大阪框架（Osaka Track）

澳洲競爭及消費者委員會（Australian Competition and Consumer Commission, ACCC）於2022年11月發佈了數位平臺第五份調查報告。該報告係ACCC受澳洲政府委託，於2020年起對數位平臺相關的消費者權益和市場競爭問題的調查，本次報告將重點放在監管如何改革。主要提供的建議和警示可分為五個方向： 1.反競爭行為 大型數位平臺擁有巨大的市場力量和重要的財政資源，佔據主導地位的數位平臺公司有能力和動機透過排他性行為和收購潛在競爭對手，以維持其在市場中的優勢地位。 2.消費者和中小企業保護不足 ACCC於2022年所發佈的最新報告與其自2017年開始進行數位平臺研究起所發布的其他報告一致，皆指出數位平臺的服務有以下潛在危害： ● 利用消費者偏見或引導消費者的方式向消費者提供服務。 ● 數位平臺上的詐騙明顯且持續增加。 ● 來自應用程式商店提供的不當和欺詐性應用程式的危害。 ● 創建、購買和銷售虛假評論以及以其他方式操縱評論的做法。 ● 欠缺救濟和爭議解決的途徑。 3.保護消費者的新措施 澳洲現有的競爭和消費者法律已難以因應數位平臺市場所面臨的消費者權益侵害和競爭危害等問題。該報告建議進行立法改革，具體如下： ● 商業市場中的消費者保護措施，包括禁止不公平交易行為和不公平契約條款。 ● 針對數位平臺的消費者爭議措施，包括強制規定內部和外部的爭議解決流程，以及平臺對詐騙、有害程式和虛假評論的預防和刪除義務。 ● 建立新的競爭框架，使受指定的數位平臺提供服務時受到適用於此一領域的強制性法規拘束。 ● 受指定數位平臺將應遵循之新框架和守則，以遵守競爭義務，避免其在市場中的反競爭行為，如競爭行為中的自我偏好（self-preference）等。 4.管轄 該調查報告亦指出適當且明確的管轄權限劃分對於新的監管框架來說非常重要，應在考慮到其專業知識和權責範圍的前提下，將監管責任分配給正確的管理機構，並且這些監管在流程中的各個環節都應受到適當的監督。 對於新的競爭框架及監管措施，ACCC建議可以參考英國當前的制度設計；英國政府成立了數位市場部門（Digital Markets Unit, DMU），該部門隸屬於競爭與市場管理局（Competition and Markets Authority），DMU負責監督受指定數位平臺，並在符合公平貿易、選擇開放、透明及信任等前提之下，DMU得視各個公司不同的情況對其進行特定的要求，如建立面對非法內容、對成人或未成年人有害內容時的應對措施等。 5.與國際方針的一致性 過去，澳洲在數位平臺監管策略採取了領先國際的創新行動，透過實施《新聞媒體議價法》（News Media Bargaining Code），要求數位平臺為新聞內容付費。但未來澳洲政府最終採用的策略將可能仿效他國經驗或是依循國際間共通模式，如英國推行中的《網路安全法》（Online Safety Bill）或歐盟的《數位市場法》（Digital Market Act）和《數位服務法》（Digital Services Act），而非獨樹一幟。 澳洲數位平臺監管策略之後續變化與進展值得持續追蹤，以做為我國數位平臺治理政策之借鏡。

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。

　　2016年3月法國個人資料保護主管機關「國家資訊自由委員會」（Commission Nationale de l'Informatique et des Libertés, CNIL）要求Google等搜尋引擎公司，刪除網路搜尋所出現之歐洲公民姓名。此舉參考2014年歐洲法院（European Court of Justice）對於Mario Costeja González一案（C 131/12）所作裁決，Google公司和Google西班牙公司須遵守西班牙資料保護局（Agencia Española de Protección de Datos, AEPD）要求，移除出現原告姓名之搜尋結果。Google表示不服，並上訴法國最高行政法院（Conseil d'État）。 　　於本案中Google提出兩點主張：第一，CNIL對於被遺忘權（right to be forgotten）適用範圍過大，聲稱所搜尋到之姓名等資訊，屬於事實或來自新聞報導和政府網站之合法公開網站資訊，認為CNIL將隔絕原本在法國可為其他人所知之合法資訊；第二，Google主張向來遵守各國個人資料保護政策，將遵照CNIL要求，但僅限刪除在法國網域內之歐洲公民姓名，無法及於全球網域，除非法國政策已為全歐盟或全球所適用，不然法國個人資料保護審查制度不能延伸至其他國家。 　　對於網路公民權利推廣不遺餘力之「電子前線基金會」（Electronic Frontier Foundation, EFF）認為CNIL對法國公民資料保護之特別要求，將對Google造成損害。

　　歐盟於2018年11月間通過Regulation (EU) 2018/1807，即促進非屬個人資料（下簡稱個資）之資料流通規則（下簡稱規則），藉以促進歐洲單一數位市場之規模經濟，並於2019年05月28日開始適用，據此，歐盟執委會亦因應該規則而頒布指引（COM(2019) 250 final），以釐清規則與GDPR之互動關係。 　　該規則開宗明義表示其制定係為了促進非屬個資之資料（下稱資料）流通，即其適用範圍包含（1）提供予歐盟境內之用戶使用，或（2）在歐盟境內之人依其需要所衍生者等資料，但排除GDPR第4條所定義之個資，故不排除GDPR之適用可能，申言之，若資料集中同時含有資料與個資，則流通則應分別適用本規則及指引（資料部份）與GDPR（個資部份）。 　　此外，為有效達成資料流通，各個歐盟成員國原則上禁止作出資料在地化要求（Data Localisation Requirements），例外僅於公共安全之前提下，且有充分的理由，方得做出合比例性之要求，並於單一資訊網站上即時更新資料在地化要求之清單，不過至遲在2021年05月30日前，成員國須確認其境內之相關規範已無前開例外之資料在地化要求。 　　又，為使歐盟各成員國就資料流通之無礙溝通，各成員國應設單一聯繫窗口，而在（1）歐盟相關規定或（2）國與國間不具特定合作機制，致成員國無法取得資料之近用權限時，該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求，並附上請求之原因說明與近用資料之法律依據。 　　綜上，本規則及其指引與GDPR及其相關規定，對於資料與個資等流通分別建構出穩固的法律系統與環境。