Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者(Data Controller)責任
2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。
本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。
在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
林玉書
法律研究員 編譯整理
美國食品及藥物管理局(U.S. Food and Drug Administration, USFDA)於2021年9月30日發佈了最新細胞與基因治療指南草案,提出細胞治療可透過「傘狀試驗」(umbrella trial)機制,使細胞治療於同一個臨床試驗計畫之下,針對同一類疾病,可進行兩種以上細胞治療技術試驗,來加速細胞治療臨床開發速度。 每個癌症病患實際上會有不同的基因變異,即使是相同類型的癌症也少有完全一樣的疾病機制(disease mechanism),因此,傳統臨床試驗僅能評估疾病機制較大族群的療效,但不同基因型的受試者對於相同藥物的反應可能有所差異,故難以預測病人是否將受益,亦或產生嚴重副作用,導致治癒效果不如預期。且現行的臨床治療規範中,即便醫師知道某標靶治療藥物對於特定基因體變異有效,但若此藥物未經USFDA核准於該腫瘤類型的適應症,醫師也無法使用。因此,透過傘狀實驗可提高細胞產品研發的靈活性與效率,並降低大量重複性工作,例如重複進行臨床前批次試驗、製程驗證、毒性測試…等等。若發生安全性疑慮,USFDA可針對個別研究組進行終止實驗,而不須將全部的臨床試驗計畫終止。 台灣未來可考慮將傘狀試驗納入細胞治療臨床試驗設計模式,並參考USFDA審核方式與標準,以加速台灣細胞治療或精準醫療發展。
英國預計在2025年通過《網路安全與韌性法案》,提升網路和關鍵基礎設施的安全與韌性英國工黨政府在2024年7月17日的議會開幕致詞上宣布,將於2025年提出「網路安全與韌性法案」(Cyber Security and Resilience Bill),用以更新現有的網路與資訊系統規則(The Network and Information Systems Regulations 2018)。現有的法規涵蓋5大行業領域:交通運輸、能源、飲水、健康衛生,以及數位基礎設施和部分數位服務(含網路市集、網路搜尋引擎、雲端運算服務等),分別由12個主管機關負責在各自領域落實該法規。 根據英國國家網路安全中心的評估,英國正面臨著來自敵意國家(或受其資助的行為人)日益增加的威脅。而英國的基礎設施在運作時不應該忽視這些威脅。工黨政府希望加強英國的網路防禦和面臨惡意攻擊時的網路韌性,從而確保英國社會所依賴的基礎設施和關鍵服務能夠持續運作,並確保數位經濟能夠持續增長。 根據目前公布的資訊,該法案將會在既有框架下面針對三個方向進行強化: 1. 擴大法規的職權範圍,將更多的數位服務和供應鏈納入保護範圍,保護英國的必要公共服務,避免受到網路攻擊。 2. 提供監管機關採取必要性網路安全措施的法源依據,從法律層面賦予監管機關採取更多安全措施的權利。 3. 強制要求納管對象網路安全事件通報,讓政府確實掌握網路攻擊的次數與相關資訊,以提升整體英國社會對於此類事件的理解與掌握。 該法案預計於2025年提交給英國議會審議,其對於網路安全、數位基礎設施和關鍵設施的安全保護框架,可以作為我國未來提升數位基礎建設及關鍵設施資訊網路安全的重要參考對象。
美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望美國及其他參與國際反勒索軟體倡議(International Counter Ransomware Initiative, CRI)之50個成員(含國家及國際組織),於2023年10月31日至11月1日召開第三次大會,並且發布聲明表示:應積極建立對抗勒索軟體之集體韌性(collective resilience)、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。 CRI於2023年之關鍵成果主要可分以下三個面向: 一、加強資安管理能力 對CRI新成員提供指導及戰術培訓,例如由以色列督導約旦,以確保新成員之資通安全。此外,亦發起利用人工智慧打擊勒索軟體之計畫。 二、促進資訊共享 設立可即時更新之資訊共享平台,使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫(Malware Information Sharing Project, MISP)、以色列及阿拉伯聯合大公國之水晶球平台(Crystal Ball platforms)。 三、反制勒索軟體使用人 CRI發布前所未有之共同政策聲明,闡明成員不應支付贖金,且創設成員間共享之加密貨幣錢包黑名單(blacklist of wallets),以便揭露勒索軟體使用人之非法帳戶,並公開與犯罪組織之金流紀錄。另,CRI於2024年起將持續致力發展前述聲明提及之目標,並優先向潛在成員進行宣導,透過提供量身訂做之資安應變能力培訓,滿足潛在成員之需求。
英國將建立全國性的身份證資料庫英國財政部於表示新成立的身份與護照服務 (Identity and Passport Service, IPS) 將接管由國家統計局 (Office for National Statistics) 所負責的市民資訊計劃 (Citizen Information Project) ,此一計劃之目的係為建立一個包含個人姓名、住址、生日以及一個獨特的身份證字號的成人人口註冊系統 (Adult Population Register) 。 IPS 將負責發展全國身份登記系統 (National Identity Register , NIR) 以作為成人人口資料庫 (Adult Population Database) 。之後,將以 NIR 中所儲存的資料為最終的個人聯絡資料來源。目前此一資料庫只針對年滿 16 歲的成人進行聯絡資料的蒐集,不含兒童的聯絡資料在內,至於是否要建立兒童人口資料庫則有待更進一步的商討。