加拿大隱私主管機關發布個人資料保存與處理指引文件
在世界各國,無論是公務機關或非公務機關,均無可避免地大量蒐集個人資料,這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此,加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada,簡稱OPC)發布關於「個人資料保存與處理指引文件:原則與良好實作」(Personal Information Retention and Disposal:Principles and Best Practices),以協助聯邦機構與私人機構對組織內部保有之個人資料,做好妥善保存與處理。
OPC建議組織應在內部制定相關管理政策與程序,並於指引文件中提出11項參考要點,其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性?多久審查一次;2.對於保有之個人資料及保存目的是否進行清查與盤點?多久確認一次?3.個人資料儲存的形式與地點為何?是否有備份?4.法律是否有規定最低保存期限?5.組織如何處理個人資料與相關備份檔案?6.對於儲存個人資料之裝置或設備,是否採行適當地安全維護措施?7.個人資料保管與處理相關政策的核決人為誰?8.對於利用資料生命週期追蹤資料,是否存在適當管制程序?9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定?;是否有制定文件銷毀之安全措施?10.資料等候處理期間是否受到安全妥善之保管?11.對於使用資料之第三方,是否有透過合約或其他機制進行有效監督管控措施?是否制定定期查核機制?等,期以協助組織掌握政策與程序制定要領。
澳洲國家交通委員會(National Transport Commission, NTC)於2017年10月3日提出「修正駕駛法律以支持自動駕駛車輛(Changing driving laws to support automated vehicles)」討論文件,向相關政府機關與業界徵詢修正駕駛法規之意見。此文件目的在於探討法規改革選項,並釐清目前針對駕駛人與駕駛行為法規對於自駕車之適用,並試圖為自動駕駛系統實體(automated driving system entities, ADSEs)建立法律義務。文件中並指出改革上應注意以下議題: 目前車輛法規皆以人類駕駛為前提; 自動駕駛系統並不具有法律人格,無法為其行為負法律責任; 目前的法律並未提供法律實體之定義或規範(即自動駕駛系統實體ADSEs)來為自動駕駛系統行動負責; 目前有些法律上人類駕駛應負之義務,無法直接於自動駕駛時由ADSEs負擔; 車輛之安全義務於自動駕駛時,可能需由非駕駛之他人執行; 法律中並未定義自動駕駛系統車輛的「控制」與「恰當控制」; 目前沒有規範何時人類應有義務將駕駛控制權力自自動駕駛系統轉移回來,來確保人類駕駛保持足夠之警覺性; 目前的遵循與實施規範可能不足以確保自動駕駛系統的安全運作。 NTC並提出建議應定義自動駕駛系統之法律實體,重新規範人類與自動駕駛系統法律實體間的義務。澳洲國家交通委員會將進一步將諮詢結果與法律改革選項於2018年5月提供給澳洲交通部。
歐盟對於「被遺忘權」公布指導方針與實施準則歐盟資料保護主管機關(European Union Data Protection Authorities, EU DPAs,以下簡稱DPAs)所組成的第二十九條資料保護工作小組(The Article 29 Working Party,以下簡稱WP29) ,於2014年11月26日宣布將適用5月13日Google西班牙案(C-131/12)判決結果之指導方針(guideline)。該項宣示確立了被遺忘權效力所及之範圍,以及各國DPAs受理資料主體(data subject)所提出訴訟之標準。 WP29表示,一如該判決所示,將連結於搜尋結果清單中移除,必須以全球網域為範圍,才能使資料主體權利受到完整、有效之保護,並且所依據歐盟資料保護指令95/46/EC才不至於受到規避。因此,儘管搜尋引擎營運者如Google認為,該項指令效力僅限制於歐洲,以及全球網域中低於5%歐洲網路使用戶,所以他們只需要將具爭議的連結,從歐盟網域的用戶搜尋結果中移除即可。但WP29則強調,倘若判決僅以歐盟網域為限制範圍,對於欲為歐盟公民隱私保護的立意來說,可能將無法全面保護。鑑此,歐洲隱私監管機構(Europe’s privacy regulators)亦於2014年11月26日表示,搜尋引擎營運者如Google公司,將連結於搜尋結果清單中移除,必須以全球網域為範圍,而非只是僅以歐盟境內網域為資料主體得要求實行被遺忘權(right to be forgotten)的範圍,以符合歐洲法院判決的要求結果。 自該判決所確立之資料保護權利主張,以資料主體發現某一搜尋係以其姓名為基礎,而搜尋結果的清單顯示通往含有該個人資訊網頁之連結,則資料主體得直接與搜尋引擎營運者聯絡(approach);次之,若搜尋引擎營運者不允其要求,資料主體則得轉向各國DPAs,在特定情形下,要求將該連結從搜尋結果清單之移除 。係該判決以歐盟資料保護指令95/46/EC為法規依據,經由釐清相關爭點、樹立指導方針及準則(criteria),謹分別列出如下: (一)搜尋結果是否連結至個人資訊,並且包含資料主體之姓名、筆名或暱稱; (二)是否資料主體在公領域居有重要角色或具公眾形象,以及是否公眾應具有取得前述資料之法益; (三)是否資料主體為少數例子,(意即顯見DPAs可能要求移除該搜尋結果) (四)是否資料具正確性; (五)是否資料具關聯性且不過份,並(a)連結至資料主體之工作生活;(b)搜尋結果(the search result)連結至據稱對訴訟者為憎恨、評論、毀謗、汙辱或具侵犯性資訊;(c)資料清楚反映為個人意見,或顯然受過驗證為事實。 (六)是否根據資料保護指令第8條,該資料具敏感性如個人健康狀況、性向或宗教信仰; (七)是否該資料已經過時,或是對於資料處理目的來說,其存在已為冗贅; (八)是否該資料處理已足生對資料主體之偏見,並且對其隱私已具有不對等的負面影響; (九)是否搜尋結果與資料連結,已造成資料主體暴露於危險威脅,例如竊取身分或受到跟蹤; (十)是否資料主體(a)自願使公眾知悉其資訊內容,或(b)可合理據知其所資訊內容將使公眾所知悉,或(c)意圖使公眾知悉其資訊內容; (十一)原有資訊是否以新聞目的為出版,而該項標準不得單獨為拒絕請求移除之基礎; (十二)資訊之出版者是否具有法律依據或義務,使該個人資料得公諸於世; (十三)是否該資料涉及刑事犯罪,而應由DPAs以公權力使犯罪者資訊公諸於世,原則上DPAs可能考慮對犯罪發生年代相對久遠、犯行較輕者,為搜尋結果之移除;而較不可能對近期發生、犯行嚴重者,為搜尋結果之移除。 以上13項準則皆立基於大眾取得資料權之法益為衡量,供各國依個案判斷是否受理資料主體所提出訴訟,以俾利未來各國DPAs處理相關爭訟之遵循依據。
科研資源整合之跨國合作趨勢研析與比較 歐盟部長理事會通過開放GSM頻段供3G寬頻技術使用歐盟部長理事會(Council of Ministers)已跟隨歐洲議會腳步,通過對「GSM 指令」(Global System for Mobile Communications Directive)進行修改的提案,准許電信營運商在900 MHz頻段上提供UMTS服務(3G通訊技術之一,可向下相容GSM與GPRS),例如WCDMA通訊架構可於900 MHz上運用。這項決議仍須經過歐盟各會員國國會和監督機構認可,預計2009年10月開始實施。 原先指令在1987年所提出,將900 MHz和1800 MHz頻段劃歸GSM手機專用,此作法有效促進GSM產業的蓬勃發展。修改該指令的提案,則是允許讓900 MHz頻段在繼續供GSM服務使用的同時,也開放給行動上網等更高速的泛歐洲通訊服務。預估將能大幅降低電信營運商網路建制成本,可減少大約16億歐元的支出。 據歐盟電信委員會Viviane Reding委員表示,GSM Directive的修訂,將為行動通訊業者解除限制,並因此能在GSM頻段上建置更先進的技術,以提供高速行動寬頻服務;她預期這將有效促進歐洲的無線經濟(wireless economy),並催生「數位歐洲」(Digital Europe)的誕生。相關發展值得台灣電信通訊產業注意。