歐盟對於「被遺忘權」公布指導方針與實施準則
歐盟資料保護主管機關(European Union Data Protection Authorities, EU DPAs,以下簡稱DPAs)所組成的第二十九條資料保護工作小組(The Article 29 Working Party,以下簡稱WP29) ,於2014年11月26日宣布將適用5月13日Google西班牙案(C-131/12)判決結果之指導方針(guideline)。該項宣示確立了被遺忘權效力所及之範圍,以及各國DPAs受理資料主體(data subject)所提出訴訟之標準。
WP29表示,一如該判決所示,將連結於搜尋結果清單中移除,必須以全球網域為範圍,才能使資料主體權利受到完整、有效之保護,並且所依據歐盟資料保護指令95/46/EC才不至於受到規避。因此,儘管搜尋引擎營運者如Google認為,該項指令效力僅限制於歐洲,以及全球網域中低於5%歐洲網路使用戶,所以他們只需要將具爭議的連結,從歐盟網域的用戶搜尋結果中移除即可。但WP29則強調,倘若判決僅以歐盟網域為限制範圍,對於欲為歐盟公民隱私保護的立意來說,可能將無法全面保護。鑑此,歐洲隱私監管機構(Europe’s privacy regulators)亦於2014年11月26日表示,搜尋引擎營運者如Google公司,將連結於搜尋結果清單中移除,必須以全球網域為範圍,而非只是僅以歐盟境內網域為資料主體得要求實行被遺忘權(right to be forgotten)的範圍,以符合歐洲法院判決的要求結果。
自該判決所確立之資料保護權利主張,以資料主體發現某一搜尋係以其姓名為基礎,而搜尋結果的清單顯示通往含有該個人資訊網頁之連結,則資料主體得直接與搜尋引擎營運者聯絡(approach);次之,若搜尋引擎營運者不允其要求,資料主體則得轉向各國DPAs,在特定情形下,要求將該連結從搜尋結果清單之移除 。係該判決以歐盟資料保護指令95/46/EC為法規依據,經由釐清相關爭點、樹立指導方針及準則(criteria),謹分別列出如下:
(一)搜尋結果是否連結至個人資訊,並且包含資料主體之姓名、筆名或暱稱;
(二)是否資料主體在公領域居有重要角色或具公眾形象,以及是否公眾應具有取得前述資料之法益;
(三)是否資料主體為少數例子,(意即顯見DPAs可能要求移除該搜尋結果)
(四)是否資料具正確性;
(五)是否資料具關聯性且不過份,並(a)連結至資料主體之工作生活;(b)搜尋結果(the search result)連結至據稱對訴訟者為憎恨、評論、毀謗、汙辱或具侵犯性資訊;(c)資料清楚反映為個人意見,或顯然受過驗證為事實。
(六)是否根據資料保護指令第8條,該資料具敏感性如個人健康狀況、性向或宗教信仰;
(七)是否該資料已經過時,或是對於資料處理目的來說,其存在已為冗贅;
(八)是否該資料處理已足生對資料主體之偏見,並且對其隱私已具有不對等的負面影響;
(九)是否搜尋結果與資料連結,已造成資料主體暴露於危險威脅,例如竊取身分或受到跟蹤;
(十)是否資料主體(a)自願使公眾知悉其資訊內容,或(b)可合理據知其所資訊內容將使公眾所知悉,或(c)意圖使公眾知悉其資訊內容;
(十一)原有資訊是否以新聞目的為出版,而該項標準不得單獨為拒絕請求移除之基礎;
(十二)資訊之出版者是否具有法律依據或義務,使該個人資料得公諸於世;
(十三)是否該資料涉及刑事犯罪,而應由DPAs以公權力使犯罪者資訊公諸於世,原則上DPAs可能考慮對犯罪發生年代相對久遠、犯行較輕者,為搜尋結果之移除;而較不可能對近期發生、犯行嚴重者,為搜尋結果之移除。
以上13項準則皆立基於大眾取得資料權之法益為衡量,供各國依個案判斷是否受理資料主體所提出訴訟,以俾利未來各國DPAs處理相關爭訟之遵循依據。
本文為「經濟部產業技術司科技專案成果」
在香港金融管理局(Hong Kong Monetary Authority, HKMA)於2016年9月推出金融科技監管沙盒(Fintech Supervisory Sandbox, FSS)滿一年後,於今年9月29日再公布2.0升級版。而香港保險業監管局(Insurance Authority, IA)同時發布保險科技沙盒(Insurtech Sandbox),證券及期貨事務監察委員會(Securities and Futures Commission, SFC)亦公告證監會監管沙盒(SFC Regulatory Sandbox),初步完備香港金融領域沙盒制度之建立。 於金融科技監管沙盒2.0版中,香港金融管理局為加強金融科技公司與HKMA連繫機制,將成立金融科技監管聊天室(Fintech Supervisory Chatroom),改變最初金融科技公司僅能透過銀行窗口與HKMA進行試驗商品相關聯繫,造成程序不便、資訊不流通等問題,2.0版後金融科技公司可透過HKMA隸屬之金融科技監管聊天室進行意見回饋。並且由於香港針對金融科技、保險、證券及期貨領域推出三種沙盒機制,故推出「一點通」之一站式便民服務,提供企業選擇沙盒並得以和各機關進行相互協調,此次改革將於年底作業完成。 而IA為促進保險科技發展,推出保險科技沙盒,對於保險公司計畫在香港推出的創新技術不確定是否符合香港法規,給予受授權保險公司在沙盒機制內進行沙盒試驗,在沙盒試驗中,主管機關得隨時對保險公司之風險控管做查核,並且消費者有隨時退出試驗並給予補償機制,IA亦可針對不符合之試驗計劃宣告中止。 另外,SFC開放合資格之企業提供沙盒試驗,所謂「合資格之企業」是指經由香港《證券及期貨條例》規範而設立之持照企業或新創公司,同時該公司必須使用創新科技並為投資者帶來更多優質產品服務,並受惠於香港金融服務業者。並且為保護投資者權益,除申請公司應有給予投資者退出機制與提供賠償方式外,並應揭露潛在風險。若最後申請公司證明其試驗客體可靠且符合目的,可向SFC申請走出沙盒機制,並對外營運。
美國能源關鍵基礎設施議題觀察 德國聯邦工業聯盟與Noerr法律事務所所公布「工業4.0 – 數位化進程面臨之法律挑戰」意見報告德國聯邦工業聯盟(Bundesverband der Deutschen Industrie)與Noerr法律事務所於2015年11月共同公布「工業4.0 – 數位化進程面臨之法律挑戰」(Industrie 4.0 – Rechtliche Herausforderungen der Digitalisierung)意見報告。該報告透過德國聯邦工業聯盟與Noerr法律事務所訪談德國數家企業法務部門,以釐清業界在邁入工業4.0轉型下會遇到的法律議題,並對此議題提出法律意見。 此報告針對工業4.0相關法律議題提出以下建議: 1.資料保護:業者可透過技術性設計達到資料保護的目的,例如隱私設計(Privacy by Design)。另,繼歐盟法院針對安全港判決的裁定,業者應積極關注歐盟第29條資料保護工作小組針對跨國資料傳輸的指引或德國聯邦資料保護委員(Datenschutzbeauftragten des Bundes)針對跨境資料保護規範的建議。 2.資料產權:在立法上不應急於規範管制,有恐危及企業資料分享的空間。建議企業間可透過雙方性契約規定資料的使用權 3.資訊安全:雖支持於2015年7月通過之德國資訊系統安全法(IT-Sicherheitsgesetz),強制性業者履行在遭資安攻擊時履行通報義務(Meldepflicht)。但是,若能實施以業者本身主動完成資安保護措施之鼓勵機制,則更能積極性的鼓勵業者履行其資安義務。 4.智慧財產權:標準必要專利的授權及使用係業者在工業4.0體系中,特別在系統的互通性上,非常重要的一環。在法制環境上應讓各個業者,在一定的條件下,均享有標準必要專利授權。 5.產品責任:因智慧工廠下之自治系統(autonome Systeme)有自主決定的能力,而因其所導致的民事糾紛,可透過新民事責任概念的架構所解決,並不一定要將該自治系統視為一獨立的數位法人(ePerson)。
日本政府內閣於今年3月提出個人資料保護法修正草案為因應2016年正式上路實施之社會保障與納稅人識別號碼制度(社会保障・税番号制度)對於個人資料保護所產生之影響,日本政府內閣於2015年3月10日於國會提出個人情報保護法之修正案。 此次修正案主要分有六大重點,包含個資定義擴充與明確化、確保個資文件內容之正確性、強化個資保護規範內容、設立個人情報保護委員會、個資情報處理全球化,以及其他修正事項如未得當事人同意之第三人使用個資條件嚴格化等。 其中主要有兩項係與社會保障與納稅人識別號碼制度相關。首先是強化個資保護規範內容部分,由於社會保障與納稅人識別號碼制度將遇有個資資料庫使用情況,故新增個資資料庫之相關規範與罰則,行為人於未經授權或不當使用個資資料庫時,將可處1年以下拘役併科日幣50萬元以下之罰金,亦即當行為人違反個資法有關個資資料庫規定時,不但須支付罰金也須負刑事責任。 其次,擬設立直屬內閣總理大臣所轄之個人情報保護委員會,其委員組成人選須經參眾兩議院同意後,由內閣總理大臣任命之。委員會主要任務在於專責監督與監測政府各機關以及民間個資處理事業對於個資的傳遞、處理,並適時提出指導意見或建言。