美國聯邦通訊委員會暫停去年10月27日通過的寬頻客戶隱私規定
原預計於2017年3月2日生效實行的美國聯邦通訊委員會(Federal Communication Commission,FCC)的寬頻客戶隱私規定(Broadband Consumer Privacy Rules),委員會於2017年3月1日宣布暫停該規範效力,並與聯邦貿易委員會(Federal Trade Commission,FTC)發表共同聲明。
為保障資料安全(data security),聯邦通訊委員會於2016年10月27日,以寬頻網路服務提供者(broadband Internet Service Providers,ISPs)及其他電信營運商為規範對象,要求須給予客戶有更多選擇去決定自身資料如何被分享和使用,除將ISP所蒐集得使用及分享的資料分為三類,建立客戶同意要件,尚設立新的提醒要件及保密性違反之通知等。該新的隱私規範試圖與聯邦貿易委員會的規範做區隔,除管制對象不同,管制架構上,聯邦貿易委員會要求業者在蒐集及利用個人資訊時,須符合公平資訊實施原則(Fair Information Practice Principles,FIPPs)之準則(guidelines):通知(notice)、選擇(choice)、讀取(access)、安全(security)。
通過之際產生的爭議,包含聯邦通訊委員會有無管制權限,及實行後可能與聯邦貿易委員會管制架構並行而造成疊床架屋、混淆大眾等的問題;此外,聯邦通訊委員會收到眾多請願,要求重新考慮該規範之實行。請願理由在於該規範之實行將會造成寬頻網路服務提供者及其他電信營運商為了要遵循規範將承受巨大的成本與負擔,並且這些成本與負擔與公眾利益相違背,將會造成不可回復的損害。
在接受請願討論後,聯邦貿易委員會做出暫停實施的決定,認為有關保護資料安全的規範要件需要重新思考,其理由在於:(1)消費者若受到兩種不同的隱私管制方式,會破壞消費者對於線上隱私安全一致性的期待;(2)不應使寬頻網路服務提供者及其他電信營運商遭受重大且不必要的遵循成本。
聯邦通訊委員會也與聯邦貿易委員會共同發表聲明,其聲明提及:聯邦通訊委員會與聯邦貿易委員會皆有責保護美國消費者的線上隱私,然而最好的管制方法,應該是透過一個全面性且一致性的架構。資訊隱私之保護不應當有因管制對象不同而有差別性,況且其中差異僅有專業人士才能辨別出,就消費者保護來說,並行兩道不同管制只會造成混淆,毫無益處。這也是為何當聯邦通訊委員會片面剝奪聯邦貿易委員會的管制權限而引發批評聲浪。對於寬頻提供者應保護隱私與資料安全之要求,應回歸至聯邦貿易委員會,由於國家對網際網路空間的管制,上網行為應該要適用一樣的規則,並且受到同樣的專責機關管制。除此之外,聯邦通訊委員會與聯邦貿易委員將共同合作致力於協調對寬頻提供者的隱私規範,該規範將會同所有與數位經濟相關的公司遵循的標準。線上世界技術中立(technology-neutral)的隱私框架之一致性,方能對消費者帶來最佳利益。
本次聯邦通訊委員會迅速暫停實施的隱私規範,顯現出美國對於保障隱私管制的重視性極高,美國針對網路生態中的不同公司,寬頻網路服務提供者及其他電信營運商,例如Comcast、Verizon、AT&T等;網站或其他邊緣服務商(edge service),例如Google、Facebook、Amazon等,將會有何種一致性的資料安全規範,值得持續關注。
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
陳蔚菁
法律研究員 編譯整理
FCC, FCC Stays Data Security Regulation from Broadband Privacy Order, https://www.fcc.gov/document/fcc-stays-data-security-regulation-broadband-privacy-order (last visited Mar. 06, 2017).
FTC, Fair Information Practice Principles,https://web.archive.org/web/20090331134113/http://www.ftc.gov/reports/privacy3/fairinfo.shtm(last visited Mar. 10, 2017)
繼歐盟於 2006 年通過資料保存指令( Directive on the retention of data )後,美國司法部亦開始關注資料保存的議題,但不同於英歐盟資料保存之目的乃著眼於對抗恐怖主義及打擊嚴重犯罪,美國資料保存的目地則偏重於根除兒童色情相關的問題。 為因應科技時代的犯罪, 檢察官常需要透過 ISP 業者提供客戶通聯紀錄等資訊以協助犯罪偵察 , 因此美國在 United States Code, Section 2703(f) 便早已規定 , 有線或電子通信服務業者必須配合政府要求提供調查犯罪所須的資訊。但由於該法並未明白要求業者應主動收集哪些項資訊,因此美國 ISP 業者僅保存與商業利益有關之網路使用記錄,美國司法部長 Alberto Gonzales 4 月 20 日於國家兒童權益保護中心( National Center for Missing and Exploited Children , NCMEC ) 表示,目前 ISP 業者能提供的資料相當有限,這相當程度地阻礙犯罪調查工作的進行,因此他認為應研擬更利於法庭證據取得之資料保存法令。 為避免人權團體以資料保存侵害個人的隱私權為由,而妨礙立法的進度,因此美國目前資料保存法令的推動方向可能有兩種不同的發展方向,其一是僅由 ISP 業者記錄特定期間內民眾的活動紀錄,另一種方向則是與歐盟相似,保存電話通聯、網頁瀏覽以及 mail 、即時通訊等內容。
日本2017年5月30日修正施行之個人資料保護法,對於家長會蒐集、處理、利用個人資料之影響依日本2017年5月30日修正施行之個人資料保護法的最新規定,家長會、同學會、管委會等,就個人資料的蒐集、處理、利用,應與以蒐集、處理、利用個人資料為業之公司行號,在法律上承擔相當之責任、義務。 因此自2017年5月30日起,家長會蒐集、處理、利用個人資料,需要注意以下四點: 一、經當事人請求,應刪除其個人資料。 修正後的個人資料保護法施行後,明知未經或不確定是否經學生監護人同意,而取得其個人資料,都是違法的行為。但目前已經取得的個人資料,即使明知未經或不確定是否經學生監護人同意,也不需要立即刪除。惟若當事人請求刪除,則必須立即刪除。 二、學校應善盡告知之義務,取得學生監護人之同意後,方得將其個人資料轉交家長會蒐集、利用、處理,。 修正後的個人資料保護法允許由學校取得學生監護人之同意後,將其個人資料轉交家長會蒐集、利用、處理。但如果校方未充分盡到告知義務,則有違法之虞。實務上在九州的熊本曾經發生過這樣的案例,由於家長會未依法蒐集、處理、利用其個人資料,監護人提起告訴,最後雙方在二審達成和解。 三、經過監護人同意,方得將其個人資料造冊並刊登照片 由於須明確取得學生監護人之同意,方得將其個人資料造冊並刊登照片。因此為避免學校未善盡告知義務,建議家長會直接請監護人填妥加入家長會之同意書,並於同意書上載明授權蒐集、處理、利用其個人資料之範圍。 四、遵從個人情報保護委員會的指導 若家長會有非法蒐集、利用、處理個人資料之虞,個人情報保護委員會可以檢查並限期改正。屆期如未改正,可裁處罰金或懲役。
美國FTC預告修訂《預先通知默示同意規則》,保障消費者之自主選擇權美國聯邦貿易委員會(The Federal Trade Commission, FTC)於2026年3月13日發布《預先通知默示同意規則》(簡稱默示同意規則)(Rule Concerning the Use of Prenotification Negative Option Plans)之「法規制定預告」(Advance Notice of Proposed Rulemaking, ANPRM),期望針對現代消費市場中廣泛存在的商業模式,如健身房、數位串流之預設自動續約與試用轉付費機制等進行全面規範,並將現行不完整且分散的消保法規加以整合,建立全國性標準。 FTC曾於2024年底修訂默示同意規則,後遭聯邦上訴法院以程序瑕疵為由撤銷。因應法院要求,FTC依法重啟修法程序,就以下核心議題廣徵意見: (1)產業現況與普及性:企業透過「默示同意」方式行銷產品和服務的規模,以及在各行業中的具體運作模式。 (2)市場不當作法:包含哪些情況未取得消費者「明確知情同意」便逕行收費,以及如何阻礙消費者取消訂閱等。 (3)可能的監管方式:修訂現行規則、訂立新法,或實施替代方案(例如教育消費者和企業如何避免「默示同意」行銷行為)。 FTC已於2026年4月13日完成首輪意見徵集,後續將評估是否提出正式修正條文並進行第二輪意見徵集。美國監管機關未來在審查契約與數位服務介面時,將更嚴格審視「暗黑模式」(Dark Patterns)設計,避免消費者被迫加入不想要或無法取消的訂閱服務,持續為無意訂購的產品或服務支付費用。
英國BSI發布自駕車發展與評估控制系統指引英國標準協會(British Standards Institution, BSI)於2020年4月30日發布「PAS 1880:2020:自駕車控制系統開發及評估指引(PAS 1880:2020: Guidelines for developing and assessing control systems for automated vehicles)」,該文件提供一系列的準則,提供自駕車研發者於發展控制系統時可安全有效的進行布建;本文件所涵蓋之自駕車類型主要為於(研發者)所設計及規劃之特定運行範圍內(operational design domain,以下簡稱ODD)下不需人工介入即可運送旅客與貨物者。 指引中就自駕車之控制系統設計進行分類,並提出研發者應針對不同目的與重點進行說明以及相關應遵循事項,其中應包含以下項目: 任務:自駕車之任務應被定義。 ODD:自駕車之ODD應被定義並且應可涵蓋其所有執行任務之面向。 感知運作:於任務中感知運作系統執行時,自駕車應可判斷其是否遵循ODD之範圍,並可提供相關資料予決策系統。 決策:當決策系統執行時,自駕車應可實施所有為達成任務所決策規劃之活動。 控制運作:當控制運作系統執行時,自駕車應可於正常情況下控制其動作以完成任務,並可於無法執行正確行動時採取合適之措施。 監控運作:當監控運作系統執行時,於整個任務過程中,自駕車應可監控其自身之運作。 人身安全、系統安全與有效(Safe, secure and effective):自駕車應可於所有時刻皆保持運作之人身安全、系統安全性與有效性。