英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例

　　英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media & Sport）於2020年9月9日發布「國家資料戰略」（National Data Strategy），作為英國規劃其政府資料流通運用的整體性框架。數位、文化、媒體暨體育部長Oliver Dowden表示，資料為驅動現代社會經濟發展的關鍵。於今年COVID-19的全球疫情流行期間，政府、企業、組織等彼此及時共享重要資訊，除達成了防疫目標，更維繫了各層面的經濟生活。因此，本戰略則規劃活用此段期間獲得的知識與經驗，試圖透過資料的釋出流通與運用，讓英國經濟自COVID-19疫情中復甦，提高生產力與創造新型業態，改善公共服務，並使之成為推動創新的樞紐。 　　為優化英國資料的運用，本戰略提出了四個核心面向：（1）資料基礎（data foundation）：資料應以標準化格式，且符合可發現（findable）、可取用（accessible）、相容性（interoperable）與可再利用（reusable）的條件下記載；（2）資料技能（data skills）：應藉由教育體系等培養一般人運用資料的技能；（3）提升資料可取得性（data availability）：鼓勵於公共、私人與第三部門加強協調、取用與共享具備適切品質的資料，並為國際間的資料流通提供適當的保護；（4）負責任的資料（responsible）：確保各方以合法、安全、公平、道德、可持續、和可課責（accountable）的方式使用資料，並支援創新與研究。 　　基此，本戰略進一步提示了五個優先任務：（1）釋出資料的整體經濟價值：建立適切的條件，使資料在經濟體系內可取得且具備可取用性，同時保護私人的資料權（data rights）、以及企業的相關智慧財產權；（2）建構具發展性且可信賴的資料機制：協助企業家與新創人士以負責任及安全的方式使用資料，避免產生監管上的不確定性或風險，並藉以推動經濟發展。同時，也期待藉由機制的建立，鼓勵公眾參與資料的數位經濟應用；（3）改變政府運用資料的方式，提升效率及改善公共服務：以COVID-19疫情期間政府對資料積極運用為契機，推動政府間的整體資料有效管理、使用與共享措施，為相關作法建構一致性的標準與最佳實踐方式；（4）建立資料基礎設施的安全性與彈性：資料基礎設施為國家關鍵資產，應避免其遭遇安全或服務中斷的風險，進而導致資料驅動的相關業務或組織服務中斷；（5）推動國際資料流（international flow of data）：與國際夥伴合作，確保資料的流通運用不會因各地域的制度不同，而受到不當限制。

　　2019年2月13日，歐盟針對數位化單一市場著作權指令（Directive on Copyright in the Digital Single Market，2016/0280(COD)）（下稱著作權指令）之爭議條款第11條及第13條進行討論修正，並達成共識。 　　從2016年9月，歐盟委員會提出修改新版著作權法，一直到去年9月12日，通過「著作權指令」法案，兩年多的改革過程始終產生多方爭議；其中，最具爭議性的有兩大條款：第11條「連結稅」（link tax），是要求網路平台業者在使用或摘錄其著作內容時，需向上傳的出版、新聞業者支付授權費用，對於Google、YouTube等網路巨擘易造成傳播新聞資訊的阻礙；而第13條「上傳過濾器」（upload filter），則是強調網路平台業者需負監督責任，防止上傳者侵權行為，現今流行的模仿搞笑影片、歌曲混音、翻唱影片等涉及部分著作權問題者，都有可能受到法規影響而大量減少。 　　近二十年以來，網路平台業者大多可以避免侵權責任，只要他們不知道上傳的內容侵權，並在發現侵權後立刻將內容移除。此次，著作權指令將加強規範於網路平台業者的行為，要求平台業者建立有效過濾機制，適當監督新聞傳播及熱門資訊之分享，並保護出版業、新聞業、文創產業等的著作權，且未來允許網路平台業者須支付授權費給著作權人。 　　此次修正的著作權指令法案，歐洲議會將預計於3月或4月進行投票，確認修法是否通過。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　日本為因應去年6月通過「個人資料保護法」之修正（下稱「新法」），個人資料保護委員會於2021年2月19日第166次會議議題「禁止不當利用與停止利用之完備指引論點」（改正法に関連するガイドライン等の整備に向けた論点について（不適正利用の禁止・利用停止等）），公開兩份論點資料，作為將來發布指引之參考，並使企業等關係者在新法實施準備期間，得採取適當措施以達到法遵要求。 　　新法第16條之2「禁止不當利用」，旨在防止不當利用個人資料致本人權益受損。於「禁止不當利用之論點資料」指出具體要件有(1)「違法或不當行爲」，係指違反個人資料保護法及其他法令之行爲，或有違公序良俗，在社會觀念上非屬正當之行為；(2)「助長或誘發之危害」，在認定上將限縮在以業者提供時有認識第三方將違法利用個人資料，並可預見提供個人資料將受違法利用之情形，以免造成寒蟬效應。若第三方刻意隱瞞取得目的，即使已盡相當注意仍不能預見違法利用之情形，則非屬「危害」。 　　新法第30條第5項擴大「停止利用」請求權範圍，於「停止利用之論點資料」指出適用要件有(1)「個人資料處理業務已無利用個人資料之需要」，即個人資料利用目的已消失或該事業已中止時；(2)「發生第22條之2第1項本文情形」，係指發生資料外洩依規定須報告委員會之情形；(3)「可能損害本人權益時」，係指依法受保護之正當權益有受損可能為必要。另論點指出請求停止利用必須在「為防止本人權益受損必要限度內」，故業者對於超出必要限度之部分得拒絕之。而對於停止利用所費不貲或顯有重大困難之情形，得依個案具體考量採取適當替代措施。

　　有鑑於「非現金支付」（non-cash payment）──包含信用卡、電子錢包、行動支付和虛擬貨幣──之詐欺犯罪率有增加之趨勢，歐洲議會公民、司法與內政委員會 （Committee on Civil Liberties, Justice and Home Affairs）於2018年9月3日批准一修正草案，更新2001年通過之理事會框架決定（Council Framework Decision）2001/413/JHA，提高非現金支付詐欺之刑責，同時強化被害人保護。此一修正草案旨在消弭歐盟成員國間之法律落差，以強化對非現金支付詐欺之預防、偵查及懲罰。 　　此一草案最重要者為將虛擬貨幣交易納入犯罪之構成要件，並提高刑責。如法官認定犯罪情節該當國內非現金支付詐欺最重之罪，則最低應處以三至五年之有期徒刑。而其他新增及修正之內容包含： 改善歐盟區域內之合作，以利跨境詐欺之訴追。 強化對犯罪被害人之援助，如心理支持、財務及法律問題之諮詢，並對缺乏足夠資源者提供免費法律扶助。 透過宣導、教育與網路資源（如詐欺之實際案例）提供，提升民眾認知及預防之意識。 　　於委員會投票批准修正草案後，其後將待歐洲議會通過，並與歐盟理事會開啟非正式對談。