愛爾蘭資料保護委員會發布《控制者資料安全指引》，提供資料控制者關於個人資料安全措施之依循指引

　　今年全球受到新型冠狀病毒（下稱COVID-19）影響，許多產業遭受嚴重衝擊。美國政府於2020年3月27日頒佈「新冠病毒援助紓困經濟安全法（簡稱CARES）」，對此專利及商標局（USPTO）也針對受COVID-19影響之專利或商標申請案，給予延長申請期限、付款等寬限措施。 　　由於寬限措施將於今年5月31日到期，USPTO認為COVID-19爆發的影響可視為37 CFR 1.183所指的特殊情況。因此，USPTO將允許專利權人通過EFS-Web或專利中心，提交符合某些條件之專利及商標救濟申請。 　　商標救濟措施部分，因COVID-19影響商標審判與上訴委員會之訴訟，可提出延長或新時間之申請。其他未能即時對主管機關的訴訟提出答覆，致使放棄商標申請案，得提出恢復請求；未能於法定使用期限36個月內或維護申請截止日前申請，致使放棄商標申請或商標註冊被取消或期滿，得提出請願書。上述請願書中若附有COVID-19聲明，USPTO除免除相關費用，並可延續救濟措施至6月30日。 　　專利救濟措施部分，針對小型和微型企業（small and micro entities）之專利申請提交期限，由原先6月1日延長至7月1日；大型企業（large entities）於5月31日後，依個案申請提供延期，包含請願書及所需費用；對於所有企業，USPTO將免除6月30日及先前因COVID-19影響所提出審查、請願書等費用收取。

印度政府發布監管數位市場法案 資訊工業策進會科技法律研究所 2024年06月25日 印度數位競爭法委員會（Committee on Digital Competition Law, CDCL）於2024年3月12日發布數位競爭法委員會報告，建議制定單獨法律規範數位市場競爭，同時發布《數位競爭法》草案（Draft Digital Competition Bill，下稱本草案），使印度競爭委員會（Competition Commission of India, CCI，下稱委員會）能夠在反競爭行為發生前介入調查，草案發布後公開徵求公眾意見至2024年5月15日，將參考公眾意見後再行發布本草案後續發展。 壹、緣起 印度企業事務部（Ministry of Corporate Affairs, MCA）於2023年2月6日成立數位競爭法委員會，主要由產業商會、政府機關以及學者組成，目的是檢視現行印度2002年《競爭法》是否足以解決數位經濟成長衍伸的問題。爾後於2024年3月發布數位競爭法委員會報告，數位競爭法委員會認為應有新的事前管制補充現行競爭法的事後管制模式，在動態的數位市場中於必要時進行事前干預，防止反競爭行為發生。 在數位競爭法委員會報告[1]中提出9項反競爭行為態樣，包含反導向（Anti-steering）、自我偏好（Self preferencing）、綑綁及搭售（Bundling and tying）、非公開資訊使用（use of non-public data）、掠奪性定價（Predatory pricing）、排他性協議（Exclusive tie-ups）、搜尋及排名偏好（Search and ranking preferencing）、限制第三方應用程式（Restricting third party applications）、以及廣告市場整合（Advertising consolidation）等，將以上述反競爭行為為核心制定事前管制措施。 貳、本草案介紹 基於上述建立事前管制的報告結論，數位競爭法委員會連同報告一併提出本草案以回應反競爭行為的事前管制方向，本草案主要有四項重點以下整理。 一、適用範圍與對象 本草案適用於所有在印度境內提供核心數位服務的所有企業，包含延伸到印度境外且對本草案所規定義務有影響的行為，核心數位服務包含線上搜尋引擎、線上社交網路服務、影片分享平台服務、人際通訊服務、作業系統、網路瀏覽器、雲端服務、廣告服務、以及線上中介服務等。 二、對具有系統重要性數位企業之定義 具有系統重要性數位企業（Systemically Significant Digital Enterprise, SSDE，下稱重要企業）需要符合兩項標準，分別是財務標準及用戶標準，如果企業屬於集團則數值以集團整體計算： （一）財務標準 財務標準是在三個財政年度中達成以下任一項： 1. 印度境內營業額高於400億印度盧比； 2. 全球營業額高於300億美元； 3. 印度的商品總價值高於1600億印度盧比； 4. 全球市值高於750億美元。 （二）用戶標準 用戶標準是在三個財政年度中達成以下任一項： 1. 在印度提供的核心數位服務達到1000萬終端用戶； 2. 在印度提供的核心數位服務達到1萬企業用戶。 三、對重要企業及關係企業之指定 （一）符合條件企業之通報義務 當企業的核心數位服務達到前述雙門檻後90天內應通知委員會，如該企業有所屬集團應一併向委員會揭露該所屬集團有直接或間接參與該核心數位服務的其他企業，委員會得透過行政命令指定該企業為重要企業，有直接或間接參與的其他企業得指定為關聯數位企業（Associate Digital Enterprise, ADE）。 委員會可要求未主動提供相關資訊的企業提供必要資訊，如符合上述門檻則指定為重要企業。 委員會在確定企業符合雙門檻後應通知企業給予陳述意見機會，說明不符合系統重要性之理由。企業若未提供必要資訊或提供不完整或錯誤資訊，仍得在聽取企業意見後指定，企業不得有規避指定之行為。 （二）指定未達門檻企業之權力 除指定前述符合雙門檻之企業外，對於在核心數位服務領域有重要影響力但未符合雙門檻的企業，委員會得參酌企業營業額、企業規模與資源、企業市場力量、網路效應、市場結構、社會義務等要素直接指定，效期為三年。 四、重要企業之義務 重要企業被指定後應建立透明有效的投訴處理及法遵機制，並定期向委員會報告履行下列義務與相關規定所採取之措施。 （一）禁止反競爭行為義務 不得有自我偏好、限制第三方應用程式使用、反導向、搭售或綑綁等反競爭行為，並以公平和透明交易的態度與用戶合作。 （二）資訊使用義務 不得使用企業用戶的非公開資訊與之競爭，且不得未經用戶同意混合或交叉使用，或允許第三方使用不同服務所蒐集的用戶資訊，並實現資訊可攜性。 參、本草案評析 數位競爭委員會報告及本草案的發布宣示委員會將監管大型科技公司的反競爭行為，本草案參考了歐盟數位市場法（Digital Markets Act, DMA）對於守門人（gatekeepers）的規定及義務，對於重要企業賦予禁止反競爭行為的義務，雖然本草案仍在意見蒐集階段，是否施行仍須追蹤觀察。 本草案參考DMA規定監管大型科技公司代表印度政府認為數位市場的事前管制是必要的，擔心市場失靈的風險存在，但包含資訊科技與創新基金會[2]（Information Technology and Innovation Foundation, ITIF）、市場真相[3]（Truth on the Market）、網路自由基金會[4]（Internet Freedom Foundation）等單位對於本草案都提出質疑，認為本草案會阻礙數位市場創新，且印度的數位市場尚未成熟，貿然實施會損害印度的數位競爭力，阻礙對印度的數位投資。 40家印度新創公司發表聲明[5]支持本草案的推動，認為事前管制可以遏止Big Tech的反競爭行為，解決新創公司所擔心的發展問題，為新創環境提供空間。同時新創公司擔心門檻過低，阻礙非重要企業的發展，應提高門檻針對佔據主導地位的企業。 我國的數位市場政策仍有立法空間，該傾向管制市場或是鼓勵創新投資需要考量我國數位市場成熟度、規模、影響力等要素，印度已經跨出數位市場治理第一步，我國應持續追蹤各國法制政策，以滾動調整、擬定適合我國的數位市場政策。 [1] MINISTRY OF CORPORATE AFFAIRS, Report of the Committee on Digital Competition Law 27 (2024). [2] Comments to the Indian Ministry of Corporate Affairs Regarding Digital Competition Law, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION, https://itif.org/publications/2024/05/15/comments-to-the-indian-ministry-of-corporate-affairs-regarding-digital-competition-law/ (last visited June 25, 2024). [3] India Should Question Europe’s Digital-Regulation Strategy, Truth on the Market, https://truthonthemarket.com/2024/04/12/india-should-question-europes-digital-regulation-strategy/?_gl=1*1mrmph7*_ga*MTI0MTU5NTkwMS4xNzE4MzM2OTUz*_ga_R1FRMJTK15*MTcxODMzNjk1Mi4xLjAuMTcxODMzNjk2MS4wLjAuMA. (last visited June 25, 2024). [4] Summary of IFF’s submission on the draft Digital Competition Bill, Internet Freedom Foundation, https://internetfreedom.in/iffs-submission-on-the-digital-competition-bill/ (last visited June 25, 2024). [5] 40 Indian Startups urge MCA to move forward with Digital Competition Bill; 'not give in to delaying tactics by Big Tech', STORYBOARD18, May 16, 2024, https://www.storyboard18.com/digital/40-indian-startups-urge-mca-to-move-forward-with-digital-competition-bill-not-give-in-to-delaying-tactics-by-big-tech-31771.htm (last visited June 25, 2024).

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

　　根據美國聯邦通訊傳播委員會（Federal Communications Commission, FCC）於2016年之寬頻進步報告，美國現行之標準為業者必須提供下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務，相較於2010年所設立之標準─下載速度至少達4Mbps與上傳速度至少達1Mbps的寬頻服務，顯示出美國在寬頻部署上有明顯的進步。然而，目前仍有3400萬美國人民所使用之寬頻服務並未達到上述FCC所設立之標準（25Mbps/3Mbps）。 　　這份報告亦顯示，持續之數位落差（digital divide）導致40%生活在鄉村以及部落地區之人民所使用之寬頻服務並未達到上述FCC所設立之標準（25Mbps/3Mbps）。此外，E-rate計畫方案之持續推行，雖使許多學校之網路連線已有顯著改善，但仍有41%之學校未能符合FCC之短期目標，亦即這些學校之寬頻連線仍無法供應數位學習之應用。基於以上理由，2016年之寬頻進步報告總結：寬頻部署並未被適時並合理的（timely and reasonable）適用於全體美國人。 　　該份報告亦認為當今的通訊服務應以固網及行動寬頻服務（fixed and mobile broadband service）之方式提供，彼此的功能不同並能互補。然而，FCC尚未建立行動寬頻服務標準，因此，行動寬頻之部署尚未能反映在目前之評估。 　　依據1996年電信法第706條之規定，FCC必須每年報告先進通訊能力之部署，是否讓每位美國人民都能適時且合理的使用。國會所定義之「先進通訊能力」（advanced telecommunications capability）必須具高品質之能力，可讓使用者傳輸以及接收高品質之聲音、數據資料、照片以及影像服務。 此份報告重點總結如下： ●全面部署： 目前仍有3400萬美國人（約10%人口）無法接取固網下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務。然而，相較於去年之5500萬美國人（約17%人口）未能接取該寬頻服務，今年已有顯著的改善。 ●鄉村與城市間之數位落差仍待改善： 仍有39%之鄉村人口（2340萬人）以及41%之部落人口（160萬人）無法接取該寬頻服務（25Mbps/3Mbps）。相較於都市僅有4%之人無法接取該寬頻服務，發展上仍不平等。但相較於去年報告所示，有高達53%鄉村人口以及63%部落人口無法接取寬頻服務，城鄉發展不均之程度已有改善。 ●學校之寬頻速度： 全國僅有59%之學校達到FCC所設立之短期目標，亦即100Mbps可以供1000位學生使用，並有極少數之學校達到長程目標，即1Gbps可供1000位學生使用。 　　這份報告首次將衛星寬頻服務列入評估，FCC對於衛星寬頻服務適用與固網寬頻服務採用同樣之標準（25Mbps/3Mbps）。然而，在評估過程中，尚未有任合衛星寬頻服務符合FCC所採行之寬頻標準。