英國無線電頻譜管理改革政策（下）－－風險評估與對策

　　Burberry近期在社交網站臉書(facebook)的動態時報上上載了一張Bogart穿著Burberry風衣的照片，照片上傳後隨即吸引了上千萬粉絲按讚，但熱潮的席捲下也引來了侵權風波。 　　該照片為1942年"Casablanca"電影劇照，主角人物為於1957年去世的Bogart，其被美國電影協會公認為美國電影史上最棒的男性演員。因為Bogart於電影中傳神的飾演Rick Blaine角色，不僅在電影粉絲心中留下鮮明的文化表徵(cultural icon)，更使得該張劇照贏得最佳照片獎(Academy Award for best picture)。 　　正因為Bogart的知名度以及該張電影劇照的受歡迎程度，Bogart後裔對於Burberry這樣的使用提出了抗議。Bogart後裔要求Burberry停止使用該張劇照，否則就要提起訴訟控告Burberry侵害Bogart的肖像權和商標權。在接受到Bogart後裔的要求後，Burberry隨即於紐約聯邦法院提出確認之訴，請求法院確認其使用並未侵害歸屬於Bogart後裔的商標或肖像權。因應Burberry的提告，Bogart後裔隨即於加州州法院提起商標侵權訴訟，請求法院發出禁制令，停止Burberry再使用Bogart的名字和任何照片。 　　雙方針對此一爭議各有主張及堅持。Burberry聲明該劇照是向專門從事照片、影像授權業務的Corbis公司取得授權而來，其主張使用該劇照主要是要描述Burberry在時尚產業的悠久歷史，以及該品牌的重要性及影響性，其並非利用該劇照來達到行銷Burberry的目的，所以其不認為開始用有任何侵權問題。此外，Burberry認為將該劇照使用在臉書的動態時報上這樣的行為是受到美國憲法第一修正案言論自由的保護。 　　Bogart後裔則認為Burberry使用劇照於市場行銷相關素材/媒介上，可明確看出其有意於Burberry實際及潛在消費者心中，將Burberry品牌及產品商業性連結至Bogart名人形象上，所以Burberry的行為已侵害到Bogart的商標權和肖像權。 　　Burberry及Bogart後裔雙方因應不同州法律採用策略性訴訟技巧，分別於紐約及加州提起訴訟，知名品牌和知名男星後裔的商標及肖像權之爭正式開戰，法院判決結果值得後續關注。

　　為實現歐洲公民資料一致保護水準之期待，全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR)，已於2016年4月14日由歐洲議會正式通過，且將在2018年5月25日生效，該規則異於資料保護指令（Data Protection Directive，95/46/EC）之處，在於規則無待各會員內國法化，得以直接適用，然而生效前的過渡期間，歐盟各國為因應新修正規則預作準備；近期，法國政府在「數位共和國」(République Numérique)法案中，欲修改現行關於資料保護之法律，如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978)，以達歐盟資料保護水準。 　　法國國民議會(Assemblée nationale)於2016年1月一讀通過，參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A)，要求個人資料應儲存於歐盟或法國境內的資料中心，同時為符合與歐盟的國際承諾會員國，並禁止個人資料傳輸至非歐盟的第三國，而參議院修法理由是為了確保法國規範符合歐盟資料保護水準，並依據先前歐盟法院關於安全港無效之判決的結果為修訂。 　然而，資料在地化條款目前仍不明確，但此規定恐對資料傳輸設下更多限制；雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍，資料傳輸至第三國並不在此列，故為加速修法程序，聯合調解委員會(Commission mixte paritaire)將於近期內審查調整，國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識，後續修法值得關注。

　　英國自2020年1月31日正式脫離歐盟後，即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸，就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》（General Data Protection Regulation，GDPR）有無認定雙方具有本質上相同的保護程度，又稱為「適足性」（adequacy）的認定。目前，歐盟給予英國跨境傳輸過渡期到2021年7月，在此之後若希望持續不受限制的交流，就須經歐盟執委會（European Commission, EC）通過適足性認定後才得以進行。 　　2021年2月19日，歐盟執委會提出草案，認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」（Law Enforcement Directive，LED）有適足性之適用。又在4月14日，歐盟個資保護委員會（European Data Protection Board, EDPB）針對歐盟執委會於2月19日所做的認定草案提出兩項意見： 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另，肯定英國「2018年資料保護法」（Data Protection Act 2018）中有關GDPR及LED的適用及對「英國資訊委員辦公室」（Information Commissioner’s Office, ICO）所賦予的權利及義務。 　　但同時，EDPB也向歐盟執委會提出以下幾點注意事項： 英國政府若發展獨立的個資保護政策，將可能與歐盟的保護架構分歧，造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策，讓資料控制者在處理移民相關資料時有廣泛的例外，得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時，該「第三國」本身需要具有基本上等同於GDPR的資料保護程度，才得允許傳輸。 針對英國政府出於國家安全目的，將個人資料傳輸到英國境內，而有義務免除或特殊情狀時，歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款（four-year sunset clause）方式，並密切觀察英國資料保護的發展，在必要時得以要求修改或終止LED適足性的決定。 　　針對以上問題，歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時，若通過適足性認定，其效期將延續4年，之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時，歐盟執委會得將其納入定期審查的項目中，以確保歐盟的個資跨境傳輸進入英國後，仍受適當的保護。

　　AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客（ data broker ），在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取， AT ＆ T 已通知相關客戶已被通知並凍結其帳戶。 　　AT&T 並未於訴狀中明確地列出被告的名字，表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人， AT&T 宣稱一旦這些資料掮客經鑑定被確認後，除了賠償 AT&T 的損害之外，還須償還其販賣資料所獲得的不法利益。 　　PrivacyToday.com 網站的總裁表示，「買資料的人無處不在，但只有少數的人會非法竊取客戶資料，而這少部分的人大多都可以被追蹤的到。」 　　這並非唯一的案例，未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄，還有銀行、醫療或其他個人敏感資料，每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法，將有關電話紀錄的欺騙行為判定為不法行為。