歐盟資料保護工作小組修正通過GDPR個人資料當事人同意指引

　　原預計於2017年3月2日生效實行的美國聯邦通訊委員會（Federal Communication Commission，FCC）的寬頻客戶隱私規定（Broadband Consumer Privacy Rules），委員會於2017年3月1日宣布暫停該規範效力，並與聯邦貿易委員會（Federal Trade Commission，FTC）發表共同聲明。 　　為保障資料安全（data security），聯邦通訊委員會於2016年10月27日，以寬頻網路服務提供者（broadband Internet Service Providers，ISPs）及其他電信營運商為規範對象，要求須給予客戶有更多選擇去決定自身資料如何被分享和使用，除將ISP所蒐集得使用及分享的資料分為三類，建立客戶同意要件，尚設立新的提醒要件及保密性違反之通知等。該新的隱私規範試圖與聯邦貿易委員會的規範做區隔，除管制對象不同，管制架構上，聯邦貿易委員會要求業者在蒐集及利用個人資訊時，須符合公平資訊實施原則（Fair Information Practice Principles，FIPPs）之準則（guidelines）：通知（notice）、選擇（choice）、讀取（access）、安全（security）。 　　通過之際產生的爭議，包含聯邦通訊委員會有無管制權限，及實行後可能與聯邦貿易委員會管制架構並行而造成疊床架屋、混淆大眾等的問題；此外，聯邦通訊委員會收到眾多請願，要求重新考慮該規範之實行。請願理由在於該規範之實行將會造成寬頻網路服務提供者及其他電信營運商為了要遵循規範將承受巨大的成本與負擔，並且這些成本與負擔與公眾利益相違背，將會造成不可回復的損害。 　　在接受請願討論後，聯邦貿易委員會做出暫停實施的決定，認為有關保護資料安全的規範要件需要重新思考，其理由在於：（1）消費者若受到兩種不同的隱私管制方式，會破壞消費者對於線上隱私安全一致性的期待；（2）不應使寬頻網路服務提供者及其他電信營運商遭受重大且不必要的遵循成本。 　　聯邦通訊委員會也與聯邦貿易委員會共同發表聲明，其聲明提及：聯邦通訊委員會與聯邦貿易委員會皆有責保護美國消費者的線上隱私，然而最好的管制方法，應該是透過一個全面性且一致性的架構。資訊隱私之保護不應當有因管制對象不同而有差別性，況且其中差異僅有專業人士才能辨別出，就消費者保護來說，並行兩道不同管制只會造成混淆，毫無益處。這也是為何當聯邦通訊委員會片面剝奪聯邦貿易委員會的管制權限而引發批評聲浪。對於寬頻提供者應保護隱私與資料安全之要求，應回歸至聯邦貿易委員會，由於國家對網際網路空間的管制，上網行為應該要適用一樣的規則，並且受到同樣的專責機關管制。除此之外，聯邦通訊委員會與聯邦貿易委員將共同合作致力於協調對寬頻提供者的隱私規範，該規範將會同所有與數位經濟相關的公司遵循的標準。線上世界技術中立（technology-neutral）的隱私框架之一致性，方能對消費者帶來最佳利益。 　　本次聯邦通訊委員會迅速暫停實施的隱私規範，顯現出美國對於保障隱私管制的重視性極高，美國針對網路生態中的不同公司，寬頻網路服務提供者及其他電信營運商，例如Comcast、Verizon、AT&T等；網站或其他邊緣服務商（edge service），例如Google、Facebook、Amazon等，將會有何種一致性的資料安全規範，值得持續關注。

　　歐盟執委會於2020年11月25日公布「歐洲資料治理規則」（Proposal for a Regulation on European data governance (Data Governance Act)）草案。本立法草案係延續同年2月發布「歐洲資料戰略」（European data strategy）所提出之立法規劃，針對該戰略所揭示的資料治理政策願景，於制度面予以明文化。而本草案亦為該戰略發布後，首次提出的具體性措施。其制定的主要目的，在於透過強化資料中介機構（data intermediaries）的公信力、以及優化歐盟整體的資料共享機制，來提升資料的可取得性（availability）。 　　依草案條文內容，其主要立法面向如下： （1）界定本法的立法目的，在於規範歐盟內部再利用公部門所持有之特定類型資料的條件，確立資料共享服務的通報與監督框架，並針對基於利他（altruistic）目的蒐集處理資料之實體（entities），建構自願註冊的制度；另一方面則進行本法的名詞定義。 （2）公部門資料再利用機制：整體性規範由公部門所持有、但涉及商業機密、智慧財產權、個資等之資料再利用的一致性標準。其以保護既有的營業秘密、個資、智財權等為前提，確立該些資料再利用的標準作法（如原則以非專屬形式再利用、可收取合理費用）。有意再利用上述資料的公部門，應於技術面保護其隱私與機密性。 （3）針對資料共享服務供應商的通報機制：要求提供資料共享服務的供應商，於正式對外提供其服務前，應先向各成員國的權責機關通報其業務，藉以增加外界對共享個資與非個資之資料機制的信賴度，同時降低資料共享的交易成本。同時，資料共享服務供應商於資料交換應保持中立，不能為其他目的使用資料；其共享服務應以開放及協作的方式進行，並優化自然人或法人查閱與控制其資料的環境，藉以強化個資自主權。 （4）資料利他主義（data altruism）的明文化：定義非營利、具普遍性共同目標之組織，得向歐盟註冊成為資料利他主義組織。透過此認證制度，增加組織公信力，以推動個人或公司出於公共利益，自願提供資料。同時，授權歐盟執委會可制定通用之歐洲資料利他主義同意書（European data altruism consent form），減少個別收集資料使用同意書之成本。 （5）成員國資料共享權責機關之職責：其應公正、透明、一致、及時履行其職責，監督與實施資料共享服務供應商與資料利他主義組織的通報與註冊機制。例如，其有權要求資料共享服務供應商提交必要訊息，以確保其作為是否符合本法要求。同時，權責機關成員不得為資料共享服務的供應商。 （6）歐洲資料創新委員會（European Data Innovation Board）：此為一專家小組之設置要求，負責協助成員國權責機關之作法，遵循資料治理法所訂標準。

　　美國國際消費電子展(International Consumer Electronics Show, CES)是每年全球介紹消費性電子產品的第一場重頭戲，2013年於美國時間1月8日在拉斯維加斯會議中心(Las Vegas Convention Center, LVCC)展開，展期持續四天。CES展展出面積17萬平方公尺，有超過3,250個參展公司，展出20,000種最新科技的電子產品，超過15萬人次參加。除了展出電子產品最新趨勢，CES同時也對於電子資訊相關議題開設研討會議，今年共有超過300場的研討會。 　　其中有一系列名為「創新政策高峰會」(Innovation Policy Summit)的研討會主題，討論政府部門如何與企業合作促進經濟成長及創新應用。高峰會中除邀請各科技領域中的創新發明者，還邀請政府部門、國會議員等，討論與科技政策最相關的種種議題。值得注意的是，創新政策高峰會中一場主題為「打擊專利蟑螂」(Fighting the Patent Trolls)的研討會於1月8日舉行，討論有關政府及民間業者如何打擊影響科技產業的專利蟑螂(Patent Trolls)，與會者除了有眾議員Peter DeFazio，還有Google、電子前線基金會(Electronic Frontier Foundation,EFF)、電子製造商Voxx International、零售商Home Automation等等企業代表，分享被專利蟑螂控訴專利侵權的經驗及提供意見。 　　在研討會中討論出的打擊方案有以下幾點： ‧擴展DeFazio眾議員提案的「保護高科技創新者免於惡意訴訟法案」(The Saving High-tech Innovators from Egregious Legal Disputes Act, SHIELD Act)到其他受專利蟑螂攻擊的產業，同時修改法案要求原告應在法院判決其負擔被告訴訟費用時，同時提出擔保金。 ‧應簡化專利局審核時質疑(challenge)不良專利的程序。 ‧在專利訴訟中對實際損害(actual damages)應提出更明確證據，並應更嚴格審查核發初步禁制令。 ‧科技公司應設法自救或組成聯盟，或者推廣Twitter公司2012年提出的「專利發明者協議」(Innovator Patent Agreement)，該協議讓公司內專利發明者對其發明專利有更大控制權，並承諾公司僅會將其專利用於防衛用途。 　　其中第一點的SHIELD法案，是眾議員DeFazio及Jason Chaffetz為遏止專利蟑螂於2012年8月共同提案。該法案目標在打擊專利蟑螂，針對電腦軟硬體提出的專利訴訟，原告若無勝訴之合理可能性(reasonable likelihood of succeeding)，法院得判決原告必須負擔被告訴訟費用及律師費用，以達到遏止專利蟑螂的目的。然而目前SHIELD法案立法進度停滯，DeFazio預計將提出修正版本爭取通過。DeFazio表示，該法案若要成功立法，需要各界聯合及廣泛支持。

　　2020年7月澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)正式對Google提告，針對Google於2016年的一項個資改變政策的內容，以誤導的方式取得用戶同意，而擴大使用個資範圍的行為。 　　於2016年，Google希望透過在其帳戶中所取得的個資，連結到用戶在非Google網頁中的瀏覽紀錄，如此Google將能夠依據這些資訊，更準確的在其他網站中投放廣告，以提升廣告費收入。為結合用戶於Google及其他網站的資料，Google需更改原本的個資隱私政策，然而事實上Google並沒有實際取得用戶對於此項改變的同意，反而以類似服務改進的通知：「我們為您的帳戶加入了一些可選擇性的功能，讓您能更好掌控Google所蒐集的資訊及使用方式，同時允許Google向您展示相關的廣告」等文字，誤導用戶藉以徵得用戶對個資政策改變的同意。 　　雖然Google承諾於2022年後，逐步移除Chrome瀏覽器中第三方Cookie的啟用，此動作將會阻止其他網站透過網路，追蹤到Google用戶的瀏覽紀錄，但由於目前Google還是依據用戶的瀏覽紀錄，針對用戶的特定偏好投放廣告來賺取收益，因此這種廣告模式短期內不太可能有所改變。若ACCC在這次與Google的訴訟中勝訴，那表示未來業者對於取得客戶同意(包括收集使用個資)的方式，從原本習慣使用概括性描述並隱藏使用個資真正目的等用語，來取的客戶同意的模式將有所改變。