從歐洲法院實務看資料保護在智慧聯網時代下發展－以資料保存指令無效案和西班牙Google案為例

　　歐盟資料保護監督機關（European Data Protection Supervisor, EDPS）於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」（EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data），旨在協助決策者更易於進行隱私友善（privacy-friendly）之決策，評估其所擬議之措施是否符合「歐盟基本權利憲章」（Charter of Fundamental Rights of the European Union）關於隱私權和個人資料之保護。 　　該指引分為三大部分，首先說明指引的目的與如何使用；第二部分為法律說明，依據歐盟基本權利憲章第8條所保護個人資料的基本權利，並非絕對之權利，得於符合憲章第52條（1）之規定下加以限制，因此涉及處理個人資料的任何擬議措施，應進行比例檢驗；指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗： 必要性檢驗（necessity test） （1） 步驟1：初步對於擬議措施與目的為詳細的事實描述（detailed factual description）。 （2） 步驟2：確定擬議措施是否限制隱私保護或其他權利。 （3） 步驟3：定義擬議措施之目的（objective of the measure），評估其必要性。 （4） 步驟4：特定領域的必要性測試，尤其是該措施應有效（effective）且侵害最小（the least intrusive）。 　　若前述評估認為符合必要性，則接續比例性檢驗，透過以下4步驟評估：  比例性檢驗（proportionality test） （1） 步驟1：評估目的正當性（legitimacy），擬議措施是否滿足並達到該目的。 （2） 步驟2：擬議措施對隱私和資料保護基本權的範圍、程度與強度（scope, extent and intensity）之影響評估。 （3） 步驟3：繼續進行擬議措施之公平對等評估（fair balance evaluation）。 （4） 步驟4：分析有關擬議措施比例之結果。 　　科技時代的決策者在立法和政策擬定時，面臨的問題愈趨複雜，需要全面性評估，擬議措施限制應符合歐盟法規，且具必要性並合於比例，隱私保護更是關鍵，參酌該指引搭配EDPS於2017年發布之「必要性工具包」（Necessity Toolkit），將使決策者所做出的決策充分保護基本權利。

　　根據Ponemon Institute的調查，2011年至2012年中，英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出，若企業備有正式的事故應變計畫，每件資料侵害事故的平均成本會降低至13英磅左右。除此之外，雇用外部顧問來協助應變，每件資料侵害事故的平均成本也會節省4英磅。 　　依據新的資料保護法律架構，歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時，根據不同委員會的需求，未來將針對特定產業，制定新的網路與資訊安全管理規範。。 　　專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險，同時也進行風險轉移的處置措施。各項事故應變計劃之中，保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外，企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家，信用監測提供者或是資料侵害事故的事務處理公司，例如：協助發送事故通知的公司。保險業建置的專家網絡，未來將可以幫助要保人，以最快最省成本的方式處理相關事故。

　　美國聯邦通訊委員會（Federal Communications Commission，FCC）於2008年11月公布法規命令，開放閒置無線頻譜之使用。閒置頻譜緣起於美國無線電視訊號，對於鄉村或偏遠人口較少之地區並無覆蓋，這些地區之無線電視頻譜處於閒置未用狀態。FCC因應無線通訊對頻譜之需求，在以拍賣釋出新頻譜的同時，也由增進既有頻譜的效率著手。 　　FCC於此法規命令中公布初步的技術規範，包含使用地理資料庫以及感知無線電技術作為利用閒置頻譜之要件。之後，FCC於2009年11月公告接受業者遞交計畫書，審查是否能成為資料庫管理者之資格。 　　2010年9月FCC再度公布新的法規命令，取消感知無線電技術作為必要條件之要求，並調整技術規範，也預告將選擇民間業者來進行地理資料庫之管理與建置。 　　2011年01月26日，FCC正式公告九家業者，包括Comsearch、 Frequency Finder、Google、KB Enterprises LLC and LS Telcom、 Key Bridge Global LLC、 Neustar、Spectrum Bridge、 Telcordia Technologies、 WSdb LLC.。這九家業者將必須針對2010年所發佈之新規則提出補充資料，並與FCC工程技術辦公室（Office of Engineering and Technology ，OET）配合，舉行一系列的研討與測試實驗，確立最後的技術標準與測試資料庫運作的穩定度。 　　FCC亦表示，資料庫管理者必須同意，他們將不會從事任何歧視性及反競爭行為，亦不可有危及用戶隱私之行為。 　　在FCC指定地理資料庫的管理者後，美國開放閒置頻譜使用的前置準備也可說是完成，未來等業者完成測試，相關利用頻譜的設備上市之後，可望為無線通訊市場帶來更多低成本的選擇。

　　Google 在2007年4月買下DoubleClick之後，競標落敗的微軟連同其他Google對手，控告Google和DoubleClick的結合，恐怕有壟斷之嫌，因此引來FTC和歐盟執委會的調查。 　　Google此前已經於去年12月首先取得美國聯邦貿易委員會的併購核準。歐盟執行委員會(EUropean Commission；EC)則於日前宣布通過無條件批准Google以31億美元收購線上廣告業者DoubleClick的購併案。 　　另據CNN Money網站報導，歐盟執委會通過雙方合併，主要基於沒有重大證據顯示，雙方的結合將會削弱微軟(Microsoft)、雅虎(Yahoo!)、美國線上(AOL)等競爭對手的生存空間；其次，Google和DoubleClick彼此並不存在競爭關係，雙方合併對線上廣告市場的競爭，不至於帶來負面的衝擊。 　　不過，提倡保護個人隱私的組織反對該收購交易，他們認為Google與DoubleClick合併之後，使兩家公司更容易獲取消費者個人資訊。但是歐盟執委會表示個人隱私權問題並非是否同意兩家公司合併的考量事項。 　　在得到歐盟方面正式核準之後，Google將會正式採取行動併購DoubleClick，將其線上廣告的經營，從文字廣告拓展至顯示廣告(display advertisement)領域。但在這塊線上廣告市場的步步進逼，勢必會刺激微軟加速買下雅虎的決心。