德國與愛爾蘭對於個人資料處理是否須明示同意之見解不同
德國與愛爾蘭資料保護局對於資料保護指令所規定個人資料(以下簡稱個資)的處理(process),是否須取得資料當事人明示同意,表示不同的見解。德國資料保護局認為臉書網站所提供之人臉辨識(預設加入)選擇退出(opt out consent)的設定,並不符合資料保護指令(Data Protection Directive)對於同意(consent)的規範,且有違資訊自主權(self-determination);然而,愛爾蘭資料保護局則認為選擇退出的機制並未牴觸資料保護指令。
德國資料保護局委員Johannes Caspar教授表示,預設同意蒐集、使用與揭露,再讓資料當事人可選擇取消預設的作法,其實已經違反資訊自主權(self-determination)。並主張當以當事人同意作為個人資料處理之法律依據時,必須取得資料當事人對其個資處理(processing)之明示同意(explicit consent)。對於部長理事會(Council of Ministers)認同倘資料當事人未表達歧見(unambiguous),則企業或組織即可處理其個人資料的見解,Caspar教授亦無法予以苟同。他認為部長理事會的建議,不但與目前正在修訂的歐盟資料保護規則草案不符,更是有違現行個資保護指令的規定。
有學者認為「同意」一詞雖然不是非常抽象的法律概念,但也不是絕對客觀的概念,尤其是將「同意」單獨分開來看的時候,結果可能不太一樣;對於「同意」的理解,可能受到其他因素,特別文化和社會整體,的影響,上述德國和愛爾蘭資料保護局之意見分歧即為最好案例。
對於同意(consent)的落實是否總是須由資料當事人之明示同意,為近來資料保護規則草案(The Proposed EU General Data Protection Regulation)增修時受熱烈討論的核心議題。資料保護規則草案即將成為歐盟會員國一致適用的規則,應減少分歧,然而對於企業來說,仍需要正視即將實施的規則有解釋不一致的情況,這也是目前討論資料保護規則草案時所面臨的難題之一。
本文為「經濟部產業技術司科技專案成果」
歐盟執委會於2020年11月25日公布「歐洲資料治理規則」(Proposal for a Regulation on European data governance (Data Governance Act))草案。本立法草案係延續同年2月發布「歐洲資料戰略」(European data strategy)所提出之立法規劃,針對該戰略所揭示的資料治理政策願景,於制度面予以明文化。而本草案亦為該戰略發布後,首次提出的具體性措施。其制定的主要目的,在於透過強化資料中介機構(data intermediaries)的公信力、以及優化歐盟整體的資料共享機制,來提升資料的可取得性(availability)。 依草案條文內容,其主要立法面向如下: (1)界定本法的立法目的,在於規範歐盟內部再利用公部門所持有之特定類型資料的條件,確立資料共享服務的通報與監督框架,並針對基於利他(altruistic)目的蒐集處理資料之實體(entities),建構自願註冊的制度;另一方面則進行本法的名詞定義。 (2)公部門資料再利用機制:整體性規範由公部門所持有、但涉及商業機密、智慧財產權、個資等之資料再利用的一致性標準。其以保護既有的營業秘密、個資、智財權等為前提,確立該些資料再利用的標準作法(如原則以非專屬形式再利用、可收取合理費用)。有意再利用上述資料的公部門,應於技術面保護其隱私與機密性。 (3)針對資料共享服務供應商的通報機制:要求提供資料共享服務的供應商,於正式對外提供其服務前,應先向各成員國的權責機關通報其業務,藉以增加外界對共享個資與非個資之資料機制的信賴度,同時降低資料共享的交易成本。同時,資料共享服務供應商於資料交換應保持中立,不能為其他目的使用資料;其共享服務應以開放及協作的方式進行,並優化自然人或法人查閱與控制其資料的環境,藉以強化個資自主權。 (4)資料利他主義(data altruism)的明文化:定義非營利、具普遍性共同目標之組織,得向歐盟註冊成為資料利他主義組織。透過此認證制度,增加組織公信力,以推動個人或公司出於公共利益,自願提供資料。同時,授權歐盟執委會可制定通用之歐洲資料利他主義同意書(European data altruism consent form),減少個別收集資料使用同意書之成本。 (5)成員國資料共享權責機關之職責:其應公正、透明、一致、及時履行其職責,監督與實施資料共享服務供應商與資料利他主義組織的通報與註冊機制。例如,其有權要求資料共享服務供應商提交必要訊息,以確保其作為是否符合本法要求。同時,權責機關成員不得為資料共享服務的供應商。 (6)歐洲資料創新委員會(European Data Innovation Board):此為一專家小組之設置要求,負責協助成員國權責機關之作法,遵循資料治理法所訂標準。
澳洲及紐西蘭公路監理機關聯合會發布輔助與自動車輛駕駛之教育與訓練研究報告澳洲及紐西蘭公路監理機關聯合會(Austroads)於2020年3月18日發布「輔助駕駛及自動駕駛車輛之駕駛人教育及訓練報告(Education and Training for Drivers of Assisted and Automated Vehicles)」,該報告目的在於研究有哪些技巧、知識與行為,為目前與未來人們使用具有輔助或自駕功能車輛所需具備的;並檢視註冊與發照之相關機關應擔任何種角色,以確保駕照申請人具有足夠能力以使用相關科技。報告中所關注之輔助與自駕車輛,為具有SAE自動駕駛層級第0至第3級之輕型或重型自駕車輛;目前澳洲道路規範並未禁止第3級之自駕車使用,但駕駛人仍應保持對車輛之控制且不得同時進行其他行為。 報告認為目前之駕駛執照發照架構尚不需改變,但註冊與發照機構仍可於輔助與自動駕駛車輛的學習與評估中扮演一些角色,包含: 鼓勵經銷商、製造商與相關利益團體進行有關如何安全運用相關系統,同時避免過度依賴之教育與訓練。 支持將自駕車技術相關之特定重要資訊整合進所有層級之教育與訓練中,但不使用強制性之評估程序進行能力評估。 應關注如何於澳洲設計規範(Australian Design Rules, ADRs)或澳洲新車評估計畫(Australasian New Car Assessment Program, ANCAP)中規範特定車輛之安全公眾教育、整合重要資訊於既有的知識與技術訓練,以及建立強制之學習計畫。 未來澳洲及紐西蘭公路監理機關聯合會將繼續發展相關計畫以實施本報告中之相關建議,以使教育訓練系統更加完善。
澳洲P2P業者Kazaa面臨存亡的最後通牒澳洲雪梨聯邦法院於本月 24 日對分散式 P2P 業者 Kazaa 發出命令,要求 Kazaa 營運商 Sharman Networks 必須在 10 日內( 12 月 5 日之前),在其提供下載的軟體中加入關鍵字過濾技術( keyword filter system ),否則應立即停止營運。市場人士普遍認為 Kazaa 暫時停止營運的可能性相當地高。 源起於去年底澳洲當地唱片業者控告 Kazaa 一案,今年 9 月 5 日澳洲聯邦法院認定 Kazaa 營運商 Sharman Networks 構成著作權侵害,除判決唱片業者勝訴外,法院並判定 Kazaa 必須在 2 個月內修改其軟體程式,加入相關過濾技術,以避免使用者傳輸違法音樂檔案;另一方面,判決賦予唱片業界得提交 3000 個關鍵字名單 ( 包括了曲目及歌手姓名 ) 要求 Kazaa 加以過濾的權利,該名單並得每兩週加以更新。 直至本月 24 日, Kazaa 仍表示其無法控制高達 100 萬使用者的個人行為,拒絕修改其提供下載的 P2P 軟體,導致聯邦法院不得不下達最後通牒。 Kazaa 營運商 Sharman Networks 雖已提起上訴,但在現時關鍵字過濾技術實施不易之下,澳洲 Kazaa 恐將步上已於本月 7 日關閉的 Grokster 後塵。