2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。
本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。
在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
美國紐約南區地方法院於今年3月22日裁定否決Google 與美國作家協會(Authors Guild)及出版商間所達成的和解協議。此和解案起於Google 於2004年提出的Google Books 計畫,規劃與各大學圖書館合作進行將其館藏圖書數位化。美國作家協會於是於2005提起集體訴訟,在經過兩年談判後與Google 於2008年達成和解協議。如此協議被法院認可,Google 將可掃描及販售成千上萬之書籍,其中包含已絕版之書籍,且即使這些書籍並非屬於公共財或未取得出版商之許可置於Google Books上。 美國地方法院法官Denny Chin表示雖然將書籍數位化且建制完整的數位圖書館(universal digital library)將會造福很多人,但認為和解協議的內容不具公平、適當及合理性。因相較於其競爭對手,此和解協議將給予Google享有顯著的優勢,讓其進行大規模的複製未經授權的著作。 Google 律師表示此裁定令人失望,但將檢視法院之判決並思考後續之選擇,並說明不論結果如何,Google 將持續致力於將全世界的書籍藉由線上Google Books 及Google eBooks 的方式被發現。
歐盟個人資料保護委員會提出關於資料主體接近使用其個人資料權利之指引歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)第15條為「資料主體之接近使用權(Right of access)」,其第1項規定「資料主體有權向控管者確認其個人資料是否正被處理」,資料主體並得知悉其個資處理之目的、所涉及之類型等事項。該條係為使資料主體在獲得充分、透明且容易接近之資訊,使其得更輕易的行使如資料刪除或更正等權利。 因條文在文字上具抽象性,就具體內涵仍須有一定基準,故歐盟個人資料保護委員會(European Data Protection Board, EDPB)於2022年1月18日,針對GDPR中之接近使用權提出指引(Guidelines 01/2022 on data subject rights - Right of access),闡明在不同的情況中,資料主體應如何向資料控管者(Data Controller)主張接近使用權,並且說明資料控管者針對此項權利之義務內涵。 就具體內容,該指引包含:接近使用權之範圍、資料控管者應向資料主體提供之資訊內容、資料主體請求資訊之格式、資料控管者應如何提供資訊、GDPR第12條第5項所稱「資料主體之請求明顯無理由或過度者」之概念為何。指引並製作流程圖,以便利資料主體輕易的了解向資料控管者主張權利之步驟。 而對於資料控管者,指引亦說明其應如何解釋與評估資料主體之請求、應如何回覆特定請求、限制接近使用權之例子。該指引旨在從各方面分析接近使用權,經由舉例與設想特殊情形,以求為該權利提供更精確之指導。
新加坡針對閒置頻譜利用之政策管制架構提出公眾諮詢隨著行動通訊需求的提升,各國對無線頻譜資源需求若渴,除了極力釋出更多頻譜資源外,也針對既有頻譜的使用效率加以提升,以滿足頻譜的需求,無線廣播電視為了維護收訊品質,在各頻道之間保留相當大的空白區域,以避免訊號干擾;另一方面,無線廣播電視訊號在人口較少或是有線電視較發達的區域,訊號覆蓋的要求較低,產生許多無訊號的地帶,形成頻譜閒置的狀況。因此目前許多國家將提升頻譜效率的政策,運用在無線廣播電視所使用的頻段上,透過活用上述處於閒置的頻譜資源,滿足更多的無線通訊需求。 目前動態頻譜接取技術就是這樣的一個創新,允許隨機的、免執照使用閒置頻譜,以提高頻譜效率。目前最主流的運用場域在無線廣播電視的頻道上,如前所述,這些頻譜的空白保留區域或是閒置未用的狀況,稱為電視閒置頻譜(TV White Space,TVWS)。TVWS可用以替代類似Wi-Fi功能的無線寬頻通訊,但能夠以更低的功耗與成本加以部署,並擁有更大的涵蓋範圍。TVWS技術亦可以無線連接多種智慧型的終端設備,並具有良好的成本效益,提供更多創新的應用和服務。 新加坡資通訊發展管理局(The Infocomm Development Authority of Singapore,IDA)在2011年起結合相關業者開始進行概念實證運行,目的在驗證新加坡是否具有成功使用TVWS技術的可行性,並於2012年宣布成功。隨後,在IDA的支持下,集合資通訊業者成立「新加坡閒置頻譜先導團隊(Singapore White Space Pilot Group,SWSPG)」的產業協會,在新加坡各地展開了一系列的TVWS先導計畫。 這些先導計畫包括新加坡國立大學的智慧能源控制與智慧電表、新加坡島嶼鄉村俱樂部的寬頻服務、樟宜機場與港口周邊地區提供公共的Wi-Fi熱點。這些先導計畫的作用也在於探詢TVWS技術如何補強既有的寬頻基礎設施,克服新加坡天然環境的限制,提供更多創新的消費和商業應用。這些先導計畫也展現出TVWS可以運用提供良好的多元化的商業服務,深受參與先導計畫的使用者肯定。總體而言,這些先導計畫證明TVWS技術可為新加坡的無線服務提供更多可用頻譜,從而提升了頻譜使用的整體效率。 在這些先導計畫的成功基礎上,IDA認為為了促進TVWS的更大發展,應該展開TVWS設備與使用的的準則定義與確定管制上的的需求,一方面保護既有服務,一方面則必須避免各頻段可能產生的頻率干擾。IDA於2013年6月公布關於TVWS管制架構的公眾諮詢,藉以深入了解產業的需求,制訂完善的管制架構,確保TVWS的發展符合國際趨勢、新加坡的地理條件與市場環境的需求。IDA並希望能於2014年公布TVWS相關設備與服務的準則及管制架構。
美國眾議院通過網路保護法美國眾議院於2015年4月22日以307票同意,116票反對,通過網路保護法(The Protecting Cyber Networks Act)。本法之立法目的在於移除法規障礙,美國公司藉此將得以與其他公機關或私人分享資安威脅的相關資訊,以防範駭客攻擊。 本法之重點內容主要係為對於網路威脅指標與防禦辦法之分享。依網路保護法第102條與第104條之規定,分享的客體包括「網路威脅指標」(cyber threat indicator)與「防禦辦法」(defensive measures),分享之對象則分為非聯邦機構(non-Federal entities)以及(國防部或國安局之外的)適當之聯邦機構(appropriate Federal entities)。本法第102條規定,在符合機密資訊、情報來源與方法、以及隱私及公民自由之保護下,國家情報總監(the Director of National Intelligence, DNI)經與其他適當聯邦機構諮商後,應展開並頒布相關程序,以促進下列事項之進行:「(一)與相關非聯邦機構中具有適當安全權限之代表,及時分享(timely sharing)聯邦政府所有之機密網路威脅指標;(二)與相關非聯邦機構及時分享聯邦政府所有,且可能被解密並以非機密等級分享之網路威脅指標;(三)於適當情況下與非聯邦機構分享聯邦政府所有,且與該些機構即將或正在發生之網路安全威脅(cybersecurity threat)有關之資訊,以防止或降低該網路安全威脅所造成之負面影響。」 以及,對於隱私權與公民自由之保障亦非常重要,就隱私權與公民自由之保障,網路保護法主要在第103條第4項設有相關規定。對於資訊安全,該項第1款規定,依本法第103條之規定進行資訊系統之監控、執行防禦辦法、或提供或取得網路威脅指標或防禦辦法之非聯邦機構,應實施適當之安全管控,以保護該些網路威脅指標或防禦辦法免遭未經授權之近用或取得。同項第2款則更進一步規定了特定個人資料在一定條件下應被移除。該款規定,依本法進行網路威脅指標分享的非聯邦機構,於分享前應合理地對該網路威脅指標進行復核,以評估該指標是否含有任何令該機構合理相信(reasonably believes)與網路安全威脅非直接相關,且於分享時(at the time of sharing)屬於特定個人之個人資訊或指向特定個人之資訊,並移除該等資訊。