加州通過學生線上個人資料保護法案(the Student Online Personal Information Protection Act)
隨著越來越多學校使用線上教育技術產品發展教學課程,並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊,資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日,加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案,其中最引人關注的便是編號SB1177號法案,又稱學生線上個人資料保護法案(the Student Online Personal Information Protection Act,簡稱SOPIPA)。
SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為,包括:(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的,運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定,禁止披露涵蓋資訊(covered information)。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information),或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。
此外,SOPIPA線上教育服務經營者應採取適當安全的維護措施,以確保持有之涵蓋資訊的安全。同時,線上教育服務經營者應在有關教育機構的要求下,刪除學生之涵蓋資訊。
SOPIPA預計於2016年1月1日生效,將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者,同時也將適用於未與K-12學校簽署契約,但為該學校所使用之小型K-12技術網站、服務或APP等等。- the Student Online Personal Information Protection Act, S.B.1177
- California Breaks New Ground in Education Privacy Law with K-12 Student Data Privacy Bill, JDSUPRA BUSINESS ADVISOR
- California Governor approves new privacy legislation, ASSOCIATION OF CORPORATE COUNSEL
- California Continues to Lead the Nation in Child Privacy Protection, THE HUFFINGTON POST
印度政府發布監管數位市場法案 資訊工業策進會科技法律研究所 2024年06月25日 印度數位競爭法委員會(Committee on Digital Competition Law, CDCL)於2024年3月12日發布數位競爭法委員會報告,建議制定單獨法律規範數位市場競爭,同時發布《數位競爭法》草案(Draft Digital Competition Bill,下稱本草案),使印度競爭委員會(Competition Commission of India, CCI,下稱委員會)能夠在反競爭行為發生前介入調查,草案發布後公開徵求公眾意見至2024年5月15日,將參考公眾意見後再行發布本草案後續發展。 壹、緣起 印度企業事務部(Ministry of Corporate Affairs, MCA)於2023年2月6日成立數位競爭法委員會,主要由產業商會、政府機關以及學者組成,目的是檢視現行印度2002年《競爭法》是否足以解決數位經濟成長衍伸的問題。爾後於2024年3月發布數位競爭法委員會報告,數位競爭法委員會認為應有新的事前管制補充現行競爭法的事後管制模式,在動態的數位市場中於必要時進行事前干預,防止反競爭行為發生。 在數位競爭法委員會報告[1]中提出9項反競爭行為態樣,包含反導向(Anti-steering)、自我偏好(Self preferencing)、綑綁及搭售(Bundling and tying)、非公開資訊使用(use of non-public data)、掠奪性定價(Predatory pricing)、排他性協議(Exclusive tie-ups)、搜尋及排名偏好(Search and ranking preferencing)、限制第三方應用程式(Restricting third party applications)、以及廣告市場整合(Advertising consolidation)等,將以上述反競爭行為為核心制定事前管制措施。 貳、本草案介紹 基於上述建立事前管制的報告結論,數位競爭法委員會連同報告一併提出本草案以回應反競爭行為的事前管制方向,本草案主要有四項重點以下整理。 一、適用範圍與對象 本草案適用於所有在印度境內提供核心數位服務的所有企業,包含延伸到印度境外且對本草案所規定義務有影響的行為,核心數位服務包含線上搜尋引擎、線上社交網路服務、影片分享平台服務、人際通訊服務、作業系統、網路瀏覽器、雲端服務、廣告服務、以及線上中介服務等。 二、對具有系統重要性數位企業之定義 具有系統重要性數位企業(Systemically Significant Digital Enterprise, SSDE,下稱重要企業)需要符合兩項標準,分別是財務標準及用戶標準,如果企業屬於集團則數值以集團整體計算: (一)財務標準 財務標準是在三個財政年度中達成以下任一項: 1. 印度境內營業額高於400億印度盧比; 2. 全球營業額高於300億美元; 3. 印度的商品總價值高於1600億印度盧比; 4. 全球市值高於750億美元。 (二)用戶標準 用戶標準是在三個財政年度中達成以下任一項: 1. 在印度提供的核心數位服務達到1000萬終端用戶; 2. 在印度提供的核心數位服務達到1萬企業用戶。 三、對重要企業及關係企業之指定 (一)符合條件企業之通報義務 當企業的核心數位服務達到前述雙門檻後90天內應通知委員會,如該企業有所屬集團應一併向委員會揭露該所屬集團有直接或間接參與該核心數位服務的其他企業,委員會得透過行政命令指定該企業為重要企業,有直接或間接參與的其他企業得指定為關聯數位企業(Associate Digital Enterprise, ADE)。 委員會可要求未主動提供相關資訊的企業提供必要資訊,如符合上述門檻則指定為重要企業。 委員會在確定企業符合雙門檻後應通知企業給予陳述意見機會,說明不符合系統重要性之理由。企業若未提供必要資訊或提供不完整或錯誤資訊,仍得在聽取企業意見後指定,企業不得有規避指定之行為。 (二)指定未達門檻企業之權力 除指定前述符合雙門檻之企業外,對於在核心數位服務領域有重要影響力但未符合雙門檻的企業,委員會得參酌企業營業額、企業規模與資源、企業市場力量、網路效應、市場結構、社會義務等要素直接指定,效期為三年。 四、重要企業之義務 重要企業被指定後應建立透明有效的投訴處理及法遵機制,並定期向委員會報告履行下列義務與相關規定所採取之措施。 (一)禁止反競爭行為義務 不得有自我偏好、限制第三方應用程式使用、反導向、搭售或綑綁等反競爭行為,並以公平和透明交易的態度與用戶合作。 (二)資訊使用義務 不得使用企業用戶的非公開資訊與之競爭,且不得未經用戶同意混合或交叉使用,或允許第三方使用不同服務所蒐集的用戶資訊,並實現資訊可攜性。 參、本草案評析 數位競爭委員會報告及本草案的發布宣示委員會將監管大型科技公司的反競爭行為,本草案參考了歐盟數位市場法(Digital Markets Act, DMA)對於守門人(gatekeepers)的規定及義務,對於重要企業賦予禁止反競爭行為的義務,雖然本草案仍在意見蒐集階段,是否施行仍須追蹤觀察。 本草案參考DMA規定監管大型科技公司代表印度政府認為數位市場的事前管制是必要的,擔心市場失靈的風險存在,但包含資訊科技與創新基金會[2](Information Technology and Innovation Foundation, ITIF)、市場真相[3](Truth on the Market)、網路自由基金會[4](Internet Freedom Foundation)等單位對於本草案都提出質疑,認為本草案會阻礙數位市場創新,且印度的數位市場尚未成熟,貿然實施會損害印度的數位競爭力,阻礙對印度的數位投資。 40家印度新創公司發表聲明[5]支持本草案的推動,認為事前管制可以遏止Big Tech的反競爭行為,解決新創公司所擔心的發展問題,為新創環境提供空間。同時新創公司擔心門檻過低,阻礙非重要企業的發展,應提高門檻針對佔據主導地位的企業。 我國的數位市場政策仍有立法空間,該傾向管制市場或是鼓勵創新投資需要考量我國數位市場成熟度、規模、影響力等要素,印度已經跨出數位市場治理第一步,我國應持續追蹤各國法制政策,以滾動調整、擬定適合我國的數位市場政策。 [1] MINISTRY OF CORPORATE AFFAIRS, Report of the Committee on Digital Competition Law 27 (2024). [2] Comments to the Indian Ministry of Corporate Affairs Regarding Digital Competition Law, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION, https://itif.org/publications/2024/05/15/comments-to-the-indian-ministry-of-corporate-affairs-regarding-digital-competition-law/ (last visited June 25, 2024). [3] India Should Question Europe’s Digital-Regulation Strategy, Truth on the Market, https://truthonthemarket.com/2024/04/12/india-should-question-europes-digital-regulation-strategy/?_gl=1*1mrmph7*_ga*MTI0MTU5NTkwMS4xNzE4MzM2OTUz*_ga_R1FRMJTK15*MTcxODMzNjk1Mi4xLjAuMTcxODMzNjk2MS4wLjAuMA. (last visited June 25, 2024). [4] Summary of IFF’s submission on the draft Digital Competition Bill, Internet Freedom Foundation, https://internetfreedom.in/iffs-submission-on-the-digital-competition-bill/ (last visited June 25, 2024). [5] 40 Indian Startups urge MCA to move forward with Digital Competition Bill; 'not give in to delaying tactics by Big Tech', STORYBOARD18, May 16, 2024, https://www.storyboard18.com/digital/40-indian-startups-urge-mca-to-move-forward-with-digital-competition-bill-not-give-in-to-delaying-tactics-by-big-tech-31771.htm (last visited June 25, 2024).
美國法院新判決,讓Rambus公司無法取得Micron公司的權利金美國德拉瓦(Delaware)州法庭於1月9日判決,記憶體晶片(DRAM)設計業者Rambus公司(Rambus Inc.)因在訴訟過程中,毀壞此一專利訴訟案件的相關文件與資料,使其專利不具執行力。因此無權以系爭的12項專利要求 Micron公司(Micron Technology Inc.)支付權利金。判決公告後,Rambus公司的股價因而重挫約40%。 兩家公司的紛爭可溯至2000年,該年度Micron公司曾控告Rambus公司,宣稱Rambus公司試圖掌控當時DRAM晶片的市場。當時,Rambus公司要求Micron公司在內的晶片製造業者須支付權利金給該公司,而晶片製造業者則予以反擊,宣稱Rambus公司取得專利的過程有瑕疵。 雙方除於法院進行訴訟外,並利用美國聯邦貿易委員會(FTC)進行紛爭處理,互有勝負。例如:去年11月,加州地方法院宣判Rambus公司控告Micron公司、海力士(Hynix)、三星電子(Samsung Electronics)與南亞科技(Nanya Technology)等公司侵權一案,獲得初步勝利。然而如今法院的判決卻又重擊Rambus公司,因為該判決可能使該公司往後難以利用其所擁有的專利,迫使其他晶片製造業者支付權利金,也因此造成Rambus公司股價重挫的情形。
美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下: 1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。 2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。 3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。 4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。 我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
國際貨幣組織呼籲各國共同擬定監管加密貨幣之框架加密貨幣經濟襲捲全球,國際貨幣組織(IMF)總裁Christine Lagarde於官方網站發表對加密貨幣經濟可能涉及之風險及未來各界應如何共同應對之看法;認為加密貨幣有無限發展之潛力,其所應用之技術不僅提升金融產業發展,更為其他領域注入創新技術,惟發展之同時,潛在不法風險逐漸浮上檯面,加密貨幣不受中央銀行監管,並因其匿名性而容易成為洗錢、資恐的全新金融犯罪工具;另外,全球加密貨幣交易活動越發頻繁,交易價格的極端波動性,以及與傳統金融體系之間的關聯不明確,皆可能危害全球金融之穩定性。 Christine Lagarde認為加密貨幣交易之監管,與監管傳統金融所制定之政策並無二致,皆應以「確保金融穩定性和保護消費者」為首要政策,因此,提出幾個應對方向: 將加密貨幣創新技術用於監管行為技術中 (1)分散式帳本技術 (DLT) 為加快市場參與者與監管機構之間的訊息共享,確保用戶交易安全,可將此技術用來建立註冊標準,驗證客戶資訊及數位簽章;各政府機關亦可利用此技術所獲得之相關數據減少逃漏稅現象。 (2)生物辨識、人工智慧與加密技術 將生物辨識、人工智慧與加密等技術來強化數位安全,及時辨識可疑交易行為,有效抑止非法交易。 全球應共同發展出監管框架,跨國合作打擊不法 有鑑於加密貨幣的流通是全球性的,全球應共同發展出監管框架,2018年G20高峰會中加密貨幣也納入討論議題,藉由凝聚國際間共識,避免創新科技淪為犯罪工具。 面對加密貨幣價格的波動性,各界有不同解讀,有認為這只是一時狂熱所造成,終將泡沫化;亦有認為就如同物聯網發展初期革命一般,加密貨幣將破壞整個金融體系,取代現有的法定貨幣;惟Christine Lagarde表示事實應該是介於這兩個極端想法之間,各界不應片面否定加密貨幣,應採包容之看法迎接這項新科技,更應正視其潛在之危險。 國內現已有多家虛擬貨幣交易平台實際運營,為保護消費者權益,避免國內虛擬交易平台淪為洗錢、資恐行動之犯罪溫床,日前法務部已邀集金管會、內政部、央行、警政署、調查局等單位進行跨部會協商,擬於收集各界意見後,修訂相關規範,以利我國對於虛擬貨幣監管之政策方向與範圍能符合各方期待。