Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者(Data Controller)責任
2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。
本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。
在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
林玉書
法律研究員 編譯整理
.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件: 1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。 2. 造成商業機密洩漏。 3. 已造成或能造成自然人死亡。 4. 對自然人健康已造成或能造成大量傷害。 5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。 6. 反覆發生的事件。 7. 符合第5條至第14條特定資訊服務的事件。 實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。 歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
美國食品及藥物管理局發布含有奈米物質藥物和生物製劑的最終版指引奈米科技發展愈加成熟,藥物和生物製劑包括主成分、賦形劑等都可能使用奈米物質,奈米藥品可包括口服藥、注射劑及局部外用藥,且適應症亦愈來愈多樣化。隨著奈米藥物申請送審的件數增加,美國食品及藥物管理局(U.S. Food and Drug Administration, USFDA)對於此類藥物的審查,除了依既有的藥品審查原則,亦必須針對奈米物質粒徑小的特性,評估粒徑之改變,是否會影響藥品製劑安全性、療效及品質。 美國食品及藥物管理局於2022年4月22日發布含有奈米粒子藥物之最終版產業指引,該指引的範圍涵蓋生物製劑以及基因治療,其要點包含:相關藥物開發原則、品質、研究具體考量因素,以及學名藥的簡易新藥查驗登記申請方式(Abbreviated New Drug Application, ANDA)。 USFDA 曾於2017年12月18日發布該指引的草案,在綜整各方意見後,本次最終版指引新增兩點修正,首先是於第27頁以下新增指引裡常用的26個名詞解釋,以協助讀者理解該份指引的重要術語;其次是學名藥廠於查驗登記時不能只證明製劑相等性,更要提供藥物動力學、藥理學、毒物學等證據以證明足夠的生物相等性,才可取得上市許可。 台灣目前仍在藥事法與特定醫療技術檢查檢驗醫療儀器施行或使用管理辦法,甚至過渡至再生製劑管理條例之法令結構調整過程中,並深受國內醫療環境與產業現況的影響;面對新興藥物研發方法在後疫情時代的快速發展,對產業可能帶來的衝擊與影響,如何並重藥物監理的審驗標準與前瞻性的促進更多有助新興藥物的發展,助益於我國老齡化社會結構的轉變,可更前瞻的參考USFDA最終版指南與標準,以加速台灣細胞治療或奈米藥物發展。
英國無線電頻譜管理改革政策(上)-政策源起與目標 美國德州東區地方法院對Ericsson v. Samsung案發布反禁訴令,禁止援引中國法院禁訴令干擾美國法院對SEP管轄權美國德州東區聯邦地方法院於2021年1月11日對Ericsson v. Samsung案發布反禁訴令(anti-anti-suit injunction),禁止三星援引中國大陸湖北省武漢市中級人民法院作出之禁訴令(anti-suit injunction),以強制執行愛立信4G及5G行動通訊技術領域的標準必要專利(standards-essential patents, SEPs)。 本案源於三星與愛立信更新全球專利交叉授權契約時,雙方對於SEP授權價格是否符合公平、合理、無歧視(Fair, Reasonable and Non-discriminatory, FRAND)未能達成協議。故2020年12月11日,愛立信在美國德州東區地方法院對三星提起訴訟並為通知,請求美國法院確認愛立信的SEP授權符合FRAND;三星則於12月7日,選擇向中國大陸武漢法院提起訴訟,請求對愛立信裁定發布禁訴令,禁止愛立信在全球其他國家的法院另行提起SEP訴訟救濟,直到12月25日中國法院核准禁訴令後才通知愛立信。愛立信旋即於12月28日向美國法院提出暫時禁令和反禁訴令(禁止中國禁訴令干擾),美國法院立即同意核發暫時禁令,並於2021年1月11日核發初步禁制令,明定在美國一審判決結束前三星須遵守以下要求:(1)三星在中國武漢法院民事訴訟中的行動,不得干擾美國德州東區地院的合法管轄權;(2)禁止三星援引中國武漢法院禁訴令,剝奪或限制愛立信及其子公司在美國實施專利訴訟權利;(3)三星透過不公平的經濟影響力,迫使愛立信需繳納違反中國法院禁訴令罰款,三星應賠償愛立信因此所受損害。 另外,美國德州東區地方法院認為,本案兩法院間處理的是不同的法律爭議。三星是要求中國武漢法院針對愛立信4G及5G的SEP訂定全球授權價格;愛立信則是請求美國德州東區地方法院確認,兩家公司間的授權協商行為是否遵守FRAND。故美國法院並非要求三星撤銷中國大陸禁訴令,更無意介入中國法院的民事訴訟程序並阻止審查專利糾紛。美國法院核發反禁訴令的目的,是為了維護美國法院對訴訟的適當管轄權,以確保中國及美國二法院都能對本案進行訴訟。