RFID應用與相關法制問題研析－個人資料在商業應用上的界限

2023年9月27日，韓國個人資訊保護委員會（Personal Information Protection Commission, PIPC）就《個人資料保護法》（Personal Information Protection Act, PIPA）執行命令之指引修正（Enforcement Decree Amendment Guide）草案展開諮詢，諮詢將持續至2023年11月30日為止。韓國於2023年3月修正個人資料保護法，該修正於2023年9月15日生效，而指引修正之目的即是協助各界能夠遵循新修法後的義務，因此該指引草案詳細說明了修法後有關資料蒐集、獲得當事人同意之條件、使用和提供存取要求等內容。最終版的指引預計將於2023年12月發布。 韓國個人資料保護法於2023年的修訂範圍廣泛，特別是關於跨領域和行業個人資料處理標準等，使得公私部門中的資料處理人員和資料隱私人員必須深入瞭解此些變化，以確保能遵守最新的法律規定。 修訂後的韓國個人資料保護法強調實際保障資料主體的權利，並調整網路和實體業務之間不一致的資料處理標準，藉以迎接全面的數位轉型。此次韓國個人資料保護法修正重點如下： 1.強調確保資料主體的權利，即使在緊急情況下蒐集或處理個人資料時仍須提供足夠的保護措施。 2.釐清並調整網路和實體業務的不明確或不一致的法規，例如資料外洩的報告和通知時限、蒐集和利用14歲以下兒童個人資料需要獲得法定監護人同意的要求，以及對違規行為實施行政處罰的標準等。 3.要求處理大量個人資料的公共機構需強化保護措施，包括應分析和檢查存取記錄、指定負責每個系統的管理員，以及通知使用公共系統未經授權存取個人資料的事件等。 4.跨境資料傳輸條件調整為可傳輸至保護程度與韓國相當的國家或地區；並調整處罰金額，防止處罰金額過高超出責任範圍。。 韓國PIPC主委表示，此次對韓國個人資料保護法的修訂，反映了對資料主體權利更強大保護的需求。同時，考慮到此次修法的變動較大，建議各領域從業人員皆須仔細確認相關法遵內容，PIPC將針對不同領域需求來量身定制說明活動，積極提高大眾對修訂後的《PIPA》內容的理解程度，以確保韓國個人資料保護法修正後的實施。

　　延續本中心前幾期對於法國國會於今年5月所通過的「支持網路創作傳佈及保護法」（loi favorisant la diffusion et la protection de la création sur Internet，簡稱loi création et internet；又因該法中特別設立所謂的「網路著作散佈及權利保護高等署」（Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet，通常簡稱HADOPI）作為執行本法相關任務之獨立行政機關（autorité administrative indépendante），故本法又被稱為HADOPI法）中相關議題的報導，本次將簡要介紹法國憲法委員會（Conseil constitutionnel）於今年6月10日所作出（Décision n° 2009-580 DC du 10 juin 2009）對於該法所制定「三振條款」認定違憲之理由。 　　在進入憲法委員會此一決定前，須先說明HADOPI法的性質：依據本法第1條及第2條之指示，此一法律主要係修正及增補「法國智慧財產權法典」（Code de la propriété intellectuelle）之相關規定，特別是透過電子及網路傳輸之著作物（œuvres）的保護措施，並將原法典中「技術措施管理署」（l'Autorité de régulation des mesures techniques）更改為前述之「高等署」，並透過調整權限及組織內容之方式，賦予其「獨立行政機關」之地位─而特別值得注意的，則是此一獨立行政機關的9位委員中亦包括由中央行政法院（Conseil d'État）、法國最高法院（或稱「廢棄法院」；Cour de cassation ）、審計法院（Cour des comptes）等指派之成員。而所謂的「三振條款」，即是本法第5條（亦為增補後之智慧財產權法典第L. 331-25〜331-27條、）中所規定之：如網路用戶於接獲兩次由HADOPI所寄發之「違反勸阻通知」（recommandation）後依然違反智慧財產權法典第L. 336-3條所賦予之義務（禁止透過網路傳送服務對於受著作權及其他相近權利保護之著作進行非法複製、再現等；最常見之形式即為非法下載）時，HADOPI即可在進行「對辯程序」（procédure contradictoire，包括事前通知、卷宗閱覽、書面陳述意見，以致若經當事人要求須進行有律師或輔佐人陪同之正式聽證程序）後，對其進行裁罰（sanctions），最長可處使用者全面中斷（suspension）一年的網路服務。 　　因此，在法國憲法委員會對於此一法案的審議中，其關注重點即落在對於HADOPI是否可做出此種對於網路服務使用者進行中斷服務的裁罰之上。而主要基於2項理由，憲法委員會認為此一裁罰違反憲法： 1.此一中斷服務之裁罰雖可視為係達成此一法律任務所必要之措施，但因其涉及限制人民之自由及權利，故其實具有刑罰（punition）之性質；從而依據權力分立原則，能夠享有判斷並做出此一裁罰決定之權限者，僅為法院，而非行政機關。 2.而就算強調此一裁罰係由包含司法部門成員的獨立行政機關所做成，其依然違反了憲法前言、1789年法國人權及公民權宣言中所指涉及保護的基本權利，其中包括宣言第9條的「無罪推定」，以及在本案中具備決定性之宣言第11條「思想及意見自由傳達」的權利：因為在現代民主社會發展中，使用傳播工具及網路服務已是實現此一自由所不可或缺者；從而政府中斷網路服務之裁罰行為本身，已損及人民接近使用網路服務的基本權利。 　　然而，儘管法國憲法委員會在其決定中否認了HADOPI法中「三振條款」的合憲性，但因除去此一部份違憲條文外，整體HADOPI法仍通過了本次的憲法考驗，且HADOPI此一機關本身之正當性亦藉此取得確定。從而，HADOPI於後續實際案例中將會如何解釋適用此一法律，顯然是日後必須持續關心的重要議題。

在數位時代，兒童及青少年長時間使用網際網路已成為生活常態，然而，兒少在高度使用社群媒體的同時，也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」（toxic content）。在享受網路便利性的同時，兒少也面臨遭受騷擾、霸凌，被迫轉學甚至輕生等困境，心理健康面臨危機。為解決前揭問題，美國參議院於2024年7月30日通過《兒童網路隱私保護法》（Children’s Online Privacy Protection Act, COPPA）修正法案及《兒童網路安全法》（Kids Online Safety Act, KOSA）之立法，加強兒少網路安全之保護。 COPPA早於1998年制定，並於2000年開始施行，該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範，惟自訂定後迄今約25年，均未因應時代變遷做出調整，終於在本次會期提出修正草案。另KOSA之立法重點，則在於要求網路平台業者對兒童預設提供最高強度隱私設定，並建立控制措施，提供父母保護子女及認知到有害行為的機制，課予網路平台業者預防及減輕兒童陷於特定危險（如接收宣傳有毒內容之廣告）之義務等。此二法案經參議院投票通過後，合併為一案送交眾議院審核，重點說明如下： 1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年（下稱兒少），禁止網路平台業者在未經兒少使用者同意情況下，蒐集其個人資料。 2.禁止網路平台業者對兒少投放定向廣告（targeted advertising）。 3.為保護「合理可能會使用（reasonably likely to be）」網路平台的兒少，調整法案適用的「實際認知（actual knowledge）」標準，將適用範圍擴及至「合理可能被兒少使用（reasonably likely to be used）」的網路平台。 4.建立「清除鈕（eraser button）」機制，使兒少及其父母得以要求網路平台業者在技術可行情況下，刪除自兒少所蒐集之個人資料。 5.要求商務部（the Secretary of Commerce）於新法頒布後180日內，應成立並召集兒童網路安全會議（Kids Online Safety Council），進行包含識別網路平台對兒少造成危害之風險，提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。 觀本次可謂美國對於兒少網路保護之重大進展，惟此法案後續是否能順利提請總統簽署成法，正式具約束效力，仍須持續關注眾議院未來動向。