美國加州網路中立法遭司法部提告
美國加州州長Jerry Brown於2018年09月30日簽署該州的網路中立(Net Neutrality)Senate Bill 822法案,但美國司法部(Department of Justice,DoJ)隨即於同日對加州提起訴訟。DoJ指出Senate Bill 822法案牴觸聯邦政府於2018年對於網際網路採取解除管制之政策,該法案意圖阻撓聯邦政策的施行,有違美國憲法。
美國國會於1996年針對電信法(The Communications Act)制定「聯邦或州對網路低度管制(unfettered by Federal or State regulation)」之政策,美國聯邦通訊委員會(Federal Communications Commission,FCC)為符合該政策,於2002年發布命令,將寬頻網路接取服務列為資訊服務(information service),而美國不將資訊服務提供者以公共事業來看待並進行管理。雖然FCC於2015年就網路中立性訂立規則,要求網路服務提供者(Internet Service Provider)應平等處理所有資料,不得擅自降低流量速度、封鎖網站或服務,以確保任何人獲取資訊時不受不合理的限制。但FCC於2017年12月取消網路中立規定,並確保網際網路會在FCC之低度管制措施下,持續維持其自由與開放性。
DoJ及FCC均認為,網際網路本質上為跨州資訊服務,依據美國憲法第6條第2項規定,憲法、聯邦法律及美國對外條約為全國之最高法律,跨州之商務(interstate commerce)應屬聯邦管轄事項而非州管轄事項。因此,在聯邦政府已廢除網路中立性的情形下,且州政府沒有制定州際貿易規範的權限,則加州政府通過Senate Bill 822法案對網路立法監管,針對網路使用頒布違法且極端的法令,是企圖藉由Senate Bill 822法案破壞聯邦政府的規定,不當限制網路自由,與聯邦政府政策有所牴觸,此為違法及不利於消費者。故DoJ聲明其有責任捍衛聯邦政府的特權(prerogatives)以及維護憲法秩序。為此,DoJ起訴聲明為禁止加州執行Senate Bill 822法案,並請求法院判決Senate Bill 822法案無效。
雖然美國聯邦政府廢除網路中立性,但此政策受民主黨、Facebook、Amazon等著名大型科技公司及消費者的抨擊。因此,就DoJ起訴加州Senate Bill 822法案違法,法院是否認同DoJ所主張的牴觸美國憲法,以及美國對於網路中立性議題的後續發展,值得觀察。
- SB 822 by Senator Scott Wiener (D-San Francisco) – Communications: broadband Internet access service
- Justice Department Files Net Neutrality Lawsuit Against the State of California
- CHAIRMAN PAI STATEMENT ON DEPARTMENT OF JUSTICE DECISION TO FILE LAWSUIT AGAINST CALIFORNIA LAW REGULATING THE INTERNET
- SB-822 Communications: broadband Internet access service
蔡岳霖
高級法律研究員 編譯整理
Governor Brown Issues Legislative Update, SB 822 by Senator Scott Wiener (D-San Francisco) – Communications: broadband Internet access service, Published: Sep 30, 2018,https://www.gov.ca.gov/2018/09/30/governor-brown-issues-legislative-update-22/ (last visited Oct. 11, 2018).
Department of Justice Office of Public Affairs, Justice Department Files Net Neutrality Lawsuit Against the State of California, Sunday, September 30, 2018, https://www.justice.gov/opa/pr/justice-department-files-net-neutrality-lawsuit-against-state-california-0 (last visited Oct. 11, 2018).
Office of Chairman Ajit Pai, CHAIRMAN PAI STATEMENT ON DEPARTMENT OF JUSTICE DECISION TO FILE LAWSUIT AGAINST CALIFORNIA LAW REGULATING THE INTERNET, Sep 30, 2018, https://www.fcc.gov/document/chairman-pai-doj-lawsuit-against-california-internet-regulation-law (last visited Oct. 11, 2018).
California Legislative Information, SB-822 Communications: broadband Internet access service, Date Published: 10/01/2018, https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB822 (last visited Nov. 6, 2018).
Federal Communications Commission, CHAIRMAN PAI STATEMENT ON DEPARTMENT OF JUSTICE DECISION TO FILE LAWSUIT AGAINST CALIFORNIA LAW REGULATING THE INTERNET, Sep 30, 2018, https://docs.fcc.gov/public/attachments/DOC-354329A1.pdf (last visited Nov. 6, 2018)
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。 法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。 然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施: (1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。 (2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。 (3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。 (4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。 (5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。 CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
歐盟執委會提出ESG評鑑機構監管草案,以健全歐盟永續金融市場歐盟執委會(European Commission, EC)於2023年6月13日發佈「環境、社會與治理(ESG)評鑑透明度與誠信的規則草案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the transparency and integrity of Environmental, Social and Governance (ESG) rating activities,下稱本草案)」,以健全歐盟永續金融市場。 ESG評鑑係指評鑑機構向投資者和金融機構提供有關ESG的投資策略和風險管理等關鍵資訊,在歐盟永續金融市場扮演重要角色。因此本草案提出評鑑機構治理與利益衝突防免的規範,確保ESG評鑑機構誠信營運、提升評鑑的可靠性和透明度、並協助投資者作出更明智的永續投資決策。本草案要點如下: (1)授權許可:ESG評鑑機構原則上須取得歐洲證券與市場管理局(European Securities and Markets Authority, ESMA)的授權許可,始得於歐盟境內經營ESG評鑑業務。如為第三國ESG評鑑機構,則須申請取得同等認定(equivalence decision)後始得在歐盟經營ESG評鑑業務 (2)評鑑機構內部治理:要求ESG評鑑機構確保其獨立性、建立申訴處理機制、限制評鑑機構兼營金融與稽核業務等 (3)提升評鑑透明度:要求ESG評鑑機構公開揭露方法論、模型、主要假設與技術標準等 (4)授予ESMA監管權力:ESMA得要求評鑑機構與相關人士提供資料、詢問評鑑機構代表或職員、甚至實地查核等措施;就違反規定的評鑑機構,ESMA亦有要求暫停營運、課予罰鍰以及撤銷經營許可的權力
日本制定民間個人健康紀錄業者蒐集、處理、利用健康資料之基本指引草案日本厚生勞動省、經濟產業省和總務省共同於2021年2月19日公布「有關民間個人健康紀錄(Personal Health Record, PHR)業者蒐集、處理、利用健康資料之基本指引」(民間PHR事業者による健診等情報の取扱いに関する基本的指針)草案,檢討民間PHR業者提供PHR服務之應遵守事項,希望建立正確掌握和利用個人、家族健康診斷或病例等健康資料之電子紀錄制度。 本指引所稱之「健康資料」,係指可用於個人自身健康管理之敏感性個人資料,如預防接種、健康診斷、用藥資訊等;而適用本指引之業者為蒐集、處理、利用上開健康資料並提供PHR服務之業者。根據指引規定,PHR業者應針對資訊安全對策、個人資料處理、健康資料之保存管理和相互運用性及其他等4大面向採取適當措施。首先,在資訊安全對策部份,業者需取得風險管理系統之第三方認證(如資訊安全管理系統制度(ISMS));其次,針對個人資料,業者應制定隱私政策和服務利用規約,並遵守個資法規定;然後,為確保健康資料之保存管理和相互運用性,系統應具備雙向資料傳輸之功能;最後,本指引提供檢核表供業者自行檢查,業者亦應在網站上公佈自行檢查結果。