執法部門無搜索令要求提供手機位置記錄並未違憲
美國聯邦第六巡迴上訴法院於2016年4月13日就U.S. v. Timothy Ivory Carpenter & Timothy Michael Sanders案作出判決,裁定執法機關在未取得搜索令的情況下要求出示或取得手機位置記錄,並不違反憲法增修條文第4條。美國憲法增修條文第4條規定:「人人具有保障人身、住所、文件及財物的安全,不受無理之搜索和拘捕的權利;此項權利,不得侵犯;除非有可成立的理由,加上宣誓或誓願保證,並具體指明必須搜索的地點,必須拘捕的人,或必須扣押的物品,否則一概不得頒發搜索令。」
本案事實係聯邦調查局取得兩名涉及多起搶劫案之嫌疑人的手機位置,而根據手機位置之相關資料顯示,於相關搶案發生之時間前後,該二名嫌疑人均位於事發地半英哩至兩英哩的範圍內,故該二名嫌疑人隨後被控多項罪名。在肯認與個人通訊相關之隱私法益的重要性的同時,聯邦第六巡迴上訴法院認為,「縱使個人通訊之內容落於私領域,但是為了將該些通訊內容自A地至B地所必須之資訊,則非屬私領域之範疇。」聯邦第六巡迴上訴法院拒絕將憲法增修條文第4條的保護延伸至像是個人通訊或IP位址等之後設資料(metadata),其原因在於,蒐集此等資訊或記錄並不會揭露通訊的內容,因此本案之嫌疑人就聯邦調查局所取得之資訊並無隱私權之期待。法院認定,此等行為不同於自智慧型手機取得資訊,因為後者「通常而言儲存了大量有關於特定使用人之資訊。」
2015年11月9日,美國聯邦最高法院拒絕審理Davis v. United States案,該案係爭執搜索令於執法部門要求近用手機位置資料時之必要性。加州州長Jerry Brown於2015年10月亦簽署加州電子通訊法(California Electronic Communications Act, CECA),該法禁止任何州政府的執法機關或其他調查單位,在未出示搜索令的情況下,要求個人或公司提供具敏感性之後設資料。
本文為「經濟部產業技術司科技專案成果」
王自雄
主任 編譯整理
UNITED STATES COURT OF APPEALS FOR THE SIXTH CIRCUIT, United States v. Carpenter, et al. http://www.ca6.uscourts.gov/opinions.pdf/16a0089p-06.pdf (last visited Jun 15, 2016).
Supreme Court of the United States, QUARTAVIOUS DAVIS, Petitioner v. UNITED STATES OF AMERICA, Respondent, http://www.scotusblog.com/wp-content/uploads/2015/08/Q-Davis-filed-cert-petition-only.pdf (last visited Jun 15, 2016).
GOVERNOR BROWN ISSUES LEGISLATIVE UPDATE, https://www.gov.ca.gov/news.php?id=19156 (last visited Jun 15, 2016).
SB-178 Privacy: electronic communications: search warrant, https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201520160SB178 (last visited Jun 15, 2016).
歐盟執委會於今(2020)年2月19日發布「歐洲資料戰略」(A European strategy for data),宣示繼前一期「歐洲數位單一市場」戰略的基礎下,將於新一期戰略建立一個真正的歐洲資料空間及資料單一市場,以解鎖尚未被利用的個人資料及非個人資料,使資料能夠在歐盟內部、跨部門和跨領域自由流動,並使所有公部門、公民,或新創、中小、大企業都可存取資料及利用。 本戰略就此提出四大戰略行動,重點如下: 1、資料存取(Data Access)和利用的跨部門治理框架 (1)2020年第四季提出「共同歐洲資料空間」(common European data spaces)的治理立法框架:A.加強共同資料空間及其他跨公私部門資料利用方式的治理機制;B.於GDPR基礎下,基於科學研究目的利用敏感個資時,能較容易決定可以由誰如何利用哪些資料;以及使個人更容易同意其個資的公益目的利用。 (2)2021年第一季通過開放資料指令(Directive (EU) 2019/1024)的高價值資料集「施行細則/執行法」(implementing acts)。 (3)2021年提出《資料法》(Data Act)草案促進企業對政府的資料共享;以及解決現今企業間資料共享常遇到的障礙,例如多方合作建置資料時(如物聯網),釐清各方的資料使用權限及各自的法律責任。 2、推動方式:投資歐洲資料空間重大項目,以加強歐洲處理和使用資料的基礎設施及能力、加強資料互通性等。 3、加強個人資料管理:在GDPR第20條的可攜權(portability right)基礎下,於《資料法》賦權個人更能控制自己被政府及企業所掌握的個資,並使個人能自己決定由誰存取和利用。另外,將由數位歐洲計畫開發「個人資料空間」。 4、促進戰略性產業領域及公益領域的共同歐洲資料空間:歐盟執委會將協助建立包含「共同歐洲工業(製造)資料空間」(Common European industrial (manufacturing) data space)在內的9種領域共同歐洲資料空間,本戰略亦於附件介紹各領域的資料共享基礎背景。 另外,雖非戰略主軸,但文件內容及新聞稿皆提及,執委會將於2020年第四季提出《數位服務法》(Digital Services Act),為所有企業進入資料單一市場建立明確的規範、審查現有政策框架、加強線上平台的責任及保護基本權利。 總而言之,本戰略所欲推展的各項行動,將促進公民、企業組織、研究人員和公部門能更輕易的獲得和利用彼此的資料,進而確保歐盟成為資料驅動社會的模範和領導者。
FCC主席Julius Genachowski警告美國恐有頻譜危機美國聯邦通訊傳播委員會(Federal Communications Commission, FCC )主席Julius Genachowski表示,美國政府正努力規劃商業用途頻譜(spectrum)供給量,以滿足通訊科技服務發展需求。惟諸多產業專家預測無線通訊服務運用導致頻寬需求快速增加,無線通訊擁塞情況恐將嚴重惡化。 儘管FCC已藉頻譜拍賣釋出不少頻譜,且2009年6月全美廣電數位化後(DSO),一定要件開放業者毋須取得頻譜執照便可使用所謂的「閒置頻譜」(interleaved/white space),但是頻譜匱乏的問題仍無法解決。 對此,FCC允諾將會弭平頻譜供給需求間的落差,並且列為FCC的首要任務之一。未來FCC將透過非商用頻譜重分配與鼓勵發展更有效率使用頻譜之科技,以期解決頻譜不足的窘境。 產業界與公眾安全通訊相關組織呼籲FCC應提供更多頻譜供無線通訊服務使用。不過FCC亦要求資通訊產業於研發行動寬頻新產品時,須設想頻譜供給不足,研發更有效率使用頻率的通訊技術。產官學三者間,必須相互配合與協調(尤其是業者間的「不歧視原則」),方能有效解決網路通訊擁塞及頻譜匱乏問題。
WhatsApp因違反GDPR遭愛爾蘭資料保護委員會開罰2.25億歐元愛爾蘭資料保護委員會(Data Protection Commission,DPC)於今(2021)年9月宣告WhatsApp Ireland Limited(下稱WhatsApp)違反歐盟一般資料保護規則(General Data Protection Regulation,GDPR)並處以高額裁罰。 DPC自2018年12月起主動調查WhatsApp是否違反GDPR下的透明化義務,包括WhatsApp透過其軟體蒐集用戶與非用戶的個人資料時,是否有依GDPR第12條至第14條提供包括個資處理目的、法律依據等相關資訊,以及該資訊有無符合透明化原則等,其中又以WhatsApp是否提供「如何與其他關係企業(如Facebook)分享個資」之相關資訊為調查重點。 歷經長時間的調查,DPC作為本案領導監管機關(lead supervisory authority),於2020年12月依GDPR第60條提交裁決草案予其他相關監管機關(supervisory authorities concerned)審議。惟DPC與其他相關監管機關就該裁決草案無法達成共識,DPC復於今年6月依GDPR第65條啟動爭議解決程序,而歐洲資料委員會(European Data Protection Board)在同年7月對裁決草案中的疑義做出有拘束力之結論,要求DPC提高草案中擬定的罰鍰金額。 DPC最終在今年9月2日公布正式裁決,認定WhatsApp未依第12條至第14條提供資訊予「非軟體用戶」之資料主體,而「軟體用戶」的部分也僅有41%符合規範,嚴重違反GDPR第5(1)(a)條透明化原則。據此,以母公司Facebook全集團營業額作為裁罰基準,DPC對WhatsApp處2.25億歐元之罰鍰,為GDPR生效以來第二高的裁罰,並限期3個月改善。
英國資訊委員辦公室(ICO)發布當事人近用請求權實務準則英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2013年8月8日發布當事人近用請求權實務準則(subject access code of practice),以協助資料控制者遵循1998年資料保護法(Data Protection Act 1998,DPA)有關當事人行使近用權(access right)之規定。 根據DPA,任何資料主體都有權利接觸、查詢其被資料控制者擁有之個人資料,即當事人向資料控制者請求近用其個人資料之權利。當事人近用請求權實務準則闡明資料主體的查閱請求權、製給複製本請求權等權利,與資料控制者回應當事人近用請求權的責任,該項權利允許當事人查詢其信用卡紀錄、健康紀錄等資料,資料控制者一旦收到當事人請求,必需於40天內回覆。 ICO同時發布10項簡易步驟,以協助資料控制者衡量回應當事人近用請求權。內容包括:1.確認當事人提出之請求是否為當事人近用請求權;2.確保有足夠資訊可識別請求者的身分;3.若需要更多資訊以釐清請求者之需求,立即向請求者提出;4.若需收費,及時向請求者提出;5.確認是否有請求者需求的資訊;6.即使紀錄不正確或令人尷尬,都不要試圖更改該紀錄;7.衡量紀錄中是否含有他人資訊;8.確認是否有提供資訊之義務;9.確認能解釋資訊中的複雜名詞;10.於適當的情形下,永久保存回覆當事人資訊的副本。 這項實務準則將協助資料控制者更即時且有效地處理當事人對其資料近用請求之相關事項,同時證明資料控制者係以公開且透明之方式妥善管理其所蒐集之顧客資料。