歐盟理事會將嚴格執行資料保護基本權
歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。
是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。
依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰:
(1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。
(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。
(3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。
(4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。
六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。
- Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such
- Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document
- Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected
林其樺
專案經理 編譯整理
Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected, http://www.passwordprotectedlaw.com/2015/05/strong_eucouncil_enforcement/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=View-Original (last visited May 29, 2015 )
Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document, http://www.out-law.com/en/articles/2015/may/three-tiered-system-of-data-protection-fines-being-considered-by-eu-law-makers-says-leaked-document/ (last visited May 29, 2015)
Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter VIII, COM/2012/011, available at http://www.statewatch.org/news/2015/may/eu-council-dp-reg-chap-VIII-8371-15.pdf (last visited May29, 2015)
美國國會於今年5月針對美國發明法(Leahy-Smith America Invents Act,AIA)第18條提出擴張性修法。美國發明法第18條係規範專利改革過渡期間涵蓋商業方法專利之複審程序(Transition Program for Cover Business Method Patents Review, CBM),並且定有落日條款,預計將在2020年9月16日失效。本次修正案研擬將落日條款刪除以外,將適用對象從原先適用於金融產品或服務(a financial product or service)之商業方法專利(Business Method Patents)修正為適用於企業、商品或服務(used in the practice, administration, or management of enterprise、product or service)之商業方法專利,此將擴張商業方法專利複審程序之適用範圍。 奇異電子(GE Co.)、3M(3M Co.)、禮來(Lilly & Co.)、施樂(Xerox Corp.)等多家產業界知名公司於今年(2013)9月19日發出聯合信函反對美國國會此次針對美國發明法第18條的擴張性修法。信中表示本次修法將意味著數據處理專利(Data Processing Patents)等尖端的癌症治療方法到汽車安全系統等都可能包含在內,可提起專利侵權的範圍將擴大至難以界定的程度,再者刪除落日條款,會造成諸多不確定性與風險阻礙科技創新的持續投入。 然而,產業界並非意見一致,諸如谷歌(Google Inc.)、臉書(Facebook Inc.)、沃爾瑪(Wal-Mart Stores Inc.)等知名公司則立場相左,早於今年7月即率先表示贊成,聲明此次修法提供創新者一個積極保護自身專利的具體手段。由此足見歐巴馬政府與立法者在專利法制改革中,必然要面對難以預測的產業效應和衝擊,從而增加其制度改革策略思考和制度設計的難度。
美國參議院通過《兒童網路隱私保護法》與《兒童網路安全法》,有望加強兒少網路安全保護力道在數位時代,兒童及青少年長時間使用網際網路已成為生活常態,然而,兒少在高度使用社群媒體的同時,也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」(toxic content)。在享受網路便利性的同時,兒少也面臨遭受騷擾、霸凌,被迫轉學甚至輕生等困境,心理健康面臨危機。為解決前揭問題,美國參議院於2024年7月30日通過《兒童網路隱私保護法》(Children’s Online Privacy Protection Act, COPPA)修正法案及《兒童網路安全法》(Kids Online Safety Act, KOSA)之立法,加強兒少網路安全之保護。 COPPA早於1998年制定,並於2000年開始施行,該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範,惟自訂定後迄今約25年,均未因應時代變遷做出調整,終於在本次會期提出修正草案。另KOSA之立法重點,則在於要求網路平台業者對兒童預設提供最高強度隱私設定,並建立控制措施,提供父母保護子女及認知到有害行為的機制,課予網路平台業者預防及減輕兒童陷於特定危險(如接收宣傳有毒內容之廣告)之義務等。此二法案經參議院投票通過後,合併為一案送交眾議院審核,重點說明如下: 1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年(下稱兒少),禁止網路平台業者在未經兒少使用者同意情況下,蒐集其個人資料。 2.禁止網路平台業者對兒少投放定向廣告(targeted advertising)。 3.為保護「合理可能會使用(reasonably likely to be)」網路平台的兒少,調整法案適用的「實際認知(actual knowledge)」標準,將適用範圍擴及至「合理可能被兒少使用(reasonably likely to be used)」的網路平台。 4.建立「清除鈕(eraser button)」機制,使兒少及其父母得以要求網路平台業者在技術可行情況下,刪除自兒少所蒐集之個人資料。 5.要求商務部(the Secretary of Commerce)於新法頒布後180日內,應成立並召集兒童網路安全會議(Kids Online Safety Council),進行包含識別網路平台對兒少造成危害之風險,提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。 觀本次可謂美國對於兒少網路保護之重大進展,惟此法案後續是否能順利提請總統簽署成法,正式具約束效力,仍須持續關注眾議院未來動向。
歐盟執委會公布了行動醫療(mHealth)的公眾諮詢結果行動醫療(mHealth)是近期以來歐盟積極發展的目標之一,透過各類的行動裝置搭載應用程式,藉以觀測使用者的生理狀況,進而達到促進健康之目的,特別在綠皮書(Green Paper)提出之後,對於行動醫療的推廣策略,已出現了更為清楚的脈絡。 日前,歐盟執委會針對了行動醫療將可能帶來的各類問題,進行了一次公眾諮詢(public consultation),並在2015年1月公布了調查的結果。此次受訪的對象來自於政府機關、醫療機構、病人組織與網路業者,共計有211名受訪人。在各類的問題上,有97位受訪者認為,行動醫療服務必須具備完整的隱私保全機制,才能夠獲得用戶的信任,此外也有一半的受訪者認為政府應該加強此類資料管理的執法強度;亦有近半的受訪者表示,此類應用程式都應該通過「病人安全」(patient safety)的認證。 相對而言,網路業者則認為此類服務目前還難以進入市場,因為缺乏明確的管理框架。71名受訪者也表示,行動醫療服務的安全性、成效與相關法律責任,都還有待釐清。21名受訪者也認為,行動醫療的成效究竟如何,應該還需要更多的研究證明。 而歐盟委員會將在2015年與相關團體討論未來的政策走向,此法案也將是2015年5月議程中重要的一項議題。
智慧財產權管理標準之建立-由管理系統標準談起(下)