香港通過《2021 年個人資料(私隱)(修訂)條例》,「人肉搜索」成為刑事犯罪

  香港立法會於今(2021)年9月29日通過《2021 年個人資料(私隱)(修訂)條例》(The Personal Data (Privacy) (Amendment) Ordinance, PDPO),並於同年10月8日實施。本次修訂主要將「人肉搜索(Doxxing)」行為訂為刑事犯罪、賦予私隱專員對肉搜進行刑事調查及要求停止批露肉搜訊息之權責。

  香港政制及內地事務局今5月提議修訂PDPO ,表示這是對抗肉搜的必要手段,2019年民主抗議活動中此行徑相當普遍,許多警察及反對派人士深受騷擾。修訂訊息公開後,Facebook、Twitter及Google等科技公司即透過亞洲互聯網聯盟(AsiaInternet Coalition)表示,倘香港政府修訂PDPO ,美國企業恐因網路惡意分享個資,造成香港員工面臨刑事調查或訴追風險,因而停止在香港的服務。香港行政長官林鄭月娥為紓緩各方疑慮做出回應,表示該修訂案對阻止網路惡意散布個資而言有其必要性,受香港民眾廣泛支持,其並指出社交媒體欠缺監管,包括散播仇警訊息、違反人性行為,導致香港今年7月發生刺傷警員後再自殺的事情。

  依PDPO 之修訂條文,任何人未經資料當事人同意而披露他人的個人資料,並有意圖或罔顧是否會導致當事人或其家人蒙受指明傷害,例如滋擾、騷擾、纏擾、威脅或恐嚇,或對當事人或其家人造成身體、心理傷害或財產受損,最高將處5年有期徒刑及一百萬港元罰款。

  對此,亞洲互聯網聯盟表示聯盟成員反對肉搜行為,惟PDPO 修訂條文措辭含糊,位於香港的企業及員工可能因用戶肉搜行為而受到刑事調查或起訴,對企業造成不成比例且不必要之回應成本,並恐限制言論自由,單純網路分享資訊的行為亦可能被視為犯罪。聯盟甚至指出:「科技企業要避免遭受這些懲罰的唯一途徑,就是不要在香港進行投資和提供服務」。

相關連結
你可能會想參加
※ 香港通過《2021 年個人資料(私隱)(修訂)條例》,「人肉搜索」成為刑事犯罪, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8753&no=55&tp=1 (最後瀏覽日:2026/07/14)
引註此篇文章
你可能還會想看
紐西蘭IT專家組織2012年5月發布雲端運算實務準則

  紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。     依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。     在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。     在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。     依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。

美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制

  美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。   被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可: 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。

日本文部科學省發布產學合作研究成果歸屬合約範本【櫻花工具包】

  日本文部科學省於2002年提出產學合作契約範本,實行以來發現內容缺乏彈性,對於共同提交專利申請的共有專利權人能否進行商業化等研發成果歸屬問題規範不清。為此,2017年3月日本文部科學省科學技術及學術政策局參考英國智財局發布的Lambert toolkit等文件,提出11項合約範本,稱為【櫻花工具包】。   該工具的主要目標是期望產學合作從在意權利共有轉為重視研發成果商業化,提出包括大學或企業單獨擁有研發成果、雙方共有研發成果等多類型的合作契約模式,並解析如何從數種模式中選擇最適合的合約範本,盡可能在產學合作契約簽訂前,事先考量研究成果的商業化策略,從而提高研發成果商業化的可能性。當中建議,在進行模型選擇時需考慮以下因素: 對研發成果的貢獻程度。 智財權歸屬於大學的處理方法。 是否有必要通過大學發布研究成果。 研究成果歸屬(大學擁有、企業擁有、雙方共有)。 雙方是否同意智財權共有。   此外,為了盡可能使研究成果的智財權更廣泛應用,在參考適用範本時,皆應考量研發成果商業化的靈活性,無論智財權歸屬於大學或企業方,都必須滿足以下的條件: 不限制大學後續研究的可能性。 所有的智財權都要適當的努力使其商業化。 研究成果需在約定的期間內進行學術發表。   日本此一工具包之內容對於產學合作研究之推展,提供了更細緻化的指引,或許可為我國推行相關政策之參考,值得持續關注其內涵與成效。

歐洲推動人體生物資料庫再利用沙盒

  非營利組織EIT Health於2020年2月展開公共人體生物資料庫(Public biobank)再利用之「數位沙盒」(Digital Sandbox)計畫的第二次公開徵求。參與的中小企業於提案後,可於2020年7月底前獲得通過與否的通知,並最快於2020年9月開始參與計畫。   EIT Health成立於2015年,是歐洲創新技術研究所(European Institute of Innovation and Technology)下的「知識與創新社群」(knowledge and innovation community)之一,主要資金來自歐盟「展望2020」(Horizon 2020)。有鑑於數位革命創造了大量極具研究價值的醫學生物資料,EIT Health於2019下半年提出公共人體生物資料庫再利用之「數位沙盒」計畫構想,該計劃主要目的在支持中小企業利用該生物資料實施創新服務或開發產品。   而依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第89條規定,如果生物資料庫之利用係基於科學研究或公共利益之必要,可以在符合「適當的技術和組織措施」(Technical And Organisational Measures)之前提下得到豁免(exemptions)。依此條文,EIT Health之「數位沙盒」計畫參與者得不遵守GDPR第15條(資料主體之接近使用權)、第16條(更正權)、第18條(限制處理權)、第19條(關於更正或刪除個人資料或限制處理之通知義務)、第20條(資料可攜性權利)以及第21條(拒絕權)之規定。透過此計畫,有望幫助中小企業獲得公共人體生物資料庫、研究參與者(Sample holder)和登記冊的近用權限。此外,計畫亦提供最高35,000歐元的資金,以幫助中小型企業在開發創新產品時利用資料。

TOP