英國個人資料保護最新案例發展及其對我國法制之啟示

　　歐盟執委員會於2013年9月提出新電信改革方案初步細節，期待建立歐盟電信服務單一市場，以加快經濟增長，創造就業機會和恢復歐洲在行動通訊技術領域的領先地位。 　　該提案將擴大歐盟的電信管制權力，協調各會員國管制機關，包括審查各會員國之國家電信發展政策、無線頻的釋出和拍賣頻，使會員國管制機關撤銷違反歐盟法律的作為。 　　歐盟內部之電信漫遊價格上限將維持，但將由2014年開始逐年降低；另外將於2014年推動漫遊時，接收來電免費。為了進一步促使降低漫遊價格，歐盟計劃鼓勵各家電信業者推出泛歐的通訊費率。這將形成一個類似的跨國電信營運許可，只要獲得歐盟內某一個會員國管制機關的許可後，便能在泛歐範圍內推出電信服務。歐盟也希望看到各會員國固網電信的價格持續下降，達到與國內長途電話同樣水平的價格。 　　執委會也在該草案中提出，將致力於規範寬頻網路接取的批發價格管制，以及其他各類行電信服務批發市場的管制。此外，歐盟將推動完整的、統一的消費者保護規則，以防止各會員國管制機關的保護不足。 　　為了鼓勵更快地釋出無線頻譜資源，歐盟希望制定授權釋出頻譜的共同規則，而且也將以獎勵誘因鼓勵市場參與者釋出頻譜用於行動寬頻市場，並且將建議如果頻譜使用效率過低，業者將可能被取消執照。電信業者也將被允許一定的頻譜交易，以鼓勵歐盟基礎設施交易。 　　最後該草案針對「網路中立」的問題也提出解決方案，將禁止電信市場的競爭業者之間，有將網路服務阻斷或降低網路傳輸優先權的舉措。電信業者將需要提供的更透明的寬頻網路連線實際速率資訊，降低「誤導性的廣告」損害消費者權益。然而，電信業者也能夠提供更高的連線速度，或較佳的網路傳輸品質保證，使客戶支付較高的價格取得較優質的服務。 　　歐盟認為歐洲的戰略利益和經濟進步，與泛歐電信單一市場的建立密不可分的，同時希望藉由本次改革，提供歐盟公民充分、公平、高品質、普及的網際網路與行動通訊服務。

　　瑞典近年來積極制定科技創新政策，為了提升政策協調度，瑞典於2001年繼續進行組織改造，創立瑞典創新系統署（Swedish Governmental Agency for Innovation Systems, VINNOVA）與瑞典研究委員會（Swedish Research Council），成為創新發展最主要的兩大支柱。 　　VINNOVA是瑞典推動科研創新重要的一個部署，瑞典政府相當重視此單位，每年投入約20億瑞典克朗的經費於此，且除了在斯德哥爾摩（Stockholm）設有總部外，更在比利時的布魯塞爾（Brussels）及美國矽谷（Silicon Valley）設有辦公室，以掌握世界最新的產業創新動態，其組織單位約有兩百多名員工，負責VINNOVA計畫推動等工作 。由於VINNOVA的特別地位及其執行許多協助瑞典產業創新之計畫。 　　VINNOVA在科技創新扮演重要的推手，政府也希望藉VINNOVA的成立促進產業社會的發展，尤其重視產業創新領域。為能順利推動科研創新的過程，且加強學術、產業及公共行政單位的研究合作，VINNOVA建立三螺旋（Triple Helix）模式，希望藉由合作而相互學習。

由於美國與歐洲國家消費者保護政策以及對定型化契約條款的解讀不同，在美國電子商務應用中所常見的線上契約定型化條款內容，很可能在歐洲被解釋為對消費者不公平 (unfair) 而無效。 　　一位在法國巴黎執業的律師表示，在 AOL Bertelsmann Online France v. Que Choisir 案件中，許多美國律師常用的定型化契約條款，例如：網際網路服務提供者擁有單方變更契約內容之權；消費者之繼續使用服務等同於默示同意新的付費條款內容；網際網路服務提供者對於網路中斷造成的損害不負任何責任；限制消費者只能依循 AOL 的服務使用約款進行損害賠償之求償；及網際網路服務提供者保有中止服務等權利之條款等，在法國法院都被解釋為不合法而無效。雖然 AOL 這個案子還在進行上訴程序，法國巴黎法院在審理另一個案件時，也將類似的條款視為無效，而該案涉案主角則是義大利網際網路服務提供者。 　　由於法國對於消費者保護的法規係源自於歐盟指令，而歐盟所有會員國皆須在一定期間內將指令內容納入內國法規範，一位在英國執業的律師表示， AOL 在法國法院所得到的判決，如果發生在英國甚或其他歐盟會員國，也可能得到同樣的結果。

　　面對層出不窮資料違背或身份竊盜事件，2014年初， FTC於美國國會的例行會議上，就數位時代關於隱私權之保護課題進行作證，會議中，FTC乃呼籲美國國會應立即通過制定一個更強的聯邦資料安全與違背提醒的法律，其也進而提出「個人資料隱私暨安全法案（草案）」 (Personal Data Privacy and Security Act of 2014, S.1897)。該草案主要分成兩大部分: 第一部份，將強化身份竊盜和其他違反資料隱私與安全之懲罰；第二部份，係關於可茲辨識個人資料(PII)之隱私和資訊安全。 　　法案第202條係關於「個人資料隱私與安全機制」（personal data privacy and security program），目的在強化敏感性可茲辨識個人資料的保護，從行政(administrative)、技術(technical)和實體(physical)三個構面的防衛機制，進行相關標準之制訂與落實。有關適用之範疇，乃就涉及州際貿易之商業實體，而該州際貿易包含蒐集、近取、傳輸、使用、儲存或在電子或數位格式處理可茲辨識個人之敏感性資料，而這些資料總計多達1萬筆以上，然而，將不適用於金融機構(financial institutions)、醫療保險轉移和責任法(HIPPA)所管制者、服務提供者(service provider)和公共紀錄(public records)。 　　而在機制設計上，也係從「設計」(DESIGN)、「風險驗證」 (RISK ASSESSEMENT)和「風險管理」(RISK MANAGEMENT)三個角度進行切入，也必須確實提供員工教育訓練(TRAINING)、弱點測試(VULNERABILITY TESTING)、定期驗證和個人資料隱私與安全之更新，另外，在與外部與服務提供者(例如ISP)之關係上，公司必須盡到適當勤勉的義務(due diligence)，也必須透過契約(contract)方式，約定前述所建置起之資料隱私安全機制，並在安全性遭受到侵害時，以合理方式通知締約他方。 　　本案目前在聯邦參議院已經二讀通過，已交付參議院司法委員會進行下一階段的審議，該立法草案未來是否會直接或間接影響物聯網環境生態系統之商業運作，有待未來持續關注之。