德國聯邦參議院通過保護數位世界隱私之《電信與電子媒體資料與隱私保護法》
德國聯邦參議院於2021年5月28日通過《電信與電子媒體資料與隱私保護法》(Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, TTDSG),其目的係保護數位世界中的資料與隱私,平衡數位服務使用者利益與公司經濟利益,並解決因德國電信法(Telekommunikationsgesetz, TKG)、電信媒體法(Telemediengesetz, TMG)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)同時並行,使消費者、電信服務提供者以及監管機關不確定如何適用上開法律之情況。
TTDSG彙集TKG、TMG中資料與隱私保護相關之條文,包含電信保密(Fernmeldegeheimnis)(第3條至第8條)、交通位置資料(第9條至第13條)、來電通知與號碼顯示(第14條至第16條)、終端使用者名錄和相關資料提供(第17條至第18條),以及允許匿名化、可隨時停止使用服務和保護未成年之相關措施(第19條至第23條),並參考GDPR和電子隱私保護指令(ePrivacy-Richtlinie)新增數位遺產(digitaler Nachlass)、終端設備隱私保護、同意管理以及監管之規定。
TTDSG於第4條新增數位遺產規定,終端使用者繼承人或具有相似法律地位者,可以向供應商行使繼承人權利,不受電信保密相關規定限制;在終端設備隱私保護和同意管理之部分,TTDSG第24條規定原則上第三方僅能在終端使用者同意下,於使用者的終端設備中儲存與近用資料,且當事人可隨時撤銷同意。
最後在監管方面,則分為個人資料保護相關與電信媒體領域,前者依TTDSG第28條、第29條由德國聯邦資料保護與資訊自由委員會(Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI)作為獨立的資料保護監管機構,後者則依TDSG第30條屬德國聯邦網路局(Bundesnetzagentur)的職權範圍。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
羅文妗
專案經理 編譯整理
DEUTSCHER BUNDESTAG, Datenschutz und Schutz der Privatsphäre in der Telekommunikation (Mar. 25, 2021), https://www.bundestag.de/dokumente/textarchiv/2021/kw12-de-datenschutz-telekommunikation-826510 (last visited July 5, 2021).
BUNDESMINISTERIUM FÜR WIRTSCHAFTS UND ENERGIE [BMWi], Gesetz zum Schutz der Privatsphäre in der digitalen Welt beschlossen (May 28, 2021), https://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2021/05/20210528-gesetz-zum-schutz-der-privatsphaere-in-der-digitalen-welt-beschlossen.html (last visited July 5, 2021).
BUNDESREGIERUNG, Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (Feb. 10, 2021), https://www.bmwi.de/Redaktion/DE/Downloads/Gesetz/gesetzentwurf-zur-regelung-des-datenschutzes-und-des-schutzes-der-privatssphaere-in-der-telekommunikation-und-bei-telemedien.pdf?__blob=publicationFile&v=6 (last visited July 5, 2021).
蘇偉綸,〈美國維吉尼亞州消費者資料保護法〉,科技法律研究所,https://stli.iii.org.tw//article-detail.aspx?no=64&tp=1&d=8650 (最後瀏覽日:2021年7月5日)。
張恩若,〈英國資訊委員辦公室推出資料分析工具箱協助組織檢視資料保護情形〉,科技法律研究所,https://stli.iii.org.tw//article-detail.aspx?no=64&tp=1&d=8631 (最後瀏覽日:2021年7月5日)。
林玉書,〈新加坡國會於2020年11月通過個人資料保護法之修正案〉,科技法律研究所,https://stli.iii.org.tw//article-detail.aspx?tp=1&i=180&d=8580&no=64 (最後瀏覽日:2021年7月5日)。
美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到:法院所據以決定監護權之證據之一,乃是未經她同意即被其他人標示出該女子姓名,並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法,其在判決中指出:目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相,並上傳至臉書或其他網站;此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 暫撇開其他法律不談,此一案件引人思考之與個人資料保護相關之處至少有二:首先,是關於法律適用的部分,亦即,如本案發生在日後個人資料保護法開始施行後的台灣,則該法第51條第1項(註1)之排除規定是否適用的問題;其二則是法律政策的部分,究竟在這個資訊數位化且易於搜尋的網路時代,為個人或家庭活動目的而毫無設限(例如本案之供不特定人瀏覽)的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要?(在肯塔基州這個案子裡,此一「無規範」的結果或許是正面的,但在其他的許多狀況,可能並非如此。) 註1:個人資料保護法第51條第1項:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」
網路團結法:歐盟成員國針對加強因應網路安全能力達成共同倡議歐盟成員國就《網路團結法》(Cyber Solidarity Act)草案於2024年3月達成臨時協議,目的是為了加強歐盟的團結以及偵測、準備和因應網路安全威脅事件的能力。 歐盟執委會(European Commission)提案的主要目標如下: (1)提供重大或大規模網路安全威脅事件的偵測和認識。 (2)強化準備、保護重要建設和必要服務。例如醫院和公共設施。 (3)加強歐盟的團結以及成員國之間有一致的危機管理與應變能力。 (4)最後,致力確保公民和企業皆有安全可靠的數位環境。 為了能快速且有效地偵測重大網路威脅,該法規草案建立了「網路安全警報系統」(cyber security alert system),這是一個由歐盟地區的國家和跨國界的網絡樞紐組成的泛歐洲基礎設施,將使用先進的資料分析技術以及時分享資訊,並警告有關跨境網路威脅的相關事件。 該草案亦建立網路緊急機制(cybersecurity emergency mechanism),以增強歐盟對網路安全事件應變的能力,它將包含: (1)準備行動:包含根據常見的危機情境和方法,測試高度關鍵部門(highly critical sectors)(醫療保健、運輸、能源等)的潛在漏洞。 (2)歐盟網路預備隊:係由經過認證且事先簽約的私人供應商所組成,在歐盟成員國及機構的請求下,對於發生大規模的網路安全事件進行干預及回應。 (3)財政互助:一成員國可以向另一個成員國提供援助。 最後,因應委員會及各國家當局的要求,研議中的法規建立了網路安全事件審查機制,事後對已發生的大規模網路安全事件進行審查、評估、汲取經驗,並提出一份建議報告,從而改善歐盟網路的態勢,以加強歐盟對此些事件的應變能力。 歐盟成員國此次的協議將進一步提高歐洲網路韌性,期能強化歐盟及其成員國在面對大規模網路威脅和攻擊時,能以更有效率的方式進行事前準備、預防以及提升事後從中恢復的能力。 網路安全事件是各國都會遇到的課題,《網路團結法》的發展與相關推動措施值得我們持續追蹤,以作為我國資通安全管理及網路資安事件應變機制之參考方向。
德國聯邦最高法院(BGH)判決醫師評價平台「Jameda」須刪除受評醫師個人資料德國聯邦最高法院(Bundesgerichtshof, BGH)在2018年2月20日的判決(Urt. V. 20.02.2018 – Az. VI ZR 30/17)中認定,網路評價網站(Bewertungsportale)之業務雖未違反聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)規定,但其評價立場必須維持中立。醫師評價平台「Jameda」(www.jameda.de)之商業行為違反此項原則,故須依原告要求,刪除其在該網站之所有個人資料。 本案中,原告為執業皮膚科醫師,且非醫師評價平台「Jameda」之付費會員。然「Jameda」不僅將該醫師執業簡介列入其網站,且同時在其個人簡介旁,列出與其執業地點相鄰,具競爭關係之其他同為皮膚科醫師之付費會員廣告。反之,付費會員不但可上傳個人照片,且在其執業簡介旁,不會出現與其診所相鄰之競爭者廣告。 聯邦最高法院依據聯邦資料保護法第35條第2項第2款第1號 (§35 Abs. 2 S. 2 Nr. 1 BDSG) 規定,並經衡量同法第29條第1項第1款第1號 (§29 Abs. 1 S. 1 Nr. 1 BDSG) 規定之效果後,同意原告對「Jameda」提出刪除網頁所列個資之請求。法院見解認為,「Jameda」的廣告策略使其失去資訊與意見傳遞者之中立角色,並以自身商業利益為優先,故其言論自由不得優於原告之資訊自主權(informationelle Selbstbestimmung)。 該判決強制網路評價平台嚴格審查本身之廣告供應商務,並與聯邦憲法法院(Bundesverfassungsgericht)見解一致,用於商業目的之言論表達僅有低於一般言論自由的重要性。儘管如此,評價平台仍被視為介於患者間不可或缺的中介者(unverzichtbare Mittelperson),可使互不相識的病患,藉此獲得經驗交流的機會。 儘管本案判決同意原告刪除評價網站中所儲存個人資料之請求,但見解中,仍肯定評價網站具有公開醫療服務資訊之功能,符合公眾利益,受評價醫師被公開之個人簡介亦僅涉及與社會大眾相關之範圍。針對網站評分及評論功能之濫用,醫師仍可對各種不當行為分別採取法律途徑保障自身權益。由此可知,德國聯邦最高法院仍認定,評價網站之評分與評論機制,仍符合聯邦資料保護法規範之宗旨,惟若該評價網站以評價機制作為商業行銷手段,則不得主張其言論及意見表達自由高於受評價者之資訊自主權。