歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私
歐盟法院於2018年6月5日對德國行政法院依歐盟運作條約第267條(267 AEUV),就歐盟個人資料保護指令(95/46/EC)第2、4條之解釋適用,提起的先訴裁判申請做出先訴判決。判決提及利用臉書(Face Book)平台經營粉絲專頁,並獲取臉書相關服務的管理者,同樣負有保護用戶資料隱私的責任。此將影響眾多的粉絲專頁,判決指出不僅臉書,連粉絲專頁的管理員都有保護訪客資料安全的責任。
由於臉書粉絲專業的經營者,並未保存其粉絲的相關資料,既不經手資料處理,更無力影響資料如何呈現,因此主張資料處理的責任應該在於臉書身上,處罰對象也應該是臉書。判決理由指出,臉書作為粉絲專頁相關個人資料的控制者(data controller)應負相關責任並無疑問,但歐盟地區粉絲專業的管理者,應該和臉書一樣,作為資料處理的共同責任者。蓋管理者係運用臉書提供的設定參數,將粉絲專頁的近用者資料蒐集處理,應該負共同責任。因此歐盟法院判決,利用臉書平台經營粉絲專頁,並獲取臉書相關服務的管理者(administrator),並不能免於個資保護法律的法遵義務。
另外依據德國聯邦資料保護與資訊安全委員會(BFDI)意見,認為雖然判決是基於一般資料保護規則(GDPR)生效之前就已經存在的法律,但法院所確定的共同責任原則也適用於新的法律。BFDI特別建議公共機構以歐盟判決為契機,審查公共機構粉絲頁面的合法性與是否遵守法律規定,並在必要時說服Facebook調整資料保護。
本文為「經濟部產業技術司科技專案成果」
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
洪政緯
法律研究員 編譯整理
1. URTEIL DES GERICHTSHOFS (Große Kammer) 5. Juni 2018(*) http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=301200 (last visited June 07, 2018)
2. SCHLUSSANTRÄGE DES GENERALANWALTS YVES BOT vom 24. Oktober 2017, https://www.bundestag.de/dokumente/textarchiv/2017/kw13-de-carsharing/499944 (last visited June 07, 2018)
3. EuGH nimmt Betreiber von Facebook-Fanpages in die Verantwortung https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/pressemitteilungen-node.html (last visited June 07, 2018)
2022年2月14日,美國著作權局(US Copyright Office)所屬之著作權審查委員會(Copyright Review Board),做出一件人工智慧(AI)創作作品不得申請著作權登記之決定,並聲明人類作者是著作權保護的必要前提。 本案申請人Stephen Thaler在2018年首次嘗試為AI「Creativity Machine」創作的藝術作品申請著作權登記,Stephen將Creativity Machine列為作者,並聲明其因擁有該AI而得透過美國著作權法第201條(b)項的受雇著作原則(work for hire)取得前述作品之所有權,且得為此作品申請著作權登記。然而,Stephen提出的申請沒有成功,著作權局認為依著作權法及相關判例,非出自於人類所作之作品不應受著作權保障,而本案AI之創作作品亦無人類的創意性投入或干預。在Stephen提出兩次複審後,著作權審查委員會在2022年做出機關最終決定,除重申僅人類之作品得受著作權保障以外,更進一步表示無權利能力的AI無法簽訂契約,故無受雇著作原則適用之可能。此外,著作權審查委員會亦指出受雇著作原則亦僅能表彰作品的所有權,並非作品是否得以受著作權保障之指標。 Stephen Thaler長年來不斷為AI之創作品爭取法律保護,除上述著作權外,其亦將名為DABUS的AI列為專利發明人,並以此就DABUS之發明在多個國家申請專利,而澳洲聯邦法院在2021年7月做出全球首個認為AI可作為專利發明人的判決。
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。 在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。 英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。 指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。
美國寬頻進步報告:寬頻部署有顯著改善但數位落差持續存在根據美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於2016年之寬頻進步報告,美國現行之標準為業者必須提供下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務,相較於2010年所設立之標準─下載速度至少達4Mbps與上傳速度至少達1Mbps的寬頻服務,顯示出美國在寬頻部署上有明顯的進步。然而,目前仍有3400萬美國人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。 這份報告亦顯示,持續之數位落差(digital divide)導致40%生活在鄉村以及部落地區之人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。此外,E-rate計畫方案之持續推行,雖使許多學校之網路連線已有顯著改善,但仍有41%之學校未能符合FCC之短期目標,亦即這些學校之寬頻連線仍無法供應數位學習之應用。基於以上理由,2016年之寬頻進步報告總結:寬頻部署並未被適時並合理的(timely and reasonable)適用於全體美國人。 該份報告亦認為當今的通訊服務應以固網及行動寬頻服務(fixed and mobile broadband service)之方式提供,彼此的功能不同並能互補。然而,FCC尚未建立行動寬頻服務標準,因此,行動寬頻之部署尚未能反映在目前之評估。 依據1996年電信法第706條之規定,FCC必須每年報告先進通訊能力之部署,是否讓每位美國人民都能適時且合理的使用。國會所定義之「先進通訊能力」(advanced telecommunications capability)必須具高品質之能力,可讓使用者傳輸以及接收高品質之聲音、數據資料、照片以及影像服務。 此份報告重點總結如下: ●全面部署: 目前仍有3400萬美國人(約10%人口)無法接取固網下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務。然而,相較於去年之5500萬美國人(約17%人口)未能接取該寬頻服務,今年已有顯著的改善。 ●鄉村與城市間之數位落差仍待改善: 仍有39%之鄉村人口(2340萬人)以及41%之部落人口(160萬人)無法接取該寬頻服務(25Mbps/3Mbps)。相較於都市僅有4%之人無法接取該寬頻服務,發展上仍不平等。但相較於去年報告所示,有高達53%鄉村人口以及63%部落人口無法接取寬頻服務,城鄉發展不均之程度已有改善。 ●學校之寬頻速度: 全國僅有59%之學校達到FCC所設立之短期目標,亦即100Mbps可以供1000位學生使用,並有極少數之學校達到長程目標,即1Gbps可供1000位學生使用。 這份報告首次將衛星寬頻服務列入評估,FCC對於衛星寬頻服務適用與固網寬頻服務採用同樣之標準(25Mbps/3Mbps)。然而,在評估過程中,尚未有任合衛星寬頻服務符合FCC所採行之寬頻標準。
英國取法美國國防先進研發署研發補助機制,提出先進研究發明署法案英國商業、能源暨產業策略部(Department for Business, Energy and Industrial Strategy, BEIS)於2021年3月2日向英國國會提交「先進研究發明署法案」(The Advanced Research and Invention Agency Bill),作為英國政府設立獨立研究機構「先進研究發明署」(Advanced Research and Invention Agency, ARIA)的法源依據,用以補助高風險、高報酬之前瞻科學與技術研究,將仍處於想像階段的新技術、發現、產品或服務化為現實。 本法案授予ARIA高度的自主性,使ARIA得以招攬世界頂尖的科學家與研究人員,規劃最具前瞻性與發展潛力的研究領域提供研發補助;同時也給予相較於其他研究機構更多容許失敗的彈性,並明確指出失敗是前瞻科學研究必然經歷的過程。ARIA對於研發資金的運用將因而獲得充分的自主性與彈性,包含對於研究計畫提供快速啟動基金與其他獎項做為激勵措施,或是依據研發進展即時決策是否延續或中止。 ARIA取法自美國國防先進研發署(Defense Advanced Research Projects Agency, DARPA),美國DARPA在網際網路、GPS等技術研發上的成就,直到近期支持針對COVID-19的mRNA疫苗及抗體療法從而取得重大進展,在在顯示了DARPA模式的可行性與重大影響力,而其成功的關鍵在於高度的自主性、靈活性以及最少的行政程序障礙,因此法案將允許ARIA不受政府採購相關限制、並免於政府資訊公開的義務,以減少行政程序對於研發進程的影響。但ARIA每年度仍須向國家審計署提供年度會計報告以作為政府對其最低限度的監督手段,除此之外,商業部長將有權中止與敵對勢力對象的研發合作或結束特定的研究計畫。