2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。
本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。
在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。 NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。 本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
何謂「Sitra」?芬蘭創新研究發展基金(Finnish Innovation Fund, Sitra) 成立於1967年,是由芬蘭國會直接監督及管理的獨立性公共部門,為芬蘭第一個以科技為主旨的創業投資基金。Sitra設立主要目的是提供對創新企業或風險性專案提供無償資助或貸款,專門研究如何在芬蘭全方位各領域以創新帶動社會發展,使其在國際市場更具競爭力。Sitra為初創公司提供所需資金的15%到40%,待支持的項目成功後,獲取的回報即可再用於擴大投資,創造正向循環的投資環境。與芬蘭國家技術創新局(Tekes)相比,Sitra主要投資於公司和創業公司以創造有利可圖的新興業務;而Tekes為芬蘭經濟及就業部之一部分,主要資助大學、研究單位或私人公司進行科技研發,是芬蘭科技產業創新研發重要支柱。
世界智財組織尋求保護來自傳統知識與遺傳資源的產品長久以來國際藥廠從大量販售的藥物中獲取上億元的營收,例如抗癌藥物與抗瘧藥物,均是萃取自中國的草本植物,但是這些擁有藥物傳統知識與遺傳資源的族群部落(the community),卻只得到相對微薄的報酬。為此,世界智慧財產組織(The World Intellectual Property Organization)已經在過去五年中力圖達成將利益擴及到提供傳統知識與遺傳資源的族群部落。 許多先進國家到非洲、亞洲等地方蒐尋具有療效的植物後,回實驗室進行研發萃取其物質後做成藥物,但卻從來沒有主動的揭露其來源,也不曾主動的回饋其獲利給那些藥廠從中獲得藥物植物的族群部落。開發中國家已試著要去制止這非法的竊用傳統知識的行為。 但由於傳統知識是累積的,因此傳統知識的保護也面臨到如何認定其於何時已存在的困難。因此傳統的智慧財產保護體系對於不能確認個別權利人與權利標的範圍的傳統知識無法提供保護。 不過,世界智慧財產組織表示藥廠已開始關心並參與傳統知識利用的協議,因為這些投資億元於研發而已有成功結果的藥廠,並不希望他們處於一個法律上不確定的狀態。
美國的全球食品追溯中心(GFTC)提出食品追溯的「關鍵追蹤事項」及「重點資料元素」架構在近來國際食安問題事件頻傳的氛圍下,如何透過食品供應鏈相關資料的紀錄、串接與分析,達到食品追溯(Food Traceability)目的已成為全球性議題。有鑑於此,美國的全球食品追溯中心(Global Food Traceability Center, GFTC)在跨種類的食品供應鏈中針對數位資料的採集和追蹤,以建立共通架構為目的,提出食品追溯的「關鍵追蹤活動」以及「重點資料元素」,作為監管機構和產業界在建立追溯系統時可依循的標準。 由於現今食品供應系統涉及範圍大部分已擴及全球,其複雜性大幅提升了各國政府對整個食品產業的監管以及促進追溯實踐的困難度。隸屬美國食品科技研究所(IFT)的GFTC於2014年8月19日發表了一篇「食品追溯最佳實踐指南」(A Guidance Document on the Best Practices in Food Traceability)報告,指出當食品相關疫情爆發時進行食品追溯即有全球性的需求;該指南主要以食品安全及追溯相關規範的立法者和食品產業界為對象,針對六大類食品產業-烘焙、奶製品、肉類及家禽、加工食品、農產品和海產類提供一個可茲遵循的追蹤架構。在一條食品供應鏈中,有許多環節是進行追蹤時必要的資訊採集重點,被視為「關鍵追蹤活動」(Critical tracking events, CTEs),而各種「關鍵追蹤活動」的紀錄項目即為「重點資料元素」(Key data elements, KDEs)。 根據該指南所定義的CTEs包含: 1.運輸活動(Transportation events)-食品的外部追蹤,包括「運送活動」(Shipping CTE)和「接收活動」(Receiving CTE),指食品在供應鏈的點跟點之間藉由空運、陸運或船運等物理性的移動。 2.轉換活動(Transformation events)-食品的內部追蹤,連結食品經過各種結合、烹煮、包裝等加工的輸入到輸出過程,包括「轉換輸入活動」(Transformation Input CTE)和「轉換輸出活動」(Transformation Output CTE)。 3.消耗活動(Depletion events)-係將食品從供應鏈上去除的活動。其中,「消費活動」(Consumption CTE),指食品呈現可供顧客消費狀態的活動,例如把新鮮農產品放在零售店供顧客選購;「最終處置活動」(Disposal CTE)指將食品毀棄、無法再作為其他食品的成分或無法再供消費的活動。 而紀錄上述CTEs的KDEs例如各項活動的擁有人、交易對象、日期時間、地點、產品、品質等,應將該指南所列出之各項KDEs理解為紀錄CTEs的最基本項目。目前最大的問題是食品監管的要求和產業界執行可行性間的差距,故如何縮小此差距仍為各國政府當前最大的挑戰。