歐盟新提出之《數位服務法》將針對科技巨擘實施更加嚴格之規定
歐盟委員會在2020年1月提出之工作計畫中,即表示2020年第四季度將會提出新的《數位服務法案》《Digital Services Act》,以因應新興數位時代下的歐洲。
2020年10月29日歐盟競爭事務專員表示,幾個科技巨擘針對每天蒐集大量訊息並加以過濾篩選,最後傳遞予公眾有限數量消息的過程,將必須採取更多措施以清除非法及有害的內容,此舉旨在解決與大型社交媒體平台相關之兩大問題,即仇恨言論之傳播以及傷害社會公共對話與民主之言論。
該法案將規範科技公司須針對其行為製作報告,並告知使用者,他們所看到的廣告是由誰付費進行投放、為什麼他們會成為這支廣告的目標對象。蓋因科技公司之數位平台先是無償蒐集使用者個人資料及偏好,再針對這些資料進行分析後,對使用者量身訂製廣告行銷策略,最後科技公司依靠此套方法賺進大量廣告收益,例如,臉書與Google在2018年的廣告收入佔據總收入百分之九十八及百分之八十五以上。
該法案亦將針對科技公司篩選訊息,最後有選擇性的發送特定訊息予社會大眾及量身訂製置入廣告之行為,設立明確規則,羅列應作為或是不作為之清單。例如禁止推銷自己的服務,蓋阻止競爭對手向消費者提供更好的交易服務,等同於變相阻止消費者享受自由競爭和創新的成果;故將先設立協調一致之調查框架,提供一套統一的規則以調查數位服務市場已存之結構性問題,而後在必要時可以採取相關行動,使市場更加具有競爭力。歐盟預計將於2020年12月2日宣布《數位服務法》草案,在正式立法之前,會再與歐盟國家取得一致共識。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. Tougher new rules for tech giants, more power to enforcers: EU’s Vestager, Reuters, Oct.29, 2020, https://www.reuters.com/article/us-eu-antitrust-tech/tougher-new-rules-for-tech-giants-more-power-to-enforcers-eus-vestager-idUSKBN27E1JU (last visited Nov 4, 2020).
2. The Digital Services Act and the role of (social media) platforms, European DIGITAL SME Alliance , Aug.21,2020, https://www.digitalsme.eu/the-digital-services-act-and-the-role-of-social-media-platforms/ (last visited Nov 4, 2020).
3. The Digital Services Act package, Shaping Europe’s digital future, Jun.22,2020, https://ec.europa.eu/digital-single-market/en/digital-services-act-package (last visited Nov 4, 2020).
澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年9月發布「健康隱私指引」(Guide to health privacy)協助健康服務提供者了解及實踐相關規範所制定之隱私義務以確保個人資料安全。依據1988年澳洲隱私法(Privacy Act 1988)規定,健康服務指所有評估、維持、改善或管理個人健康狀況;或是診斷、治療或紀錄個人疾病或健康狀況之行為。而健康服務提供者除了醫院及醫療人員,更包含其他專業人員例如健身房及減肥診所、私立學校及托兒所、遠端醫療服務等所有涉及健康資料並提供健康服務之單位及人員。由於澳洲隱私法要求服務提供者必須積極建立、實施及維護隱私合法處理程序,為了協助所有健康服務提供者確實遵守法定義務,以減少健康資料之隱私風險問題,OAIC制定「健康隱私指引」提出八大步驟要求健康服務提供者確保遵守義務並保障所持有之個人資料: 制定並實施隱私管理計畫,確保遵守澳洲隱私原則(Australian Privacy Principles, APPs)。 制定明確的責任制以進行隱私管理,並及時提供員工幫助與指導。 建立個人資料檔案紀錄,以確認持有之個人資料。 了解法律規範之隱私義務並實施法定流程以履行義務。 定期舉辦員工隱私培訓課程以強化團隊基礎知識。 建立隱私權政策並於網頁上呈現或是提供手冊說明相關內容。 保護所持有之資料不被濫用、遺失或未經授權的修改及揭露等。 制定資料外洩因應措施,針對資料外洩進行危機處理。
美國紐約州通過「防止非法侵入與加強電子資料安全法案」2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。 當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。
日本發布以人為本AI社會原則日本內閣於2018年6月15日決議組成跨部會之統合創新戰略推進會議,並於2019年3月29日發布AI戰略,其中的倫理面向為以人為本之AI社會原則(下稱AI社會原則),希冀藉有效安全的活用AI,推動「AI-Ready 社會」,以實現兼顧經濟發展與解決社會課題的「Society5.0」為最終目標。 為構築妥善應用人工智慧的社會,AI社會原則主張應尊重之價值理念如下: (一) 尊重人類尊嚴的社會:AI應作為能激發人類發揮多樣能力和創造力的工具。 (二) 多元性和包容性的社會(Diversity & Inclusion):開發運用AI以共創多元幸福社會。 (三) 永續性的社會(Sustainability):透過AI強化科技,以創造能持續解決社會差距與環境問題的社會。 而AI社會原則核心內容為: (一) 以人為本:AI使用不得違反憲法或國際保障之基本人權。 (二) AI知識(literacy)教育:提供必要的教育機會。 (三) 保護隱私:個人資料的流通及應用應妥適處理。 (四) 安全確保:把握風險與利益間之平衡,從整體提高社會安全性。 (五) 公平競爭確保:防止AI資源過度集中。 (六) 公平性、說明責任及透明性任。 (七) 創新:人才與研究皆須國際多樣化,並且建構產官學研AI合作平台。
歐洲議會近日通過《數位營運韌性法案》,堅守數位金融市場安全為因應金融產業數位化及鼓勵金融業創新,並在打造歐盟金融業競爭之同時,確保消費者之保護及金融市場之穩定,歐盟執委會於2020年9月間通過「數位金融整體計畫」(Digital Finance Package),該計劃包含之項目十分廣泛,建構了歐盟未來對於數位金融市場之整體性立法框架。 而2022年11月甫通過之「數位營運韌性法案」 (Digital Operational Resilience Act, DORA)便是數位金融整體計畫中之一分支,該法案預計將於2025年生效。有鑑於過去歐盟會員國各自對資通安全事件行動效果有限,且國家措施之不同調導致重疊、不一致、重複之要求而產生高昂之行政和法遵成本,此情況分裂了單一市場,破壞了歐盟金融機構之穩定性和完整性,並危及消費者和投資者保護,遂有本法案之誕生。 本法案主要之訂定目的在於建立資通安全事件之要求標準及通報流程機制以加強銀行、保險業、投信投顧等金融業者之資通安全,使其面臨網路攻擊時,能保有韌性及恢復力,並維持正常之營運狀態。具體而言,本法案為促金融業者達成高度數位經營韌性之統一要求,遂要求金融業者採取以下手段: (一)資通風險管理監控 (二)資通事件之報告及建立於自願基礎上之重大網路威脅通報 (三)向主管機關通報重大營運或支付安全有關之事件 (四)數位營運韌性檢測 (五)有關網路威脅或漏洞有關之資訊情報共享 (六)健全控管對第三方資通技術供應者之機制。 總地而論,本法案透過建立歐盟統一之資通安全事件通報原則及營運韌性檢測標準等方式加強歐盟之眾金融機構在受網路攻擊之應對能力,且將可避免過去各國間無法取得共識,金融機構於發生資通安全事件時手足無措之窘境,值得讚許,或可為我國未來借鏡採納。