Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者(Data Controller)責任
2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。
本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。
在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
林玉書
法律研究員 編譯整理
美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)於2023年3月15日修訂《臨床研究電子系統、電子紀錄及電子簽章:問答集》(Electronic Systems, Electronic Records, and Electronic Signatures in Clinical Investigations: Questions and Answers)指引草案,為試驗委託者、臨床研究人員、人體研究倫理審查委員會、受託研究機構及其他利害關係人統整電子系統、電子紀錄及電子簽章常見問答,供食品、醫療產品、菸草製品及動物新藥臨床研究參考。 本指引草案修訂2017年6月21日所發布的《21 CFR part 11臨床研究使用電子紀錄及電子簽章—問答集》(Use of Electronic Records and Electronic Signatures in Clinical Investigations Under 21 Part 11-Questions and Answers),並將於本指引最終版確定後,取代2007年5月10日所發布的《臨床研究使用電腦系統》指引(Computerized Systems Used in Clinical Investigations)。US FDA認為電子系統、電子紀錄及電子簽章是可信且可靠的,並且通常可等同於紙本紀錄及手寫簽名的方式。 本指引修正重點如下: 一、新增電子系統驗證的風險基礎方法,以確保臨床研究建立、修改、維護、歸檔、檢索、傳輸電子資料及紀錄的真實性、完整性及機密性。 二、統整試驗委託者與資訊科技服務供應商合作應注意事項,以確保電子紀錄符合監管要求。 三、新增數位健康科技(digital health technology, DHT)定義及使用DHT考量重點。 關於臨床研究使用DHT,亦可參考2021年12月23日所公布的《透過數位健康科技擷取臨床研究遠端資料》(Digital Health Technologies for Remote Data Acquisition in Clinical Investigations)指引草案。該指引草案針對DHT的選擇、驗證、應用、訓練及風險提供相關建議。於臨床研究使用電子系統、電子紀錄及電子簽章已為國際趨勢,對於各國相關規範值得持續關注。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)
全球首宗BitTorrent侵權案被判定有罪2005 年 10 月 24 日,香港屯門法院判定一名男子利用 BT ( BitTorrent )軟體非法散布三部電影的行為構成刑事犯罪。這是全球首宗有人因使用 BT 軟體而被法院裁定罪名成立。 判案書指出,該名男子將電腦內存放之影片製作成「種子」( seed ),並在網路新聞群組上宣傳自己的「種子」,以便他人下載,由於這些「種子」下載量很大,對版權所有人造成侵害,已違反了香港法例第 528 章《版權條例》第 118 條之散布( distributes )侵權重製物罪。雖然香港法例對於“散布”一詞並未詳細界定,但香港法院解釋認為,上傳 BT 種子的行為已屬於一種散布行為。 這項判決雖存有解釋上的疑義,但是本案將同時對國際間的種子提供者、下載者以及提供 BT 軟體的公司產生重大影響。蓋 BT 本身也屬於一種 P2P 軟體,下載者在下載檔案的過程中,本身也將承擔部分上傳資料的工作,故也可能在無意中觸犯相關刑罰。此外,提供 BT 軟體的公司也可能涉及侵權,因為據今年 6 月美國最高法院裁定, P2P 軟體公司必須為其客戶的侵權行為負責。
何謂「工業4.0」?所謂工業4.0(Industrie 4.0)乃係將產品用最先進的資訊和通訊技術緊密結合。其發展背後的原動力是快速增長的經濟和社會的數位化。在德國,它不斷地在改變未來產品的生產及加工方式:自蒸汽機、生產線、電子和電腦技術之後,現在確認了「智慧工廠」(Smart Factories)乃是第四次工業革命。 德國「工業4.0」一詞源於2011年德國教育與研究部(BMBF)在其高科技策略(Hightech-Strategie)下的研發計畫。而如何落實工業4.0,則可從德國科學技術院(Deutsche Akademie der Technikwissenschaften, acatech) 與德國高科技策略之研究聯盟顧問委員會(Forschungsunion, Wirtschaft und Wissenschaft begleiten die Hightech-Strategie)共同提出之「工業4.0:實踐建議報告書」 (Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0)窺見整體計畫。 它的技術基礎是資訊科技、數位化的網路系統,藉由該系統,可以實現超強的自行組織運作的生產流程:人、機器、設備、物流和產品在工業4.0中,得以在同一個平台上相互溝通協作。不同企業間的生產及運送過程可以更聰明地以資訊科技技術相互地溝通,更為有效和彈性地生產。 如此一來將有助於產生智慧型新創價值的供應鏈,其囊括產品生命週期的各階段-從開發、生產、應用和維修一直到回收產品階段。藉此,一方面相關的服務可從客戶對產品想法一直到產品的回收都包括在內。因此,企業能夠更容易地根據個別客戶的要求生產定制產品。客製化的產品生產和維修可能會成為新的標準。另一方面,雖然是生產個性化商品但生產成本仍可以降低。藉由新創價值供應鏈相關企業的相互串聯,使產品不再只是各個流程得以優化,而係整體的創新價值鍊的整體最適化。如果所有資訊都能即時提供,一個公司可以儘早快速回應的某些原材料的短缺,生產過程可以跨企業地調整控制,使其更節省原料和能源。總體而言,生產效率能夠提高,加強企業的競爭力和提高生產彈性。
紐約市實施《生物辨識隱私法》強化生物特徵保護伴隨人工智慧、大數據及雲端運算浪潮,生物辨識技術逐漸成為日常生活的一部分。所謂生物辨識技術,是指利用個人獨特之生物特徵辨識個人的技術。生物特徵包含任何人類生理或行為特徵,只要能夠滿足普遍性、獨特性、不變性及可蒐集性 ,即可作為生物辨識之資訊。由於生物辨識技術能利用生物特徵達到識別與驗證個人身分,因而引發公眾對隱私、資安等議題的關注。 對此,紐約市於2021年7月21日也開始正式施行《生物辨識隱私法》(biometric privacy act) ,期能藉由限制業者利用生物辨識技術以及賦予消費者訴訟權利作法,促成隱私權的週全保障。 該法主要有三大部分: 一、規範生物辨識資訊範圍,包含但不限於(1)視網膜或虹膜掃描(2)指紋或聲紋(3)手或臉部立體掃描或是其他可用於識別之特徵。就前開生物特徵,要求業者應在所有消費者入口處放置清晰顯眼的標誌,搭配簡單易懂方式揭露其蒐集、保留、儲存消費者生物辨識資訊行為。同時,也明文禁止業者將消費者生物辨識資訊以販賣、租賃、交易或是分享方式交換任何相關價值或利益。 二、提供受侵害之消費者訴訟權與法定賠償請求權。但是,就單純未符合揭露要求之業者,該法給予30天的補救期間,要求消費者應於起訴前30天通知業者改善,一經改善即不得再起訴。 三、闡明政府相關部門不適用本法。金融機構、業者與執法部門共享生物辨識資訊,以及單純以影像、圖像蒐集而未分析識別情形則豁免揭露規範。 綜上,紐約市於該法創設訴訟權、法定賠償數額及豁免事由,預料將會是紐約市企業隱私保護政策重要指標,而值得我們繼續關注其發展與影響。