英國通過調查權力法案(Investigatory Powers Act 2016)
英國於2016年11月底通過「調查權力法案」(Investigatory Powers Act 2016),該法案的部分內容已於同年12月30日生效,主要係將目前執法機關和情資單位之通信及相關資料蒐集的權力整併,並訂定了通信監察書(Interception Warrants)授權及監督之方式,以及要求業者保留網路連結記錄以供執法機構識別網路使用者。法案共分為九個章節,分別為:
1.一般隱私保護
2.合法監聽通信
3.取得通信資料之授權
4.通信資料之保留
5.設備干擾
6.大量授權
7.大量個人資料之授權
8.監督措施
9.其他及一般規定
調查權力法案通過後,使英國政府得以合法的監控人民許多行為,包括蒐集、查看民眾的網絡瀏覽記錄、通訊資料、通聯紀錄及相關個人資料等,而監控範圍不再限於個體,並擴大至全體民眾。此外,必要時警方及安全部門亦得破解或遠端遙控人民之電腦或手機。法案並要求通信服務提供商(Communication Service Providers, CSPs)將民眾之網路使用紀錄相關資料保存至少12個月,而近50個不同之機關都能夠查看該些資料,如警察局、國防部、司法局、金融行為監管局,甚至與國家安全較無關連的食品標準局及勞動和退休金部等部門,均有查看之權限。
法案目前生效的部分包括政府蒐集和保留民眾資料之權力,以及得強迫握有民眾資料的科技公司或相關單位,將所掌握關於民眾的資料交給情報機構。
英國政府認為,在面臨現今高度安全威脅之情況下,網路已成為恐怖份子用來犯罪的新工具,故有必要讓執法與情資單位擁有維護人民安全的權力,確保政府具備對抗該挑戰的能力,使情資單位得以阻止新型態之犯罪並追訴參與犯罪之相關人員。
然而,該法案已遭數萬人民連署反對,要求廢除該法案,因人民於網路上進行的各樣活動,均將遭受國家的監視,而負責機關也將面臨負荷龐大的資訊處理量,且一般人民之個人資訊亦將暴露在巨大的風險下。
目前法案部分內容尚未生效,如網路連線紀錄(Internet Connection Records)的蒐集,因相關安全機制尚未建立完成。但可想而知,該法案所造成的爭議,已成為英國民眾所關注之焦點,而未來全面生效後,英國政府該如何面對這些反對的衝擊,則可繼續觀察。
- Investigatory Powers Act, GOV.UK
- Andrew Griffin, Investigatory Powers Act goes into force, putting UK citizens under intense new spying regime, Dec. 31, 2016
- Rachel Gerber, Rights group launching legal challenge against UK surveillance law, Jan. 10, 2017
- Investigatory Powers Act 2016
- Ryan Daws, EU court limits UK
施弘文
專案經理 編譯整理
Investigatory Powers Act, GOV.UK, https://www.gov.uk/government/collections/investigatory-powers-bill (last visited Jan. 12, 2017)
Andrew Griffin, Investigatory Powers Act goes into force, putting UK citizens under intense new spying regime, Dec. 31, 2016, http://www.independent.co.uk/life-style/gadgets-and-tech/news/investigatory-powers-act-bill-snoopers-charter-spying-law-powers-theresa-may-a7503616.html (last visited Jan. 12, 2017).
Rachel Gerber, Rights group launching legal challenge against UK surveillance law, Jan. 10, 2017, http://www.jurist.org/paperchase/2017/01/rights-group-launching-legal-challenge-against-uk-surveillance-law.php (last visited Jan. 12, 2017)
Investigatory Powers Act 2016, http://www.legislation.gov.uk/ukpga/2016/25/contents/enacted/data.htm (last visited Jan. 12, 2017).
Ryan Daws, EU court limits UK's draconian Investigatory Powers Act, TELECOM TECH NEWS, Dec. 21, 2016, http://www.telecomstechnews.com/news/2016/dec/21/eu-court-limits-uks-draconian-investigatory-powers-act/ (last visited Jan. 12, 2017).
英國衛報( The Guardian )指出,英國對種植基因改造作物之管制規範存在著漏洞。 1998 年歐盟曾經允許一批基因該造玉米在歐盟境內種植,將之列入歐盟的一般性種子目錄( the EU common catalogue of seeds ),該玉米由孟山都生技公司所研發,被稱為 MON 810 ;當時基因改造作物尚未受到大眾的注意,更未引起各國政府對基因改造作物的反省。對此,英國的環境食品農業事務部( Department for Environment, Food and Rural Affairs, Defra )指出對於這批歐盟所允許的基因改造作物,目前並沒有任何的規範可阻止其進口到英國境內,贊成或熱衷種植基因改造作物的人士,也可在不需通知主管機關或鄰近土地之所有人的情況下,合法種植自己希望的基因改造作物。農民只需在銷售或生產此種玉米時,遵守歐盟所頒佈之基因改造溯源與標示相關規則即可。對此,目前英國的環保團體與農民關心的焦點在於,英國目前並沒有區隔基因改造作物與非基因改造作物,及非基因改造作物受到污染時,計算賠償金範圍及數額等之規定,並呼籲英國政府重視此問題。
美國廢止FCC對ISP之隱私權規則2016年10月27日,FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點: 選擇加入(Opt-in):當使用或分享消費者之「敏感資訊」,須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄,以及通訊內容。 選擇退出(Opt-out):對於符合消費者期待的「非敏感資訊」,除非客戶Opt-out,ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外:推定客戶會同意之資訊,例如在客戶與ISP業者建立關係後,不須額外取得寬頻服務或計費之同意。 2016 Privacy Order通過後受到ISP業者大力抨擊,尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分,其認為如此可能扼殺電子商務發展,消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平,因此通過後半年,美國參議院與眾議院分別於2017年3月投票廢止,總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 廢止《寬頻用戶隱私保護規則》之原因為,消費者之個人資料雖可受到保護,但該規則僅適用於寬頻服務提供者與其他電信供應商,並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制,其餘網路服務則由FTC管轄,而FTC對隱私權之規範較為寬鬆,因此可能發生提供不同服務的兩家業者使用同一份客戶資料,受到的管制程度卻不同之情形。 贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範,因消費者能輕易在網站間轉換,卻不能輕易更換ISP,且ISP得以取得消費者在所有網站上之瀏覽資料,但如Google與Facebook等大廠雖非ISP業者,卻亦能取得不限於自身網站的客戶瀏覽資料。 由於《寬頻用戶隱私保護規則》已正式廢止,FCC將不得再通過其他相同或實質上相同之規範,對ISP業者之管制回歸《傳播法案》第222條,亦即,對於網站瀏覽與應用程式使用紀錄之使用或分享,不須取得客戶之事先同意。
大倫敦政府推動城市資料市集,期尋求資料利用及隱私保護間之平衡,建立民眾對資料市集之信賴資料利用之層面越來越廣,且無論是基於商業或公益目的,產生越來越多難題。穿戴式裝置及物聯網的發展,亦使得資料之蒐集利用及界線等問題更顯其重要性。有鑑於此,大倫敦政府(Greater London Authority, GLA)在今(2016)年3月公布「倫敦城市資料策略」(London City Data Strategy),積極推動「城市資料市集」(City Data Market),期將倫敦打造成世界首屈一指的智慧城市。 增加大眾對資料市集之信賴並減少疑慮乃「倫敦城市資料策略」之一環,近年在英國有一系列新法上路,除新的歐盟資料保護規範(GDPR)外,英國國內有關「開放銀行」(open banking)之新規範,以及已有能源及電信公司參與之MiData initiative等,上述機制均為促使個人更容易掌握其個資被利用之狀況。 大倫敦政府亦推動「倫敦資料交易」(London Data Exchange),大眾可利用此一機制掌握其個資流向。其中有關建置新的數位符號(digital tokens of proof),使民眾未來可利用此等符號證明符合特定資格,例如在道路受檢時,毋須拿出駕照說明個人姓名、地址、出生年月日等資料,利用該等符號,便可判定符合駕駛年齡。 近期,大倫敦政府透過資料科學合作夥伴(Data Science Partnership)推動資料科學倫理架構(Framework for Data Science Ethics),著手研究民眾對資料交易新機制的反應,試圖在資料利用與法律和道德問題間尋求平衡。
日本與歐盟間個人資料之國際傳輸歐盟委員會(European Commission)原則上禁止將歐盟境內的個人資料傳輸至境外,只有經歐盟委員會認定其個人資料保護機制達到歐盟認可標準的國家或地區例外,例如:瑞士、加拿大、以色列等。而日本未能進入前揭國家之列的主要原因,係日本之個人資料保護法未將政府部門納入規範對象。但是基於經濟全球化的需求,日本與歐盟自2017年第一季開始加速進行雙邊合意協商。 日本個人資料保護委員會公布,於2017年5月修正施行的個人資料保護法,已符合歐盟資料保護規則中准許進行境外傳輸的標準。其中包括以獨立的個人資料保護機關來確保必要的保全機制能確實執行等五點(新設立個人資料保護委員會、個人資料定義的明確化、個人料去識別化、非法販賣個人資料之處罰、其他)。 歐盟對此表示,雙邊對於個人資料保護之標準的差異性已經漸漸縮小,利於日本與歐盟間個人資料國際傳輸的環境也已經逐漸形成。目前於歐盟境內設立子公司或是設立法人的日本企業,預期2018年即能自由就歐盟境內雇員或顧客的個人資料,進行日本與歐盟間的國際傳輸。 由於歐盟關於個人資料之保護,為歐洲聯盟基本權利憲章(Charter of Fundamental Rights of the European Union)所明定,企業若非法進行個人資料境外傳輸,會被處以高額罰金,金額約相當於該企業一年內全球營業額總額的4%或2000萬歐元,兩者取其高者為上限;股東甚至也可能面臨被提起訴訟的風險。日本此次修法,對日本在歐盟境內的企業經營將帶來莫大的裨益。