techUK和UK Finance共同呼籲英國脫歐後應速採取行動保護英國和歐盟的企業和消費者資料跨境傳輸
隨著資料多元應用,大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等,因此在跨境傳輸基礎上需要共同的監管制度,以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動,以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。
另外,在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中,techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement),英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper),將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整,而在過渡期間為企業提供監管確定性,而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制,如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後,將不會直接適用GDPR,因此除非有新的安排,個資在歐盟傳輸仍可能受限,而需昂貴複雜替代機制,故仍應速採取行動:
- 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。
- 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”),應即為過渡期之安排。
- 英國應考慮實施其他措施,確保歐盟對英國資料保護框架之擔憂能獲解決,尤其是國家安全目的之資料處理。
- 英國應確保國際傳輸制度(包括美國在內),與歐盟具相同保護水準,且此作為歐盟適當保護評估的關鍵。
- 1. Rapid Action Needed to Safeguard UK & EU Businesses & Consumers Following Brexit, techUK
- 2. Rapid action needed to safeguard UK & EU businesses and consumers following UK’s exit from the EU, UK Finance
- 3. techUK, UK Finance & Dentons UKMEA LLP, No Interruptions: options for the future UK-EU data sharing relationship (2017)
- 4. HM Government, The exchange and protection of personal data - a future partnership paper (2017)
- 英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響,資訊工業策進會科技法律研究所
孫鈺婷
專案經理 編譯整理
1. Rapid Action Needed to Safeguard UK & EU Businesses & Consumers Following Brexit, techUK, http://www.techuk.org/insights/news/item/11824-rapid-action-needed-to-safeguard-uk-eu-businesses-consumers-following-brexit (last visited Dec. 4, 2017).
2. Rapid action needed to safeguard UK & EU businesses and consumers following UK’s exit from the EU, UK Finance, https://www.ukfinance.org.uk/rapid-action-needed-to-safeguard-uk-eu-businesses-and-consumers-following-uks-exit-from-the-eu/ (last visited Dec. 4, 2017).
3. techUK, UK Finance & Dentons UKMEA LLP, No Interruptions: options for the future UK-EU data sharing relationship (2017), https://www.ukfinance.org.uk/wp-content/uploads/2017/11/No-Interruptions-Options-for-the-future-UK-EU-data-sharing-relationship.pdf (last visited Dec. 4, 2017).
4. HM Government, The exchange and protection of personal data - a future partnership paper (2017), https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/639853/The_exchange_and_protection_of_personal_data.pdf (last visited Dec. 6, 2017).
英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=152&d=7533(最後瀏覽日:2017/12/06)
歐盟執委會於2020年2月19日發表《人工智慧白皮書》(White Paper On Artificial Intelligence-A European approach to excellence and trust)指出未來將以「監管」與「投資」兩者並重,促進人工智慧之應用並同時解決該項技術帶來之風險。 在投資方面,白皮書提及歐洲需要大幅提高人工智慧研究和創新領域之投資,目標是未來10年中,每年在歐盟吸引超過200億歐元關於人工智慧技術研發和應用資金;並透過頂尖大學和高等教育機構吸引最優秀的教授和科學家,並在人工智慧領域提供世界領先的教育課程。 而在監管方面,白皮書提到將以2019年4月發布之《可信賴之人工智慧倫理準則》所提出之七項關鍵要求為基礎,未來將制定明確之歐洲監管框架。在監管框架下,應包括下列幾個重點:1.有效實施與執行現有歐盟和國家法規,例如現行法規有關責任歸屬之規範可能需要進一步釐清;2.釐清現行歐盟法規之限制,例如現行歐盟產品安全法規原則上不適用於「服務」或是是否涵蓋獨立運作之軟體(stand-alone software)有待釐清;3.應可更改人工智慧系統之功能,人工智慧技術需要頻繁更新軟體,針對此類風險,應制定可針對此類產品在生命週期內修改功能之規範;4.有效分配不同利害關係者間之責任,目前產品責任偏向生產者負責,而未來可能須由非生產者共同分配責任;5.掌握人工智慧帶來的新興風險,並因應風險所帶來之變化。同時,白皮書也提出高風險人工智慧應用程式的判斷標準與監管重點,認為未來應根據風險來進行不同程度之監管。執委會並透過網站向公眾徵求針對《人工智慧白皮書》所提出建議之諮詢意見,截止日期為2020年5月19日。
法國CNIL認Google於Gmail中投放之偽裝廣告及個人化廣告因欠缺當事人有效同意而違法,開罰3.25億歐元法國國家資訊與自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)於2025年9月1日針對一起由歐洲數位權利中心(noyb - The European Center for Digital Rights)提出的申訴做成決議,指Google未經Gmail使用者同意,將廣告偽裝為電子郵件進行「偽裝廣告」(Disguised Ads)投放,以及在對Gmail使用者投放個人化廣告前,未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告(generic ads)的選項,違反了《電子通訊法》(code des postes et des communications électroniques)與《資訊與自由法》(loi Informatique et Libertés)中關於歐盟《電子隱私指令》(ePrivacy Directive)之施行規定,對Google裁處了3.25億歐元的罰鍰,並要求改善。以下節錄摘要該裁決之重點: 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定,電子郵件直接推銷(direct marketing)僅在其目標是已事先給予同意的使用者時被允許。CNIL,依循歐盟法院(CJEU)判例法(C-102/20)見解,認為若廣告訊息被展示在收件匣中,且形式類似真實電子郵件,與真實電子郵件相同位置,則應被認為是電子郵件直接推銷,須得到當事人之事前同意。因此,CNIL認定偽裝廣告即便技術上不是狹義的電子郵件,僅僅因其在通常專門用於私人電子郵件的空間中展示,就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告,屬於電子郵件廣告,而與出現在郵件列表旁邊且獨立分開的廣告横幅不同,後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意:「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會(European Data Protection Board, EDPB)第2024/08號關於「同意與付費模式」意見,認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之,以「cookie wall」(註:拒絕cookie的蒐集即無法獲得服務之網站設計)取得之當事人「同意」,非當然不自由或無效。CNIL認為,在免費服務的框架下,cookie wall在維持提供服務與服務成本之間的經濟平衡上,要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為,這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求,當事人在cookie wall的框架內仍應享有選擇自由,才能取得蒐集為投放個人化廣告之cookies的當事人有效同意,亦即:在個人化廣告處理更多個資和對當事人造成更多風險的情況下,當事人應被給予機會選擇「等值的替代選項」,亦即通用廣告,並完全且清晰地了解其選擇的價值、範圍及後果。 然而,CNIL發現,Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜,實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意,從而影響了當事人的選擇自由。CNIL也發現,Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall,以及對此使用者享有甚麼選擇,而其提供的資訊更引導使用者選擇個人化廣告,導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會(Data Protection Commission, DPC)管轄? GDPR設有「單一窗口機制」,依據該合作機制,對Google進行的GDPR調查,應由作為主任監管機關(Lead Supervisory Authority)的愛爾蘭DPC管轄。惟在本案,CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇,而是適用電子隱私指令,CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制,但尚不足以弭平成員國間監管強度之差異。
何謂「工業4.0」?所謂工業4.0(Industrie 4.0)乃係將產品用最先進的資訊和通訊技術緊密結合。其發展背後的原動力是快速增長的經濟和社會的數位化。在德國,它不斷地在改變未來產品的生產及加工方式:自蒸汽機、生產線、電子和電腦技術之後,現在確認了「智慧工廠」(Smart Factories)乃是第四次工業革命。 德國「工業4.0」一詞源於2011年德國教育與研究部(BMBF)在其高科技策略(Hightech-Strategie)下的研發計畫。而如何落實工業4.0,則可從德國科學技術院(Deutsche Akademie der Technikwissenschaften, acatech) 與德國高科技策略之研究聯盟顧問委員會(Forschungsunion, Wirtschaft und Wissenschaft begleiten die Hightech-Strategie)共同提出之「工業4.0:實踐建議報告書」 (Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0)窺見整體計畫。 它的技術基礎是資訊科技、數位化的網路系統,藉由該系統,可以實現超強的自行組織運作的生產流程:人、機器、設備、物流和產品在工業4.0中,得以在同一個平台上相互溝通協作。不同企業間的生產及運送過程可以更聰明地以資訊科技技術相互地溝通,更為有效和彈性地生產。 如此一來將有助於產生智慧型新創價值的供應鏈,其囊括產品生命週期的各階段-從開發、生產、應用和維修一直到回收產品階段。藉此,一方面相關的服務可從客戶對產品想法一直到產品的回收都包括在內。因此,企業能夠更容易地根據個別客戶的要求生產定制產品。客製化的產品生產和維修可能會成為新的標準。另一方面,雖然是生產個性化商品但生產成本仍可以降低。藉由新創價值供應鏈相關企業的相互串聯,使產品不再只是各個流程得以優化,而係整體的創新價值鍊的整體最適化。如果所有資訊都能即時提供,一個公司可以儘早快速回應的某些原材料的短缺,生產過程可以跨企業地調整控制,使其更節省原料和能源。總體而言,生產效率能夠提高,加強企業的競爭力和提高生產彈性。
日本有關循環經濟新法規「塑膠資源循環促進法」將於2022年4月1日正式上路日本率先亞洲地區將於2022年4月1日實施「塑膠資源循環促進法」(プラスチック資源循環促進法),其係著重於產品設計階段至塑膠廢棄物排放、再利用等整個產品生命週期,來促進塑膠資源循環運用,主要措施內容包括: ①抑制塑膠廢棄物的排放、再資源化的環境設計(該法第1、2章) ②一次性利用塑膠產品的使用合理化(該法第3、4章) ③塑膠廢棄物的分類收集、自主回收、再資源化(該法第5、6、7章) 例如: 設計、製造階段,有明示塑膠製產品設計指導方針,可透過減少塑膠用量來製作產品、調整尺寸和形狀方式,進行塑膠製產品之設計,並創建國家優秀設計認定制度,被國家認定之產品,可獲得政府優先購買,會提供消費者資訊使其更容易選擇環保產品。 使用階段則要求企業經營者合理化提供免洗餐具等12種一次性塑膠製產品,其指導方針有是否採取有償方式提供、或是否有回饋措施予拒用免洗餐具之消費者等措施。 塑膠廢棄物處理階段,係指針對排出塑膠廢棄物之企業經營者有責任妥善處理塑膠廢棄物等,倘企業經營者在其選擇之措施中有顯著不足情形,國家會以勸告、命令方式命其改善。 回收、再利用階段,則是針對塑膠回收類型作最小限制,本制度設立了對該塑膠廢棄物進行再商品化的機制,重新修改分類規則,擴大塑膠資源的回收量,且針對回收自治體得補貼地方交付稅等部分費用,減輕其成本。