥適的對應策略降低風險,已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 個人資料保護可說是近期國內最受重視的議題,事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」,惟經過十餘年的發展,在電腦與資訊科技日新月異下,包括電子商務等新興商務模式,均廣泛蒐集個人資料,個人隱私的妥善保護,日益重要。然而,原有的「電腦處理個人資料保護法」,於適用主體方面,存在著行業別的限制,僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業,以及經由法務部會同中央目的事業主管機關共同指定的行業,方受到規範;此外,該法所保護的客體,亦限於經由「電腦或自動化設備」處理的個人資料,才受到保護,不包括非經電腦處理的個人資料,對於保護個人資料隱私權益規範,明顯不足。 個資外洩事件層出不窮下,2007年行政院消費者保護委員會提出的十大消費新聞中,「電子商務、電視購物個資外洩事件」即高居首位,促使法務部與經濟部透過「共同指定」方式,使無店面零售業(包括網路購物、型錄購物、電視購物等三種交易態樣)自2010年7月1日起適用「電腦處理個人資料保護法」。 為使個人資料保護法制規範內容,得以因應急速變遷的社會環境,行政院甚早即已提出「電腦處理個人資料保護法修正草案」,並將名稱修正為「個人資料保護法」,歷經立法院會多次討論,終於在2010年4月三讀通過,法律名稱調整為「個人資料保護法」,於5月26日由總統府正式公布。新法雖於2010年4月三讀通過,但為使企業及民眾有充分時間了解並因應新法,新版個資法並未於公布日施行,而是於該法第56條規定,由行政院另訂施行日期。經過長時間討論,「個人資料保護法」已由行政院決定在2012年10月1日正式實施,惟新法第6條關於特種資料原則上不得蒐集、處理與利用,以及第54條要求新法實施前已間接取得的個人資料,必須在一年內補行告知等二項規定,保留暫緩實施。 就個人資料保護法制而言,除最為重要的「個人資料保護法」外,依據母法制定的施行細則,也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行,鑒於「電腦處理個人資料保護法」已於2010年進行修正,並將名稱修正為「個人資料保護法」,法務部也配合新法修正內容,積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路,法務部另於2012年9月26日正式公告?正後的施行細則,並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路,促使國內個人資料保護工作,邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 在「個人資料保護法」修正通過前,2008年6月立法院即已提案,建議政府參考國外作法,推動我國隱私權管理保護認證制度,隔年8月「行政院產業科技策略會議」(Strategic Review Board)中,決議推動「電子商務個人資料管理暨資訊安全行動方案」,並於同年12月核定放入99年至102年政府關鍵推動方案。 基於上述行動方案,經濟部自2010年10月起,委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」,並自2012年起續行推動「電子商務個人資料管理制度推動計畫」,建置推動「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),期使企業於遵守個人資料保護法制的前提下,透過建立內部管理機制,適當保障消費者的個人資料,並在嚴謹的驗證要求下,確認導入企業是否符合制度要求,同時搭配「資料隱私保護標章」(Data Privacy Protection Mark, dp.mark)的發放,作為消費者判斷企業隱私維護能力的客觀指標。 針對個人資料管理制度的導入,事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制,該制度規範同時也是國內企業能否取得「資料隱私保護標章」(dp.mark)的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗,「臺灣個人資料保護與管理制度」自2011年起,協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員,合格的個人資料管理師可協助企業於事業內部建立完整的制度,而內評師則是扮演確認企業建立的制度,是否符合制度規範要求的角色。截至2012年,國內已有近百家企業參與制度人員培訓,合計達426位管理師及131位內評師。在TPIPAS導入上,事業除了由合格的管理師自行建置導入管理制度外,也可尋求專業的外部輔導機構協助,「臺灣個人資料保護與管理制度」自2012年起,開放輔導機構登錄之申請,並於制度網站上公告符合資格要求的制度輔導機構,目前已有九家合格的輔導機構完成登錄作業,提供事業個資輔導服務。 事業完成內部管理體系建置後,便可向「臺灣個人資料保護與管理制度」提出驗證申請,驗證流程包括「書面審查」及「現場審查」二階段,事業通過驗證後,即具備使用「資料隱私保護標章」(dp.mark)的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark,透過導入個資管理制度,強化消費者隱私資料的維護。 參、事件評析 「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎,並參考國際組織對個人資料保護的最新要求,以及主要國家個資管理制度的推動經驗,所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求,將專業的法律要件轉化為內部個資管理流程,可有效協助產業建立完善妥適的個人資料管理制度,符合個資法規要求。在新版個人資料保護法上路之際,導入TPIPAS取得dp.mark,不啻是企業降低個資法風險,提升內部個人資料管理能力的最佳策略。
俄羅斯聯邦政府發布第299號法令,得不經授權利用「不友好國家」的專利權俄羅斯聯邦政府於2022年3月7日發布第299號法令(Постановление Правительства Российской Федерации № 299,下稱本法令),規定於有國家利益考量之情況下,得不經授權利用「不友好國家」的專利權。而我國也在前述「不友好國家」名單之列。 具體而言,本法令之解釋脈絡應從俄羅斯民法(Гражданский кодекс Российской Федерации)第1360條談起,該條規定在確保國家安全或保護公民生命與健康之極端必要情況下,俄羅斯聯邦政府有權決定,未經專利權人同意,使用相關發明、新型和工業品外觀設計,惟需儘快通知專利權人,並支付相應之補償金。 2021年10月18日,俄羅斯聯邦政府按民法第1360條第2項規定,頒布第1767號法令(Постановление Правительства Российской Федерации № 1767)確定補償數額為受專利保護之商品與服務所產生實際收益之0.5%。 然而,因烏俄戰爭持續延燒致俄羅斯聯邦政府採取反西方制裁措施之故,其發布第299號法令,針對第1767號法令再次增修補償數額之認定方法,規定:「倘專利權人來自『不友好國家』,則俄羅斯實體或個人未經專利權人同意,使用相關發明、新型或工業設計進行生產、銷售商品、提供勞務及服務時,須向權利人支付權利金為前述活動所產生實際收益之0%」。 基此,第299號法令應限縮在有國家利益考量之情況下(如:與國家安全或保護俄羅斯公民的生命、健康相關),針對使用特定的專利或商品,可免支付專利強制授權的補償金。換言之,本法令不應解讀為,任何專利在俄羅斯都可恣意利用,而無需經權利人同意或支付適當補償。惟因無法預期未來俄羅斯聯邦政府對「不友好國家」會否有其他強制授權情事,故我國經濟部智慧財產局發函通知專利權人,應密切關注相關議題,並預作準備以降低風險。
歐盟有條件批准Meta對Kustomer的併購案歐盟執委會於2022年1月27日宣布批准Meta(原Facebook)對Kustomer的併購案。Kustomer公司本身為向企業銷售客戶關係管理(customer relation management, CRM)整合軟體之公司,故本項併購可能影響Meta對消費者資訊的掌握能力,進而提升廣告市場影響力。因之,歐盟執委會基於自去(2021)年8月起深入調查本併購案有無影響公平競爭的結果,作成批准本併購案之決定,但要求Meta應遵守其提出的條件。 依據歐盟執委會的調查結果,主要擔憂本併購案可能阻礙CRM整合軟體之供給市場、以及CRM整合軟體售後客戶服務之供給市場的公平競爭。同時,調查中亦確認到Meta限制Kustomer公司的潛在競爭對手、以及新參與上述市場的業者近用Meta的訊息傳遞路徑應用程式介面(message channel API)。上述潛在競爭對手與業者和Kustomer公司相同,以中小企業為其主要銷售客群。而Meta採取此種經營方式,則可能會劇烈減少CRM整合軟體供給市場、以及CRM整合軟體售後客戶服務供給市場的競爭,導致相關軟體產品或服務的價格上揚,並伴隨品質與創新能量的下降,更可能將之轉嫁予消費者。 對上述調查結果所提出違反公平競爭秩序的疑慮,Meta則提案追加以下約款,作為條件以圖本併購案能夠獲准:(1)Meta保證於10年內,將其訊息傳遞路徑應用程式介面以無償、非歧視的方式,公開予存在競爭關係之客戶服務CRM整合軟體供應商、與新參與市場的業者取用;(2)Kustomer公司之客戶所使用Messenger、Instagram之私人通訊服務,以及WhatsApp之功能未來有進行改良或更新時,Kustomer公司之競爭對手與新進業者同樣得使用該些更新的功能。歐盟執委會最終認為Meta若踐行上述約款,將能消除其違反公平競爭秩序的疑慮,而以Meta履行該些約款為條件批准本併購案。
美國微軟、Yahoo和Google違反網路賭博規定遭處鉅額罰款美國司法部(Department of Justice)指控微軟、Yahoo和Google三家入口及搜尋網站業者,於1997到2007年間,違反禁止網路賭博之規定,接受非法賭博業者委託刊登線上廣告。 美國司法部認為此三家公司除違反聯邦線上博奕法(Federal Wire Wager Act)禁止賭博之規定以外,另違反聯邦博奕課稅條例,以及各州與地方有關禁止賭博之規定。為此,美國國稅局(Internal Revenue Service)和聯邦調查局亦介入此一案件之調查,並與司法部共同認為微軟、Yahoo和Google等著名入口網站對於社會具有重大影響力,刊登線上賭博廣告之行為不僅違反法規事實明確,對於間接促進相關線上賭博產業之興盛與賭博行為之猖獗亦應負社會責任。 在法院進行實質審理前,三家公司已於2007年12月與司法部達成和解協議,同意支付3150萬美元之罰金(折合台幣約10億元),並配合線上公益及宣導賭博違法等義務。