英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。
本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下:
一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。
二、無適當安全維護措施
三、涉及敏感性個資,違法情狀嚴重
四、未積極配合調查
五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。
此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。
線上拍賣網站eBay以澳洲為實驗對象,實行強制澳洲消費者使用PayPal線上支付服務之政策,預估於2008年6月l7日開始,直接存款、個人支票與匯票將被排除於支付工具之外。此為eBay第一次採用限制支付的方式,預估未來也可能推行於其他的市場。消費者可使用PayPal、現金提貨或Visa與MasterCard金融卡之方式來付款,但均須藉由PayPal的系統來完成支付。PayPal允許消費者指定他們的信用卡、金融卡或銀行帳號為付款,而PayPal將向賣家收取每筆交易額度的1.1%與2.4%的費用。 澳大利亞競爭與消費者委員會(Australian Competition and Consumer Commission, ACCC)與新南威爾斯州公平貿易署(NSW Office of Fair Trading),對於eBay限制消費者的支付工具選擇權,均持反對意見。eBay面對外界的批評表示,若採銀行轉帳交易的型態,其引發爭議的可能性,係為PayPal交易的四倍,強制使用PayPal,將促使消費者至網站購物的動力,且保護消費者網路購物的安全。而且,eBay在澳洲實施的政策規定,將擴大對消費者的補償數額,即若消費者未收到商品,或是商品未符合於網站上的描述情況,則eBay將補償消費3仟至2萬澳元,此舉亦是保護消費者的權益。 目前,澳大利亞競爭與消費者委員會(ACCC)開始調查eBay的新政策,若有違法行為,將請eBay取消強制澳洲消費者使用PayPal線上支付服務的新政策。
歐盟電信網路新修規章通過網路中立條款2015年10月27日歐洲議會通過電信網路新修規章(Regulation 2015/2120),內容包括網路中立(Net Neutrality)條款,該規章將拘束歐盟全體會員國之資訊通信法規,並確立歐盟境內之網路中立原則。在本次立法之前,歐盟境內未建立統一的網路中立法規,僅荷蘭、斯洛維尼亞及芬蘭制定國內網路中立法規。 網路中立係指各種網路應用、內容或服務,均應受到平等對待,網路服務業者 (Internet Service Provider,以下簡稱ISP)不得任意實施差別待遇,例如攔阻(blocking)、延後傳送順序或降速(throttling)等。依據歐盟新修規章第3(3)條規定,ISP應平等處理所有網路流量,但同條之例外條款允許ISP在特定條件下,採取合理的流量管制措施。ISP流量管制之標的必須係基於因技術上服務需求之差異,所客觀形成之不同類別,換句話說,ISP不得因商業考量而對個別網路使用者產生差別待遇,僅得針對客觀的類別進行流量差異管制,例如點對點(Peer-to-Peer,P2P)傳輸軟體下載與語音電話,因流量傳輸需求不同,屬於不同的類別,是故,對於這兩種類別可採取不同之傳輸速度。同時,ISP的管制措施必須符合透明、非歧視性及比例原則。ISP亦不得監看特定內容,而管制期間不得超過必要之期限。 除了上述因客觀類別所採取之差別待遇之外,該規章亦賦予ISP得因特定法定事項而採取流量管制,該法定事項包括: 1.基於法律規範或執法需要而進行管制:包括符合歐盟法或會員國國內法之規定、以及法院或行政機關之命令或授權。 2.為了維持網路服務之完整性及安全性所採取之管制,包括網路、透過網路提供之服務或終端使用者(個人及企業)之終端設備。 3.防止即將產生之網路塞車或減輕網路塞車情況,但其前提為相同之網路服務類別必須給予平等之待遇。 歐盟之新修規章試圖在網路中立原則下,建立合理的管制措施規範。但該規章仍存有一些爭議性,包括: 1.為了讓醫療用途等網路流量能被優先處理,該規章允許ISP針對類別差異給予不同傳輸速度。但類別之區分方式仍不夠明確,可能導致ISP得恣意實施差別待遇。 2.法條未限制網路公司與電信業者結盟,ISP可依據商業契約讓某些網路使用不計入資費的使用量(zero rating),可能導致大公司占據競爭優勢,不利新興公司的發展。 3.有關加密資料之類別決定,ISP須進行解密查看才知道該加密資料符合何種傳輸類別,但此舉會引發資料保護之問題,因此加密資料之傳輸問題仍尚待解決。 4.為了促使網路暢通,該規章允許網路塞車時或有塞車之虞時,ISP可進行流量管制。但後續必須清楚界定網路塞車之虞的情況,以避免賦予ISP過多管制權限。 歐盟新修規章已完成立法,後續將交由歐盟電信管制機關(Body of European Regulators for Electronic Communications,BEREC)訂立細部辦法,以拘束歐盟各會員國的網路服務業者,同時各會員國也必須修改國內相關法規,以符合該規章之規範。
“Cookies”—餅乾或是毒藥? 何謂「無人機」?無人機(Drone)也就是無人飛機或無人飛行器(Unmanned Aerial Vehicles, UAV),具備自動飛行系統的簡易模型飛機,自動飛行系統內可能包含一電腦作業系統、一套衛星導航裝置、羅盤功能、氣壓高度計、偵測器及設計飛行之軟體等等,簡稱無人機。茲因電子與無線傳輸科技進步,無人機在國際間掀起流行,近來無人機之使用引發安全疑慮,促進各國重視無人機的使用與法制管理。目前國際間陸續針對無人機立法管理的有美國、日本及歐盟等,我國行政院亦於2015年9月24日通過「民用航空法」部分條文修正草案因應無人機遙控管理規範。觀諸國際立法及修法趨勢,無人航空器之管理,包括無人機的體積、重量、使用用途、使用區域限制、使用時間限制、飛行速度或方法、飛行高度限制等,且亦須重視安全、隱私、資料保護、損害責任與保險相關問題,以及無人機所有權明確判別之方式等,因此我國未來就無人機相關管理規範或可參考先進國家重要管理規定,擬定更適合我國之「無人航空器管理規則」,俾利發展新興科技無人機市場時,同時能兼顧確保個人、國家與領空安全之規劃。