歐盟提出「一般資料保護規章」(草案)並審議,以因應未來聯網環境趨勢
為因應近來智慧聯網(IoT)、巨量資料及雲端運算發展趨勢,為強化線上隱私權利及促進歐盟數位經濟的發展,歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案:「保護個人有關個人資料處理及自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)),以取代並廢除(repealed)原有「個人資料保護指令」規範,並修改(amend)「隱私與電子通訊指令」,預計在2013年6月進入歐洲議會、理事會及執委會的三方協商,若順利將在2014年通過,並在2016年生效。
「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應,重要規範內容有(1)追蹤(tracking)與特徵分析(profiling):訂定第20條「特徵分析措施」(Measures based on profiling)規範條文,保障每個當事人皆有主張不被採取特徵分析措施(如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度)而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權(right to be forgotten and to erasure):訂定第17條,創設新的權利「被遺忘及刪除權」,用以幫助民眾處理線上資料,當其不希望自己的資料被利用且無合法理由保留時,資料將被刪除(3)資料可攜權利(the right to data portability):訂定第18條,當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料,更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件:第4條第8款明定,不論何種資料處理情況時所需的同意,增列必須是明確(explicitly)同意之要件(5)「設計階段納入隱私考量」(privacy by design)、「預設隱私設定」(privacy by default):訂定第30條,要求資料控制者及處理者應實行適當的技術性、組織性措施,並考量科技發展水準,制定特定領域及特定資料處理情況的標準及條件,並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。
歐盟此次對於「一般資料保護規章」(草案)的修法進程,以及世界各重要國家的立場及反應態度,均值得後續密切觀察研析。
本文為「經濟部產業技術司科技專案成果」
- Commission proposes a comprehensive reform of the data protection rules
- Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data
李科逸
副主任 編譯整理
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final (Jan. 25, 2012),http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:en:NOT (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU, http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection ruleshttp://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
2020年7月澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)正式對Google提告,針對Google於2016年的一項個資改變政策的內容,以誤導的方式取得用戶同意,而擴大使用個資範圍的行為。 於2016年,Google希望透過在其帳戶中所取得的個資,連結到用戶在非Google網頁中的瀏覽紀錄,如此Google將能夠依據這些資訊,更準確的在其他網站中投放廣告,以提升廣告費收入。為結合用戶於Google及其他網站的資料,Google需更改原本的個資隱私政策,然而事實上Google並沒有實際取得用戶對於此項改變的同意,反而以類似服務改進的通知:「我們為您的帳戶加入了一些可選擇性的功能,讓您能更好掌控Google所蒐集的資訊及使用方式,同時允許Google向您展示相關的廣告」等文字,誤導用戶藉以徵得用戶對個資政策改變的同意。 雖然Google承諾於2022年後,逐步移除Chrome瀏覽器中第三方Cookie的啟用,此動作將會阻止其他網站透過網路,追蹤到Google用戶的瀏覽紀錄,但由於目前Google還是依據用戶的瀏覽紀錄,針對用戶的特定偏好投放廣告來賺取收益,因此這種廣告模式短期內不太可能有所改變。若ACCC在這次與Google的訴訟中勝訴,那表示未來業者對於取得客戶同意(包括收集使用個資)的方式,從原本習慣使用概括性描述並隱藏使用個資真正目的等用語,來取的客戶同意的模式將有所改變。
歐盟《歐洲資料戰略》歐盟執委會針對未來10年歐洲AI開發與開放資料運用方向等核心議題,於2020年2月19日公布一系列數位化政策提案,其中之一即為提出歐洲資料戰略(European Data Strategy)。本戰略提出資料開放共享政策與法制調適框架,宣示其目標為建構歐洲的資料單一市場(single market for data),視資料為數位轉型的核心,開放至今尚未被使用的資料。歐盟期待商界、研究者與公共部門等社群的公民、企業和組織,得透過跨域資料的蒐集與分析,改善決策的作成基礎或提升公共服務品質,為醫療或經濟等領域帶來額外利益,同時促進歐盟推動人工智慧發展及應用。 本戰略揭示了資料單一市場的建構框架,包含資料必須能在歐盟內與跨域流通並使所有人受益、全面遵守如個資保護、消費者保護與競爭法等歐盟相關規範、以及資料取用(access)和使用的規定,應平等實用且明確,並以之建立資料治理機制;同時,為在技術面強化歐洲數位空間之能力,以完善資料共享所需之資料基礎設施,應創建歐洲資料庫(European data pools),預備將來進行巨量資料分析與機器學習。在上述框架下,本戰略同時擬定了數個具體的措施與制度調修方向如下:(1)建構資料跨部門治理與取用之法規調適框架:包括於2020年第4季提出歐洲共同資料空間管理之立法框架,於2021年第1季提出高價值資料集(high-value data-sets),評估於2021年提出資料法(Data Act)以建構企業對政府或企業間的資料共享環境、調適並建立有利於資料取用之智慧財產權與營業秘密保護框架;(2)強化歐洲管理、處理資料之能力與資料互通性:建構資料共享體系結構並建立共享之標準及治理機制、於2022年第4季啟動歐洲雲端服務市場並整合所有雲端服務產品、於2022年第2季編纂歐盟雲端監管規則手冊;(3)強化個人有關資料使用之權利:從協助個人行使其所產出資料相關權利之角度,可能於資料法中優化歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第20條之資料可攜權,如訂定智慧家電或穿戴裝置之資料可讀性格式;(4)建構戰略領域與公共利益領域之歐盟資料空間:針對戰略性經濟領域與攸關公共利益的資料使用需求,開發符合個資保護與資安法令標準之資料空間,主要用於保存製造業、智慧交通、健康、財務、能源、農業、公共管理等領域之資料。
提升晶圓競爭力,維護國家領導性:2020年《美國晶圓代工業法案》鑒於中國大陸製造微電子之能力,日益趨近美國;為建立美國在科技領域之領導地位,與振興全球微電子產業。以美國參議員Charles E. Schumer和Tom Bryant Cotton為首,於2020年6月提出《美國晶圓代工業法案》(American Foundries Act)。法案重點為:(1)資助發展微電子產業與研發設備;(2)創建、擴展與現代化提升微電子產業之設備,與維護國家安全之能力;(3)增加預算確保美國在微電子產業之領先地位;(4)訂定國家微電子之研發計畫;(5)建置產業諮詢委員會;(6)訂定多邊出口控制計畫;(7)禁止資金與國外競爭者相關;(8)限制計畫、承包商、分包商,和預算來源為國防部者採購國內微電子設計與代工服務。 該法案授權國防部長及國家安全局長基於國家安全之需求,由國防部資助微電子產業的建構、研究與發展。資助、輔助微電子產業在製造、裝備、檢測、外觀與研發上的發展,以及在採購設備和智慧財產權上的現代化。此外,美、中的競爭亦延伸至國家關鍵科技保護的面向。該法案規定倘微電子公司在敏感技術的研發,技術的許可、轉讓或投資,係中國政府或其他國際競爭者所有、受其控制或影響,美國政府將收回對該公司之資助,並禁止其參與計畫。 在商業製造上,亦須降低風險,包含對微電子研發的分類和出口管制,確認管理流程,以及減輕供應鏈的安全風險;且須注意在國家安全方面的要求。並為確保美國在微電子產業上的領導地位,國家經費授權國防高階研究計畫機構(the Defense Advanced Research Projects Agency)拓展電子復興計畫(the Electronics Resurgence Initiative),發展具破壞性的微電子科技,包含發展足以支持國產微電子企業的研究量能;並由國家科學基金會(the National Science Foundation)、能源局(the Department of Energy)與國家標準技術研究所(National Institute of Standards and Technology),負責執行微電子的科學研究與開發。
印度電力部公布「綠色氫能政策」,擬透過政策誘因建立綠氫產業鏈印度電力部(Ministry of Power)於2022年2月17日公布「綠色氫能政策」(Green Hydrogen Policy),宣告未來擬透過稅制、費用等誘因,建立綠色氫能產業鏈,以達到印度於COP26高峰會所承諾之減碳目標。 有鑑於綠色氫能是直接由再生能源電力所產生,故其相較於灰色氫能(註:由石化過程所產生之氫能)及藍色氫能(註:經碳封存之灰氫)而言,擁有更低之碳排放,有助於印度於COP26高峰會所承諾之減碳目標。然於技術或經濟層面而言,綠氫成本因為其產生、運輸、儲存過程要求相當高之費用以及成本,故遲遲無法普及,印度電力部為增進業者建立氫能產業鏈之經濟誘因,於2月17日公布前揭政策,以為因應。 印度電力部前揭政策,擬針對用地、電力市場等法規進行調適,相關法規調適重點如下: 定義綠色氫能為「直供」或「轉供」再生能源電力電解所得之氫能,也包含生物質能所生產之氫能。 於2025年6月30日前營運之綠色氫能生產業者,可免除25年之州際電力傳輸費用。 前揭綠色氫能生產業者,其所使用之電力可以是就地自再生能源發電設備取得(co-located),也可以是透過電力傳輸自其他再生能源發電設備所取得,不論該綠色氫能業者是否實際營運再生能源發電設備。 綠色氫能生產設備可被視為再生能源發電設備,被設置在相關用地上,並且,將開放綠色氫能設備設置於商港區域,以利綠氫出口。 因生產氫能所消耗或購買之再生能源電力,可計入RPS或RPO(Renewable Purchase Obligation)義務容量當中。 各州輸配電業,應允許綠色氫能生產業者加入電力交易市場。 承上,綠色氫能生產業者可進入餘電交易(banking)市場,並且餘電交易手續費應不超過「前一年度再生能源FIT價格」以及「當月日前交易市場之平均交易價格」間之差額。以避免氫能業者因經濟理由而被排除於餘電市場外。 但不論如何,對於印度而言,綠色氫能還只是發展初期階段,目前綠色氫能價格為每公斤3至6.5美元,而印度政府目標是於2030年將其降至1美元。對於大量仰賴能源進口之印度而言(85%石油及53%天然氣為進口),綠色氫能對於該國之能源自主有著相當重要的角色,因此印度政府將不餘遺力發展氫能。