紐約市議員向議會提出禁止行動裝置相關業者共享客戶位置資訊的法案
紐約市議員Justin Brannan於2019年7月23日向紐約市議會提交一項內容為禁止電信公司和手機應用程式開發商與第三方共享客戶位置資訊(location data)的法案(Int 1632-2019, Prohibition on sharing location data with third parties.)。
該法案原則上,禁止電信公司和手機應用程式開發商與第三方(例如:行銷人員)共享客戶的位置資訊,主要原因在於一般客戶並不清楚自己的位置資訊被共享給第三人,且對於第三人取得其位置資訊後的利用行為存有疑慮。又,位置資訊應屬個人隱私的一部分,故未取得客戶本人同意,即共享其位置資訊無疑是對客戶個人隱私的侵犯。如公司違反法案規定,執法機關對該公司之罰款,以「行為次數」作為計算單位,每次課予1,000美元,惟就同一名受害者,如一天內有數個違法行為,則當天罰款上限為10,000美元。同時,該法案賦予位置資訊被違法共享的當事人,得就其權利被侵害之事實,向法院提訴訟,以為救濟。
不過,該法案並非「絕對」禁止位置資訊的共享,如屬下列情形,例外可共享:
- 為配合執法機關執行法定職務之所需,如:法律調查等程序,而提供客戶之位置資訊。
- 為911緊急服務之所需提供,或為免除本人之生命或財產上之急迫危險,提供其位置資訊。
- 聯邦法律、州法或地方法明文要求應提供。
- 客戶授權電信公司或手機應用程式開發商得與第三方共享其位置資訊。
這部法案主要目的在於,保障行動裝置使用者的位置資訊,不會在當事人不知情的情形下被提供給第三方。雖然目前該法案尚在審議中,但未來如果通過,紐約市將成為禁止出售個人行動裝置位置資訊的先鋒,同時其執行結果勢必也將成為關注焦點。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
許新連
副法律研究員 編譯整理
1. Shannon Liao, New York City might ban wireless companies from selling your location data, CNN Business, Jul, 24, 2019, https://edition.cnn.com/2019/07/24/tech/nyc-cellphone-location-data-sale-ban/index.html. (last visited Jul. 25, 2019)
2. Owen Daugherty, NYC bill would ban the sale of cellphone location data, THE HILL, Jul, 23, 2019, https://thehill.com/policy/technology/454437-nyc-bill-would-ban-the-sale-of-cellphone-location-data. (last visited Jul. 25, 2019)
3. Prohibition on sharing location data with third parties, NYC, NO.1632(2019), https://legistar.council.nyc.gov/LegislationDetail.aspx?ID=4069480&GUID=6FA8018C-84A4-4E71-93CE-D467AD53E9EA&Options=ID%7cText. (last visited Aug. 01, 2019)
歐盟執委會(European Commission)於2020年2月19日提出「歐洲資料戰略」(the European data strategy),其將建立單一資料市場(single data market)。針對少數大型科技公司(big tech)往往透過定位、社群網路等服務,掌控全球大量資料,且嚴重阻礙由資料驅動之商業型態(data-driven business)的發展與創新,透過建立單一資料市場,開放未使用的資料,使資料可於歐盟內部及跨部門自由流動,以對抗美國大型科技公司,例如:Facebook、Google或Amazon等資料壟斷之情況,確保市場開放和公平。 依據文件內容,歐洲資料戰略主要目標在於,善用歐盟巨量產業資料和創新科技,建立一個公平的歐盟資料空間,鼓勵資料共享,並建議制定資料監管規則。歐盟相關措施包含公布更多地理空間、環境、氣象學等公共資料(public data);免費提供企業街區資料;針對阻礙資料分享之規範訂定競爭法;提供新跨境資料使用和整合規範;針對製造、氣候變遷、自動產業、健康照護、金融服務、農業、能源等提供相關標準;廢除阻礙資料共享的相關規則,避免線上平臺對資料限制利用或獲利顯失公平之情況。歐盟執委會預計於2020年底提出數位服務法(Digital Services Act),提供企業於單一市場營運更清楚規則,強化數位平臺責任和保護基本權利。
日本認可智遊網就其線上訂房服務經營策略可能違反公平競爭秩序所提出之約定改善計畫日本公平交易委員會(公正取引委員会,下稱日本公平會)於2022年6月2日宣布,已認可智遊網集團(Expedia,日文原文為エクスペディア)針對其網站線上旅館訂房服務經營方式可能違反公平競爭秩序的情形,所提出的約定改善計畫(確約計画)。依日本獨占禁止法第48條之2、第48條之3規定,受日本公平會通知有違反獨占禁止法疑慮的業者,於規定期限內提出約定改善計畫後,日本公平會審酌認為其計畫之落實能有效消除違法疑慮時,即得作成認可該計畫之行政處分。基此,智遊網集團後續得藉由落實該約定改善計畫,來排除上述經營方式牴觸獨占禁止法第19條禁止業者採取不公正交易方法規範的疑慮。 按獨占禁止法,其立法目的為確保與促進市場的公平與自由競爭,主要規範關於獨占、聯合與結合等行為;至於針對不公平競爭行為,則另訂「不正競爭防止法」加以規範,而與我國公平交易法合併規範獨占等與不公平競爭行為之立法架構有所不同。 根據日本公平會依獨占禁止法規定所進行調查,智遊網集團經營的線上旅館訂房預約網站Expedia,與位在日本國內的旅館設施經營經營業者所締結的契約中約定,日本旅館經營業者在Expedia網站上刊載提供的住宿費用與房間數等條件,需優於或至少等同於與該特定旅館業者在其他訂房服務通路所提供的條件。並且,智遊網集團進一步依據該約款,主動要求旅館經營業者遵守該條件,或由日本之智遊網分公司協助向旅館業者請求。日本旅館業者受此條款拘束,亦影響了與Expedia網站存在競爭關係的訂房網站經營業者之事業活動。例如,其他訂房網站經營業者自行負擔成本提供特定旅館業者之訂房優惠時,因其價格優於該旅館業者刊載於Expedia網站之條件,而被迫中止該訂房網站的優惠活動。 日本公平會於2022年2月25日將上述審查結果依獨占禁止法法第48條之2通知智遊網集團,要求其針對上述經營行為提出約定改善計畫,以恢復公平競爭秩序。而智遊網依此提出的約定改善計畫,主要內容包含: (1)停止、以及不再締結上述約款與要求業者履行約款等行為; (2)將上述決定與作為通知旅館經營業者、以及智遊網集團自家的員工; (3)定期向日本公平會報告上述改善措施的落實狀況等。
美國發布網路事件協調準則隨著網路技術的進步,資安事件亦日益加增,為了因應日趨頻繁的網路攻擊,美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令(PRESIDENTIAL POLICY DIRECTIVE/PPD-41),該指令不僅提出聯邦政府對於資安事件回應的處理原則,並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。 指令中就資安事件及重大資安事件進行了定義:資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行;而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外,就遭遇資安事件時,列舉出下列幾點作為聯邦政府因應資安事件時之原則:(A)責任分擔;(B)基於風險的回應;(C)尊重受影響者;(D)政府力量之聯合;(E)促進重建及恢復。 聯邦政府機關於因應資安事件時,需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應;國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分,而情報支援部分,則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響,則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時,為使聯邦政府能有效率因應,指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外,指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。 該指令加強了現有政策的執行,並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。
英國通訊傳播管理局發表「開放通訊:使人們能夠透過創新服務共享資料」,提供通訊業者建立開放通訊(Open Communications)之原則建議英國通訊傳播管理局(The Office of Communications, Ofcom)於2020年8月發布「開放通訊:使人們能夠透過創新服務共享資料」(Open Communications: Enabling people to share data with innovative services),針對開放通訊的設計原理提出七點建議: 應盡可能讓符合條件的第三方能夠近用(access)資料,同時確保用戶受到保護。 應提供客戶一些目前無法取得的資料,例如有關網路服務品質的體驗報告,以提供使用者做為未來交易時之參考。 資料的提供商和第三方必須確保資料儲存和傳輸的安全性。 第三方將如何使用有關客戶的資料及是否含有潛在風險等,皆應清楚透明地告知使用者,並且讓共享資料之使用者仍保有控制權限。 開放通訊服務之設計應符合包容性設計(inclusive design),提高使用者使用意願。 開放通訊仍應維持市場競爭。 提供資料所需的成本應與資料開放的潛在收益成比例。原則上,參與開放通訊的通訊提供者越多,對個人和小型企業的整體價值就越高。惟,若是強制要求用戶數少或是無法承擔該技術的小型提供商加入,可能導致成本與收益不成比例。 除此之外,對於應開放何種資料則須循序漸進。除了增加對第三方客戶資料近用權限之外,首先,應針對開放對資料提供者風險低,但對潛在用戶有較高利益的資料,例如:不包含個人訊息的資料,從而降低匿名化過程中所產生之風險;第二,開放低風險的地理空間資料(geospatial data),目的在於改善該地區的整體地理空間資料基礎架構。最後才是開放有關各種通訊產品中的其他資料,以促進消費者的選擇和保護。 綜上所述,考慮到開放通訊之可行性,需進一步與其他資料可攜性計劃的主要代表進行會談(如銀行業者),尋求各行業主要服務提供商的支持。再者,考慮是否訂定相關法律以及如何進行監管。第三,應標準化客戶資料,以及確保資料移動之安全性及用戶控制權限,最後則是降低資料開放之成本,以達成開放通訊所帶來之效益。