加拿大隱私專員辦公室針對聯邦廣播與電信修法提出隱私權與個資保護建議

  加拿大隱私專員辦公室(Office of the Privacy Commissioner of Canada, OPC)於2019年1月11日就其聯邦廣播通訊法(Radiocommunication Act, RA)與電信法(Telecommunications Act, TA)提出隱私權與個資保護建議。現行加拿大聯邦廣播通訊法針對個資保護並無特別立法,而其電信法第七條雖有提及要注重個資隱私,卻無實質責任規範。惟廣播與電信公司蒐集、處理及利用個資時,如何確保當事人之個資隱私受到保護,就此加拿大隱私專員辦公室提出三點修法建議。

一、電信法及廣播通訊法應包含哪些隱私安全與資訊安全之概念?

  基於人民將大量敏感個資委託給電信業者,以獲得互聯網、電話及電視通信便利服務。惟個人資訊不但具有龐大商業價值,對於執法機關和情報安全機構也具有相當利益。基於以下因素,加拿大隱私專員辦公室建議制定電信業者更新之安全機制與公共安全義務。

  1. 保護措施
    現行法規之保護措施應該適用於現代通訊工具,所有設備儲存與傳輸之敏感性個資都應受到保護,而非僅限於被使用之個人資訊。
  2. 門檻提升
    數據蒐集之法律標準需加強,提升隱私保護。
  3. 保存期限要求
    除法律特別規定之保存期限外,相關通訊數據保存應於最短時間內刪除,通盤完整保留數據為不必要之風險。
  4. 強制協助命令
  5. 強制監督
    關於電信商既已存在之標準,監視與保留通訊之數據,依據政府要求提供者,政府須解釋其合理性。
  6. 透明度
    除加拿大電信商提供年度報告,政府單位依據合法授權來請求加拿大客戶數據之情況下,應有相關報告以示公平。

二、政府管理政策與產業治理之有效性衡平

  鑑於資訊技術與商業模式蒐集數據為不透明,普通消費者根本無從得知個人資訊是如何被取得及利用分享,當事人較難根據資訊來識別問題,亦難區別是否當事人是否為有效性之同意,故加拿大隱私專員辦公室認為其應該有權審核或檢查電信業者使用技術範圍內之事務,以確保現實情況與隱私法規範保護一致。故應使加拿大隱私專員辦公室能與其他聯邦監管機構(Canadian Radio-television and Telecommunications Commission, CRTC加拿大廣播電視和電信委員會與加拿大競爭局)共享資訊,並授予加拿大隱私專員辦公司發布命令與實施行政罰鍰之權力,且允許其進行積極之合規性審查。

三、立法設計中應包含消費者保護、權利行使及可及性

  加拿大人民享受數位經濟帶來之好處,同時希望個人資訊之利用為無疑慮地,人民相信政府及立法機關會做好保護措施。惟目前加拿大之隱私立法仍為相當寬鬆,近期相關數據洩漏事件亦已證實電信公司無法善盡管理負責任,透明度與問責制度皆不足,相關消費者保護與權利行使皆須更完善,並需要更多資金進行改善。

  加拿大個人資料保護和電子文件法(Personal Information Protection and Electronic Documents Act, PIPEDA)個資隱私法下,公司或組織於所提供服務相關時,可獲取、使用及共享資訊,但在提供服務之資訊外,尚有許多資訊共享於其他目的。電信公司蒐集日常生活資訊,針對敏感性個資,隱私法規範為明確的,但若個人數據非敏感性,則會帶來許多隱含空間,當事人是否為有意義之同意?加拿大隱私專員辦公室認為他們應該要有更多法律權力,透過執法確保電信數據生態系統之信任,並整合聯邦與省之法規。政府與業者創新使用數據皆能受到監管,於事件未發生時,則有前端監督其合規性,將使市場有明確性,且能向人民進一步保證其關注將獲得解決。

相關連結
你可能會想參加
※ 加拿大隱私專員辦公室針對聯邦廣播與電信修法提出隱私權與個資保護建議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8221&no=57&tp=1 (最後瀏覽日:2026/07/15)
引註此篇文章
你可能還會想看
美國國會提出SHIELD法案 圍堵專利蟑螂橫行

  為反制專利蟑螂利用訴訟方式滋擾實際從事研發以及實施專利者,美國國會於2012年8月提出SHIELD法案(Saving High-Tech Innovators from Egregious Legal Disputes Act of 2012 ),顧名思義本法案之目的在於防免高科技創新者陷於惡意挑起的法律爭端之中。該法案補充美國聯邦專利法規定,使得法院得在發現當事人一造並無合理勝訴之可能而仍舊對電腦硬體或軟體專利之有效性提起訴訟,或主張被侵權時,法院得判決其回復全部訴訟之費用支出予除美國以外勝訴之一造(the prevailing party),包括合理之律師費。   SHIELD法案原立意良善,但其也可能就像兩面刃,例如法案的規範內容用語抽象,以致於在企圖達到其立法目的外,未同時設想可能造成的法律陷阱或未預期之法律效果。就法案內容來看,其賦予法院得判決要求回復訴訟費用及律師費之人(所謂勝訴之一造)並不限於原告。又本法案得適用在任何電腦或軟體專利的訴訟,因此,當兩家大型公司相互就專利實施進行對決時,SHIELD法案無異使得原本已經成本很高的競爭更提高雙方的賭注。此外,法案中對「電腦」的定義,不限於一般認知的「軟體或電腦硬體公司」,使得從金融業到汽車製造都可能涵蓋在內,例如銀行就有許多系統可能同時連接具專利之電腦或其他軟體組件。更重要的是,何時勝訴方可獲得律師費之補償判決,法案亦沒有給法院明確之範圍。   雖然本法案最後通過與否或通過施行後的樣貌仍未可知,但可得知的是對於部分NPE之負面利用專利制度之行為,已促使政府與法界思索專利制度如何衡平專利權保護而更能達到專利制度設置之目的,而其未來顯然仍有一段遙遠的路要走。

美國司法部宣布德國SAP公司承認違法將美國軟體產品出口至伊朗,雙方達成不起訴協議

  美國司法部於2021年4月29日宣布,德國SAP全球軟體公司承認從2010年1月至2017年9月,因未能識別用戶下載軟體的地理位置,導致美國原產技術和軟體在未經許可下,透過雲端伺服器和入口網站提供給伊朗用戶,已違反美國《出口管制規則》(Export Administration Regulations, EAR)和《伊朗交易和制裁條例》(Iranian Transaction and Sanction Regulation, ITSR)。SAP向美國司法部、商務部和財政部支付800萬美元罰款並配合調查與補救,雙方達成不起訴協議。   美國司法部指出,SAP違規行為主要為以下兩種。首先,SAP及其海外合作夥伴向伊朗用戶輸出超過20,000次的美國軟體產品,其方式包括軟體的更新、升級和修補程式。SAP及總部位於美國的供應商,均未使用地理位置過濾器來識別並阻止伊朗用戶下載,且多年來SAP並未採取任何措施解決此問題,導致伊朗用戶下載後,絕大多數美國軟體再流向土耳其、阿聯酋及多家伊朗跨國公司。其次,SAP旗下的雲端企業Cloud Business Group companies(簡稱CBGs)允許約2,360名用戶在伊朗使用美國的雲端運算服務。從2011年開始SAP陸續收購多家雲端服務供應商成為其CBGs,透過收購前的盡職調查及收購後的出口管制特種審計,清楚了解到這些CBGs缺乏足夠的出口管制與制裁合規程序,但SAP仍允許CBGs被收購後繼續作為獨立實體營運,且未能將CBGs完全整合至SAP自身的出口管制規劃中。   美國司法部指出,為確保軟體等美國敏感技術產品,不會非法出口至伊朗等禁運地,公司除必須識別用戶來源外,也有責任確保供應鏈下游與之為產品交易的外國子公司能識別產品輸出地,並且同樣遵守美國經濟制裁政策與出口管制法規,維護美國外交政策與國家安全,防止美國敏感技術落入競爭對手手中。

美國通過基礎建設法案,加密貨幣之交易資訊應向國家稅務局申報

  於美國時間2021年11月15日,基礎建設法案(Infrastructure Investment and Jobs Act,以下稱基建法案)由美國總統拜登(Joe Biden)簽署後正式成為法律。依據白宮聲明,該法案旨在提供工作機會,改善港口與運輸以改善供應鏈,及其他關於美國基礎建設的投資等。此外該法案內容因涉及加密貨幣交易資訊申報議題,受到加密貨幣產業眾多矚目。   基建法案與加密貨幣產業有關者,主要是在美國國內稅收法典(Internal Revenue Code of 1986)第6050I與第6045條之既有規定中,分別將交易標的現金之定義新增數位資產(Digital Asset),及新增經紀商(Broker)之申報義務。所謂數位資產係以數位方式表彰一定價值,並透過加密保全的分散式帳本或其他類似技術所記錄之資產。經紀商認定範圍新增包括「關於任何為獲得報酬,而負責定期提供任何服務,代表他人實現數位資產轉移者」。法規生效後,任何價值超過10,000美元之交易訊息(諸如交易者姓名、社會安全號碼等資訊)應申報至美國國家稅務局(IRS),經紀商亦被要求申報其所經手交易至美國國家稅務局,新規範將適用於2023年12月31日後所應依法申報之文件。   區塊鏈技術去中心化的特性讓加密貨幣交易得以匿名化方式進行,然而新法一概將價值超過10,000美元的交易納入申報範圍。有論者認為,對於未建立身分驗證機制之小型平台業者、礦工以及散戶等經紀商或交易人,如何調整去匿名化之交易模式以遵循申報義務之法令,將是一大挑戰。綜上,新規範揭示政府將深化對於加密貨幣產業之監管,如何兼顧交易自由與交易秩序,將考驗著監管當局及業者之智慧。

FDA發佈人工智慧/機器學習行動計畫

  美國食品藥物管理署(U.S. Food & Drug Administration, FDA)在2021年1月12日發布有關人工智慧醫療器材上市管理的「人工智慧/機器學習行動計畫」(Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan)。該行動計畫的制定背景係FDA認為上市後持續不斷更新演算法的機器學習醫療器材軟體(Software as Medical Device, SaMD),具有極高的診療潛力,將可有效改善醫療品質與病患福祉,因此自2019年以來,FDA嘗試提出新的上市後的監管框架構想,以突破現有醫療器材軟體需要「上市前鎖定演算法、上市後不得任意變更」的監管規定。   2019年4月,FDA發表了「使用人工智慧/機器學習演算法之醫療器材軟體變更之管理架構—討論文件」(Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine earning (AI/ML)-Based Software as a Medical Device (SaMD) - Discussion Paper and Request for Feedback)。此一諮詢性質的文件當中提出,將來廠商可在上市前審查階段提交「事先訂定之變更控制計畫」(pre-determined change control plan),闡明以下內容:(1)SaMD預先規範(SaMD Pre-Specification, SPS):包含此產品未來可能的變更類型(如:輸入資料、性能、適應症)、變更範圍;(2)演算法變更程序(Algorithm Change Protocol, ACP):包含變更對應之處理流程、風險控制措施,以及如何確保軟體變更後之安全及有效性。   根據「人工智慧/機器學習行動計畫」內容所述,「事先訂定之變更控制計畫」構想被多數(包含病患團體在內)的利害關係人肯認,並於相關諮詢會議當中提出完善的細部建言。FDA將根據收到的反饋意見,於2021年以前正式提出有關人工智慧/機器學習上市後監管的指引草案(Draft Guidance),並持續研究提高演算法透明度、避免演算法偏見的方法。

TOP