因應巨量資料(Big Data)與開放資料(Open Data)的發展與科技應用,美國國會提出「資料仲介商有責與透明法草案」(Data Broker Accountability and Transparency Act)
美國國會議員Markey與Rockefeller於2014年2月提出S. 2025:「資料仲介商有責與透明法草案」(Data Broker Accountability and Transparency Act),以促進對於消費者保護,與資料仲介產業發展間的平衡。該草案預將授權「美國聯邦貿易委員會」與各州據以監督與執行。
該草案對「資料仲介商」(以下簡稱Data Broker)加以定義為係以銷售、提供第三方近用為目的,而蒐集、組合或維護非其客戶或員工之個人相關資料的商業實體;更進一步的禁止Data Broker以假造、虛構、詐欺性的陳述或聲明的方式(包括提供明知或應知悉為偽造、假造、虛構、或詐欺性陳述或聲明的文件予以他人),自資料當事人取得或使其揭露個人相關資料。
該草案亦要求Data Broker建置及提供相關程序、方式與管道,以供資料當事人進行下列事項:
1.檢視與確認其個人相關資料(除非為辨識個人為目的的姓名或住址)正確性(但有其他排除規定)。
2.更正「公共紀錄資訊」(Public Record Information)與「非公共資訊」(Non-public Information)
3.表達其個人相關資料被使用的時機與偏好。例如在符合一定條件下,資料當事人得以「選擇退出」(Opt Out)其資料被Data Broker蒐集或以行銷為目的而販售。
於此同時,加州參議院亦已於2014年5月通過S.B. 1348:Data Brokers的草案,該草案要求資料當事人擁有檢視Data Broker所持有的資料,並得要求其於刪除提出後10天內永久刪除;當資料一經刪除,該Data Broker不得再行轉發或是將其資料販售給第三人。加州參議院並提案,該法案通過後將涵蓋適用至2015年1月1日所蒐集的資料,且個人於Data Broker每次違反時得提出$1,000美元的損害賠償訴訟(律師費外加)。雖然該草案受到隱私權保護團體的支持,卻受到加州商會(California Chamber of Commerce)與直銷聯盟(Direct Marketing Association)的反對。加州在Data Broker的立法規範上是否能超前聯邦的進度,讓我們拭目以待吧。
本文為「經濟部產業技術司科技專案成果」
香港立法會於今(2021)年9月29日通過《2021 年個人資料(私隱)(修訂)條例》(The Personal Data (Privacy) (Amendment) Ordinance, PDPO),並於同年10月8日實施。本次修訂主要將「人肉搜索(Doxxing)」行為訂為刑事犯罪、賦予私隱專員對肉搜進行刑事調查及要求停止批露肉搜訊息之權責。 香港政制及內地事務局今5月提議修訂PDPO ,表示這是對抗肉搜的必要手段,2019年民主抗議活動中此行徑相當普遍,許多警察及反對派人士深受騷擾。修訂訊息公開後,Facebook、Twitter及Google等科技公司即透過亞洲互聯網聯盟(AsiaInternet Coalition)表示,倘香港政府修訂PDPO ,美國企業恐因網路惡意分享個資,造成香港員工面臨刑事調查或訴追風險,因而停止在香港的服務。香港行政長官林鄭月娥為紓緩各方疑慮做出回應,表示該修訂案對阻止網路惡意散布個資而言有其必要性,受香港民眾廣泛支持,其並指出社交媒體欠缺監管,包括散播仇警訊息、違反人性行為,導致香港今年7月發生刺傷警員後再自殺的事情。 依PDPO 之修訂條文,任何人未經資料當事人同意而披露他人的個人資料,並有意圖或罔顧是否會導致當事人或其家人蒙受指明傷害,例如滋擾、騷擾、纏擾、威脅或恐嚇,或對當事人或其家人造成身體、心理傷害或財產受損,最高將處5年有期徒刑及一百萬港元罰款。 對此,亞洲互聯網聯盟表示聯盟成員反對肉搜行為,惟PDPO 修訂條文措辭含糊,位於香港的企業及員工可能因用戶肉搜行為而受到刑事調查或起訴,對企業造成不成比例且不必要之回應成本,並恐限制言論自由,單純網路分享資訊的行為亦可能被視為犯罪。聯盟甚至指出:「科技企業要避免遭受這些懲罰的唯一途徑,就是不要在香港進行投資和提供服務」。
Google, Yahoo質疑猶他州的商標法立法者在高科技經營者會議後表示,「美國猶他州的法律設置商標註冊規定,將針對網路廣告競爭者可能不強制限制,而這項規定在星期一就會生效。 Google、eBay、Yahoo、微軟等公司的負責人與立法者在星期三會面,並正式對此提出抗議。 執行長克拉克說到:「我希望我們在兩個月前就能和產業互動,這對我們來說情況較佳。」 法律允許任何公司去創造一個電子商標並阻止競爭者用這些商標,去避免利用這些關鍵字商標在搜尋引擎和其他網站上出現。 星期二立法機關一致通過此項保護商標法律,儘管州律師提出警告,他們將會在法院上推翻這項法律。 Google和其他網站允許競爭者有權利去投標商標或產品的名稱。廣告競爭者會因競標而顯現在搜尋結果的網頁上。 陳情者羅傑說到,在與立法者談判後,訴訟是最不可能的方式。我們所投入的是幫助政策制定者去察覺到立法機構需要被修正並且也許需要被廢除。 羅傑說當談判破裂,這兩位發言人問我們,假使我們有意願去看到可以達到他們的意願並且不會產生可能發生有害影響的方法。 克拉克不確定是否會推翻這項法律,但他說我們必須為此做些事。 伊適特曼說,「立法者正設法去阻止公司免於被偷竊商標,或阻止戲弄消費者使他們在買產品時產生混淆的情況。」
美國加州《AB-5法》(Assembly Bill No. 5)美國加州於2019年9月通過AB-5法案(Assembly Bill No. 5),預計於2020年1月正式施行,本法目的在於強化零工經濟下非典型勞務提供者(如平台外送員)的權益保護,於加州現行勞動法令之基礎上,增訂關於各類勞務提供者之特別規定。 依本法主要規範,係推定替雇主(hirer)提供服務的工作者為僱傭契約關係下之僱員(employee),就最低工資、失業保險、勞災、醫療保險等面向,業者應對這些工作者提供等同受僱人之相關權益及保障;若要被例外認定為非成立僱傭關係之獨立承包商,則必須滿足不受公司於工作方面的控制指示、從事與公司通常業務範圍無關之業務、以及有實質接案自由等三要件,並要求業者應以上列標準判定其勞務提供者為僱員或獨立承包商,同時需於例外認定為獨立承包商時提出相關證明。 同時,本法亦考量到施行後其效力對既有營業形態之衝擊,分別採取以下措施: 針對例如派報員、商業捕撈(commercial fishermen)等業別,於本法正式施行後一定期間內,豁免前述列舉之特定領域勞務提供者適用本法來認定其與業者間的契約關係。亦即,在法案生效後的短期內,特定業者暫時不需適用該法所定要件來檢視與勞務提供者間之契約關係,避免本法貿然實施可能導致其無法經營日常業務的困境。 對於醫療保健專業人員、持有牌照之律師、建築師、會計師、證券經紀商等法明文列舉之特定職業,排除適用本法判定勞動關係的特別規定,而非暫時豁免適用。
由Meta案看數位資料商業化面臨之跨國問題於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。 針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。 2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。 目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)