美國發布了「消費者隱私權法」草案
美國白宮在2015年2月27日發布了「消費者隱私權法」(Consumer Privacy Bill of Rights Act)草案,目的在於擴大消費者資料的保護範圍。
該草案的重點分列如下:
- 透明性:受規範主體必須提供資訊主體簡潔、明顯、易懂的公告,公告內容必須提供簡潔、明瞭及即時的隱私與安全運作,包含資訊保存、揭露以及個人資料存取機制。
- 個人控制:受規範主體應該在合理範圍內提供機制,讓資料主體能控制其個人資料之處理,同時也規範應讓消費者撤銷個人資料使用的同意。
- 注重資料蒐集與合理使用:受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時,在資料蒐集之特定目的完成後的合理時間內,必須針對所蒐集的個人資料進行刪除或是去識別化。
- 安全性的維護:為了維護個人資料之安全性,以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露,公司機構必須進行安全風險評估,並且採取合理的資訊安全防護措施。
- 存取與正確性:受規範的公司機構必須提供資訊主體合理的存取權利,同時也應該採取合理的步驟,來維護資料的正確性。
- 擔負隱私維護的責任:受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。
- 不受本草案規範之公司機構:
- 25名員工以下的小型公司,且其處理者僅限於員工與求職者之個人資料。
- 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼,並符合以下要件之一者:
- 在12個月內蒐集個人資料筆數在10,000筆下;
- 5名員工以下。
除了要求產業發展處理消費者資料的標準或規則,該草案也要求「聯邦貿易委員會」(Federal Trade Commission, FTC)確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定,包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」,將會面臨FTC或是州檢察長所發起的法律行動。
該草案引起了產業界極大的反彈,隱私團體也批評該草案太過寬鬆,留給產業界太多自由空間,同時目前國會由共和黨所主導,因此後續立法工作的進行將會面臨極大的挑戰。
本文為「經濟部產業技術司科技專案成果」
宋佩珊
資深管理師 編譯整理
Natasha Singer, White House Proposes Broad Consumer Data Privacy Bill, The New York Times, http://www.nytimes.com/2015/02/28/business/white-house-proposes-broad-consumer-data-privacy-bill.html?_r=0 (last visited Mar. 9, 2015)
James Denvil, Insights on the Consumer Privacy Bill of Rights Act of 2015, Chronicle of Data Protection, http://www.hldataprotection.com/2015/03/articles/consumer-privacy/insights-on-the-consumer-privacy-bill-of-rights-act-of-2015/ (last visited Mar.9, 2015)
Roberta Rampton, White House releases draft bill to protect consumer data privacy, Reuters, http://www.reuters.com/article/2015/02/27/us-usa-privacy-idUSKBN0LV2O320150227, (last visited Mar.9, 2015)
日本政府為了對應智慧聯網(Internet of Things, IoT)、巨量資料(Big Data)以及人工智慧(AI)時代之到來,經濟產業省及總務省於2015年10月23日正式成立了產官學研聯合之「IoT推進聯盟( IoT推進コンソーシアム)」。該聯盟旨在超越企業及其產業類別的既有框架,以民間作為主導,目的為推動IoT之相關技術研發,以及促進新創事業成立之推進組織,未來並將針對IoT相關政策以對政府提出建言。在該聯盟下有三個工作小組,包括技術開發、實證、標準化的「智慧IoT推進論壇(スマートIoT推進フォーラム)」;推動先進實證事業,規制改革之「IoT推進實驗室(IoT推進ラボ)」,以及針對資訊安全、隱私保護的專門工作小組。 我國自2011年行政院首度召開「智慧聯網產業推動策略會議」以來,積極推動發展台灣成為全球智慧聯網創新中心,以及成為亞洲智慧聯網解決方案領先國;而目前我國有「台灣物聯網聯盟(TIOTA)」、「中華物聯網聯盟」等民間推進組織,旨皆為結合產官學研各界資源,促進產業與政府、國際間之合作。
歐盟針對RFID的重要議題召開辯論RFID 的利用帶來新一波的物流及管理變革,但是侵犯人權及隱私等相關問題也引發了尖銳的討論,英美等國隱私保護團體及國會議員紛紛呼籲英制訂相關的使用規範。 歐盟在 2006 年 3 月 10 日也舉辦了一場公開意見徵詢,主要徵詢意見的議題有跨國 RFID 系統互通、相容,以及在應用上可能因洩漏位址、身份及歷程而導致的隱私及安全問題。資訊社會及媒體委員會主席 Vivien Reding 表示,隨著晶片技術進步,晶片會變得越來越聰明, RFID 全面應用後可能引發的問題可能在未來會越來越嚴重。透過多網路的連結,必然會促進經濟的繁榮及生活品質的提升,但是隱私保護的問題若不解決,將可能會影響這項科技的應用。因此,對於 RFID 未來的應用應該達成一種社會共識( society-wide consensus )並預先建立可信賴的保護機制。 為此,執委會將公開徵求諮詢,預計在下半年會公布意見資料,後續並可能在進行 2002 年電子通訊及隱私保護指令的修正工作及檢討 RFID 頻率的指配。
歐洲議會通過支付服務指令修正草案歐洲議會(European Parliament)於今(2015)年10月8日通過支付服務指令的修正草案(revised Directive on Payment Services; 簡稱PSD2),修正後的支付服務指令將能降低消費者使用支付服務時所花的費用、提升支付服務的安全性、吸引業者投入支付服務領域及促進支付服務的創新。 未來,擁有網路帳戶的付款人可以利用第三方支付業者提供的支付軟體及設備進行付款。新法中也明訂,若付款者使用支付工具,如金融卡(Debit Card)或信用卡(Credit Card)為付款時,支付業者不得向付款人收取額外的費用,這個規定使付款人得以省下一筆開銷。 新法也規定,提供付款人帳戶資訊的銀行,若對第三方支付業者有安全上的疑慮時,其向監管機關提出客觀合理的理由後,得拒絕第三方支付業者向其存取付款人的帳戶資訊。 另外,為降低用戶被盜款的風險及保障用戶的財務資料,支付業者有義務提供嚴格的用戶認證機制(strong customer authentication)。此機制藉由確認付款人的密碼、使用的卡片或聲音或指紋的認證來確認付款人的身分。而當用戶的付款工具(payment instrument)遺失、被竊取或不當利用,而造成有未經用戶同意而為支付的情況發生時,依新法規定,用戶負擔之損失,最多不得超過50歐元。
亞利桑那州可望通過情色報復法,美國防治情色報復將再添一州美國亞利桑那州曾於2014年通過違反本人意願散布隱私內容之條文(泛稱為情色報復法Revenge Porn Law),構成要件未涵蓋行為人需有傷害的主觀不法構成要件,只要未經本人同意散布隱私內容即有可能觸犯本法而被判重罪(Felony),最高將可處三年又九個月之有期徒刑。然而,因構成要件過於廣泛,甚至未排除具新聞、藝術、教育價值之內容,未考慮本人之隱私期待性和傷害有無,美國公民自由聯盟遂代表出版業、媒體業和攝影業等,以該條文侵害言論自由有違憲之虞,於同年9月向亞利桑那州提告。該案於2015年7月10日達成和解,亞利桑那州地方法院宣告該條文將不會生效施行。 在經過漫長的修法後,亞利桑那州參議院最終於2016年3月7日無異議通過情色報復法之最新修法法案(House Bill 2001),待州長簽署核准後便立即生效施行。本次修法與2014年的版本不同處為,檢察官需證明隱私內容之本人具有合理的隱私期待,若被害人曾將自拍的影像寄送與他人,更需證明被害人未有分享的意思。此外,檢察官需證明行為人具有意圖傷害、騷擾、威脅或迫使他人之主觀意思。在此條文尚未通過前,實務上已有檢察官多次反應現行法無從對違反本人意願散布隱私內容之行為論罪,至多僅能以網路跟蹤或霸凌法等追究,對受害人保護甚為不周。