無線網路溢波盜用之法律議題初探

　　英國於今年5月26日通過「隱私及電子通訊規範」（The Privacy and Electronic Communications Regulations），實現隱私監督之責，以管控cookies或是侵害個人資料之行為。   　　新法納入歐盟於2009年e隱私指令中所決定之改變，旨在讓網路使用者自行決定資訊服務業或其他事業能儲存多少使用者之紀錄。但業者對此項新要求表示困惑，因此英國之隱私權主管監督機關資訊專員公署（Information Commissioner's Office，ICO）最近出版一份指引，指導網站如何遵守新法使用cookies功能之規定及履行告知義務之要求。然而指引中並未強制規定告知內容與方式，因此業者仍可自行決定如何最有效地履行告知義務。   　　ICO本週表示新法尚有一年之緩衝期間，讓業者調整使用cookies功能之方式。政府表示目前仍在與瀏覽企業者討論，如何透過瀏覽器頁面之設置取得當事人之同意，而此部分尚未規定在新法中。   　　「政府的指引太晚公布了，並且缺乏明確性，又無法確定新法是否能允許以瀏覽器技術作為解決之方法，這樣會讓業界無所適從」，任職於Pinsent Masons法律事務所的科技法律專家Clarie McCracken說，「此種非決定性之指引會使業者無法找到標準作法以避免觸犯新法。」。   　　ICO認為企業在新法正式施行前，最好趕快表明其如何使用cookies功能並制定相關規定以遵守新法。   　　新法同時要求特定企業當其所蒐集之個人資料遭受駭客攻擊或外洩時，其必須要告知消費者。根據新法，個人資料遭受侵害之定義為：某種安全狀態遭受攻擊，導致與公共電子通訊服務有關之個人資料被故意或不法毀損、滅失、竄改、越權揭露或存取、傳遞、儲存或其他相關利用。當上述情事發生時，公司必須通報ICO，說明大致情況及可能產生之結果，並提出公司將採取之因應措施，同時告知受害之消費者。

　　世界衛生組織（World Health Organization, WHO）於2020年8月24日公布「COVID-19疫苗全球取得機制（COVID-19 Vaccines Global Access Facility, COVAX）」，由全球疫苗與預防注射聯盟（Global Alliance for Vaccines and Immunisation, GAVI）、流行病預防創新聯盟（Coalition for Epidemic Preparedness Innovations, CEPI）及WHO共同主導，與多家疫苗廠商合作，協助取得多種疫苗組合的授權及核准，促進COVID-19全球疫苗研發及公平分配。 　　COVAX是WHO「獲取COVID- 19工具加速計畫（Access to COVID-19 Tools Accelerator, ACT Accelerator）」下的疫苗分配機制。ACT-Accelerator透過匯集各國政府、衛生機構、科學界、產業界、民間團體的力量，共同合作開發創新診斷方法、加速融資研發治療工具、制定公平分配與交付疫苗機制、確保衛生系統與社區網路連接等四大領域，以盡快結束大流行疫情。 　　COVAX作為COVID-19疫苗聯合採購機制，預計2021年底要提供20億劑疫苗，籌資181億美元；由GAVI與高收入國家簽訂投資契約，透過全球融資機制採購9.5億劑疫苗，同時搭配WHO制定的疫苗倫理分配架構，使COVAX能夠集中各國經濟體的購買力，保證候選疫苗的採購數量，鼓勵擁有專業知識的疫苗廠商盡速投入大規模的新疫苗生產，確保參與COVAX的國家及經濟體，皆能迅速、公平公正地取得大量有效的疫苗。 　　COVAX承諾將為全球92個中低收入經濟體提供參與COVAX的融資工具；超過80個高收入經濟體已提交參與COVAX的意向書，將從公共財政預算中編列全球疫苗研發的捐助資金，並與92個中低收入國家結成疫苗合作夥伴。透過COVAX機制產出的疫苗，將會按照參與國人口比例公平地分配給所有國家，並且優先提供疫苗給衛生醫療工作者、老年人及疾病弱勢群體；隨後再根據各國家需求、易受感染程度與COVID-19威脅情況，提供更多劑量的支援。

　　歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則（一般資料保護規則）」（Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR），該草案內容包括行政罰鍰三審制（three-tiered system）。凡故意或過失違反歐洲資料保護基本權之企業，情節重大者，可能招致鉅額行政罰鍰，草案之裁罰性措施將讓從業者更加重視資料保護法益。 　　是否對違反GDPR之侵權行為裁處罰鍰，會員國政府有裁量權限；已受刑事制裁者，政府亦得免除罰鍰以避免重複處罰。資料保護主管機關（data protection authorities, DPAs）依三審制判斷，確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括：第一審，是否對資料當事人之資料要求延遲、變更回應；第二審，是否對資料當事人、DPAs盡資訊透明義務；第三審，各種具體侵權行為，包括對於資料取得缺乏法律依據、未能即時告知資料違反情事，或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 　　依草案，DPAs審酌罰鍰額度時，應依下列計算罰鍰： 　　(1) 企業故意或過失未能於一定期間內，回應資料當事人之資料查閱請求者，裁處上一會計年度全球總年營業額0.5%罰鍰。 　　(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊；或未能對消費者充分揭露個人資料蒐集、處理的目的者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(3) 企業故意或過失未能維護消費者權益，更正或刪除消費者資料，違反GDPR所保障之消費者「被遺忘權」者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(4) 企業故意或過失處理個人資料，行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域，該區域沒有適當安全資料保護者，就企業上一會計年度全球總年營業額裁處2%罰鍰。 　　六月中旬，歐盟各部長將就歐洲議會、歐盟理事會的提案，就罰鍰額度進行最後協商，未來將持續關注草案協商後續發展。

　　美國白宮於2018年3月發布〈總統管理方案（President’s Management Agenda）〉，其中發展「聯邦資料戰略（Federal Data Strategy）」，將資料作為戰略資產，藉以發展經濟、提高聯邦政府效能、促進監督與透明度，為方案中重要之工作目標之一。「聯邦資料戰略」之架構上主要包括四個組成部分，以指導聯邦資料之管理和使用：1.使命宣言：闡明戰略之意圖與核心目的；2.原則：有十大恆定原則對於機關進行指導；3.實作規範：有四十項實作規範指導機關如何利用資料之價值；4.年度行動計畫：以可衡量之活動來實踐這些實作規範。 　　於2019年12月23日，〈2020年行動計畫〉之最終版正式發布，其將建立堅實之基礎，在未來十年內支持戰略之實踐。詳言之，〈2020年行動計畫〉之內涵主要包含三大部分與二十個行動： 機關行動：旨在支持機關利用其資料資產，包括六大行動：(1)行動1：確認用於回答對於機關而言具有優先性之問題所需之資料；(2)行動2：將機關之資料治理制度化；(3)行動3：評估資料與相關基礎設施之成熟度；(4)行動4：確認提高員工資料技能之機會；(5)行動5：確認用於機關開放資料計劃之優先資料資產；(6)行動6：發布與更新資料庫存。 實踐共同體之行動：由特定機關或一群機關就一共通主題所採取之行動，可加速並簡化現有要求之執行，包括下列四大活動：(1)行動7：成立聯邦首席資料官委員會；(2)行動8：改善用於AI研究與發展之資料與模型資源；(3)行動9：改善財務管理資料標準；(4)行動10：將地理空間資料實務整合至聯邦資料事業中。 共享解決方案行動：為所有機關之利益、由單一機關或委員會試行或發展之活動：(1)行動11：開發聯邦事業資料資源儲存庫；(2)行動12：創建美國預算管理局聯邦資料政策委員會；(3)行動13：制定策畫之資料技能目錄；(4)行動14：制定資料倫理框架；(5)行動15：開發資料保護工具組；(6)行動16：試行一站式之標準研究應用程序；(7)行動17：試行一種自動化之資訊收集評論工具，該工具支持資料庫存之創建與更新；(8)行動18：試行用於聯邦機構之增強型資料管理工具；(9)行動19：制定資料品質評估與報告指引；(10)行動20：發展資料標準之儲存庫。 　　〈2020年行動計畫〉確定機關之初步行動，其對建立流程、建立能力、調整現有工作以更好地將資料作為戰略資產至關重要。未來之年度行動計畫將會在〈2020年行動計畫〉之基礎上進一步發展出針對聯邦資料管理之協調方案。