從歐洲法院實務看資料保護在智慧聯網時代下發展－以資料保存指令無效案和西班牙Google案為例

　　新加坡通訊暨資訊部（Ministry of Communications and Information, MCI）於2020年11月2日發布新聞稿表示，新加坡國家議會（Parliament of Singapore）通過個人資料保護法（Personal Data Protection Act, PDPA）修正案。主要由新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）擔任執行與管理機關，而新加坡個人資料保護法僅適用於私人企業、非公務機關。 　　新加坡通訊暨資訊部特別強調，該個人資料保護法於2013年1月生效，而近年物聯網、人工智慧等新興科技瞬息萬變，隨著資料量急遽增長，企業組織利用個人資料進行創新，成為了社會、經濟和生活的一部分，此次修法意在因應新興科技的進步與新商業模式的發展，使該法可適應、接軌於複雜的數位經濟趨勢，同步維護消費者在數位經濟中的權益，更加符合國際框架，使總部位於新加坡的公司在擴展全球市場時，有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新，希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險，以取得平衡，修訂重點整理如下： 透過組織問責制度，加強消費者之信任； 加強組織使用個人資料開發創新產品，提供個人化服務、提高組織之營運效率； 資料外洩時的強制性通知規定、責任（可參見26A條以下）； 提高企業造成資料外洩時的罰款最高額度，當企業組織年營業額超過1000萬美金者，可處以該組織在新加坡年營業額的10%，或100萬新加坡幣（約62萬歐元），以較高者為準（可參見48J條以下）； 強化個人資料保護委員會的執法權限，提高執法效率； 為了強化消費者的自主權（consumer autonomy）、對其個資的控制權，規範資料可攜義務（data portability obligation），使個人能要求將其個人資料的副本傳輸到另一個組織（可參見26F條以下）； 允許企業在特定合法利益（legitimate interests）、業務改善（business improvement purpose）之目的情況下，對於個資之蒐集、使用、揭露，得例外不經當事人同意，意即不需經當事人事先同意，即可蒐集、利用或揭露消費者個資，例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。（可參見附表一第三、第五部分） 允許關聯企業（related corporations）間，在基於「明確定義相關限制」（clearly defined limits）之相同目的前提下，例如透過具有拘束力的公司規則（binding corporate rules）施以一定限制時，可在彼此內部間蒐集、揭露個人資料。（可參見附表一第四部分） 針對「視為同意」（deemed consent）之相關規定，包含告知後同意（consent by notification）做進一步修訂，將允許企業組織在具契約必要性等特定情形下，在未明確徵得當事人同意之下，向另一個組織或外部承包商（contractors）揭露其個人資料，以利履行契約（fulfil contracts），但該組織與該當事人之間的契約中需有明示條款（express terms）。（可參見15A條以下）

　　美國眾議院本（9）月通過「2007年綠色化學研究發展法案」（The Green Chemistry Research and Development Act of 2007），其目的在要求總統建立「綠色化學研究發展計畫」（Green Chemistry Research and Development Program），統籌改善聯邦政府對於綠色化學研發、教育宣導及技術移轉等活動之資源投入，而綠色化學則是指那些依安全與有效生產程序製造高品質產品時、能減少使用或產生毒性化學物質之化學產品或製程技術。美國化學協會（American Chemical Society）讚許眾議院通過本法案是睿智的舉動，表示發展綠色化學最能證明經濟和環境得同時併進，發展綠色企業實務，改善藥學加工及本土營建產業以迎刃氣候變遷及能源危機等挑戰。 　　本法案並要求自明（2008）年起，編列經費由以下政府單位合作執行本計畫，即國家科學基金（National Science Foundation）、國家標準技術研究院（National Institute of Standards and Technology）、能源局（Department of Energy）及環保署（Environmental Protection Agency）。參議院在過去兩屆都通過類似的法案，尚等待參議院支持通過相同法案，以獲得生效。 　　為減低對石化原料的依賴、發展生物經濟，美國政府積極投入促進綠色科技、生質科技之研發活動，例如從農林廢棄物或副產品或其他來源開發再生性原物料供綠色化學使用。此外，美國政府亦資助建立了生質（biomass）能源及產品的網路圖書館（BioWeb）；BioWeb所收錄的生質科技資訊、文獻，許多都是來自大學或國家實驗室著名研究人員，都會先經各領域專家進行嚴格的同儕審查（peer-review），再開給所有公眾瀏覽；BioWeb將會持續蒐羅各種基礎及應用科學知識，並擴充各種經濟及政策相關資訊。BioWeb的理想目標，是擴大規模成為最大最有價值的生質燃料、能源及產品公共資料庫。

　　德國聯邦資料保護暨資訊自由官（Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI）Ulrich Kelber教授於2020年8月19日指出，2020年7月3日甫由德國議會通過的病人資料保護法（Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG），恐違反歐盟一般資料保護規則（GDPR）。 　　該法規定自2021年起，健康保險業者必須向被保險人（病人），提供電子病歷（ePA）。而自2022年起，病人有權要求醫生將病人相關資料記錄於電子病歷，包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等，而被保險人更換健康保險業者時，可要求移轉其電子病歷至新的健保公司。另外，2021年起將可透過手機，下載電子處方並至藥局領取處方藥。2022年1月1日起，將全面強制使用電子處方，病人將可透過智慧手機或平板電腦，決定他人對於電子病歷之近用權限。病人若無手機，可至健保公司查看電子病歷。依照規劃，目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料，以及誰可以近用該文件。自2023年起，被保險人可自願提供電子病歷資料作為研究用途，而因上述研究可處理病人資料之醫師、診所和藥劑師等，有義務確保其資料安全。 　　BfDI於立法過程中多次強調，在導入電子病歷使用時，病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備，例如智慧手機或平板電腦，設定其電子病歷之存取權限，此意謂著將有一段空窗期，病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中，可否僅開放部分資料供瀏覽或存取，亦受到聯邦資料保護暨資訊自由官質疑。另外，對於無法或不想在手機或平板電腦上使用上述功能的人，本法並未進一步規定，亦即2022年起，上述病人為了能夠檢查或接受醫療，必須強迫病人控制其相關資料，但目前顯然尚缺乏相關配套。此外，以資料保護角度而言，目前電子病歷之認證程序有安全疑慮，尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹，因此命令相關單位應於2021年5月前完成改善。 　　電子病歷是對醫療保健改善的重要一步，因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視，惟當前病人資料保護法恐無法完全保護病人資料安全。因此，BfDI將透過監管手段，確保健康保險公司不會因提供電子病歷而違反GDPR。

　　中國大陸首例因在網絡遊戲中花重金組建的團隊遭遇離奇解散，導致來自多個省市的遊戲玩家聯手於河南省對網絡遊戲運營商提起訴訟。   　　代表玩家提出訴訟的原告在《魔域》中投入許多時間與金錢，建立「情誼無痕」軍團，最高時軍團人數達2000餘人。由於軍團的升級和日常維護開支需要眾玩家共同出力出錢，「情誼無痕」被無故被解散所影響的玩家人數眾多。   　　被告網龍公司主張遊戲帳號註冊時所輸入的身份證並非原告本人、服務器電腦記錄顯示有人登錄「落花有意」帳號並將「情誼無痕」軍團解散，由此可推斷該帳號曾有兩人以上使用，故不能排除該帳號曾借與朋友使用或被他人盜號使用而將軍團解散。   　　每法官與原被告雙方進行調解，因雙方意見分歧，最終未達成調解協議。玩家表示如果網龍公司不能給予合理的答覆，他們將聯合分佈在全國各地的其他玩家陸續不斷地起訴網龍公司。