歐盟發布資料法案草案
2022年2月23日,歐盟委員會(European Commission,以下簡稱委員會)公開資料法案草案(Data Act,以下簡稱草案),基於促進資料共享的目的,草案其中一個目標是使不同規模的企業、用戶在資料利用上有著更加平等的地位,內容包含確保用戶資料可攜性、打破資料存取限制、推動大型企業的資料共享,扶植微/小型企業等幾大方向。
以下就草案對大型企業要求的義務切入,說明草案所帶來的影響:
- 確保用戶訪問資料的權利:
基本資訊的告知,包含所蒐集資料性質以及訪問方式、使用資料的目的;用戶可在不同產品/服務提供者(以下簡稱提供者)之間切換,且提供者須有技術支援;提供者需要有合理技術,避免資料在未經授權被查閱。 - 對於提供者的限制:
提供者不得將所蒐集的資料用於取得用戶的經濟地位、資產、使用喜好;具守門人性質的企業不得採取獎勵措施以鼓勵用戶提供自其他提供者處所取得的資料;提供者提供資料可以收取補償,但必須以公平、合理、非歧視、透明的方式為之,需要提供補償計算方式與基礎。 - 對於微/小/中型企業的保護
提供者對於微/小型企業所收取的資料補償,不得超過提供資料所需的成本;提供者利用市場優勢,對於微/小/中型企業的不合理/公平的約定無效(如單方面免除一方的重大過失/故意行為的責任)。
該資料法案草案須經歐盟議會(European Parliament)通過後才會生效,目前草案規定只要有在歐盟提供物聯網產品或服務之企業,就須遵守草案內容規範,考量到網路服務可跨國提供服務,草案規範與進度仍值得國內企業關注。
「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
莊越程
高級法律研究員 編譯整理
European Commission, Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data , Feb. 23, 2022, https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data (last visited Mar. 07, 2022).
MORISON FOERSTER, The EU Data Act – Stimulant or Roadblock for the Data Economy?, Feb. 23., 2022, https://www.mofo.com/resources/insights/220223-eu-data-act.html(last visited Mar. 07, 2022).
DR2 CONSULTANTS, European Data Act: a harmonized framework for accessing and sharing data, Feb. 24, 2022, https://dr2consultants.eu/european-data-act/ (last visited Mar. 07, 2022).
科法觀點
本文從我國身心障礙者權利公約(以下簡稱身權公約)初次國家報告國際審查結論性意見中,精神衛生法強制住院違反公約規定的評價出發,盤點身權公約對身心障礙者人身自由保護之規範內容,並將其與我國精神衛生法相關規定比較,認為現行規定及研擬中的修法方向皆確有違反身權公約之嫌。本文最後建議,在國際人權公約逐步完成內國法化程序的背景下,我國科學與科技相關法制例修法時,應注重相關人權公約的規範。
日本發布策略性資料使用之資料管理指南,旨在協助企業將資料視為資產與產品,以策略性的運用資料日本獨立行政法人情報處理推進機構於2025年6月11日發布《日本發布策略性資料使用之資料管理指南(下稱《指南》)》,旨在協助企業將資料視為資產與產品,以策略性的運用資料。 《指南》指出,資料管理是指企業針對其所擁有的所有資料,進行有效率的收集、整理、保存、共享、分析與運用的一套系統化流程,其目的是為了透過確保資料品質及正確性,協助業務決策,並確保企業的競爭優勢。 在現代企業經營中,資料具有雙重屬性,亦即資料除了是企業重要的經營資產,同時也是企業的產品之一。作為資產的資料如同設備等一般資產,是可供銷售或提供服務的資產,故為最大化其價值並促進成長,需要進行適當管理與投資。此外,由於資料具有可複製性,因此一經外洩,將會造成廣泛且持續性的影響,因此需進行資料管理以確保資料安全性;作為產品的資料則需要有效的整備及管理,以確保維持其正確性所需的品質。 根據《指南》,資料管理的核心在於其需要貫穿資料生命週期,且隨著數位化的進展,對於資料管理亦產生新的需求,例如針對資料多元運用需求之應對、資料須具備可追溯性、針對機密資料之管理方式、確保資料安全性及資料品質等。 為因應新興資料管理需求,《指南》建議可透過評估自身定位、規劃必要體制、思考資料策略及管理架構、盤點企業既有資料及必要資料、培養及建立企業從決策層到執行層的人員均重視資料的資料文化,以及減少不必要或易出錯的作業流程等六項具體措施,建立企業自身貫穿資料生命週期之資料管理流程。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料管理流程,可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,作為資料管理流程設計與實務落實之參考,以強化自身資料管理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
澳洲隱私專員主張應從嚴認定個人資料去識別化澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為,在符合特定條件之情形下,亦即,去識別化過程符合OAIC認定之最高標準時,去識別化後之資料不適用「1988隱私法案」(Privacy Act);澳洲企業組織目前所進行之個人資料去識別化,是否已符合「1988隱私法案」之規範要求,OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs),就非公務機關蒐集、利用、揭露與保存設有規定,APPs第6條更明文限制非公務機關揭露個人資料,於特定情況下,APPs允許個人資料經去識別化後揭露。例如,APPs第11.2條規定,若非公務機關當初之蒐集、利用目的已消失,須以合理方式將個人資料進行銷毀或去識別化。 如非公務機關係合法保有個人資料,即無銷毀或去識別化義務;此外,若所保有個人資料屬健康資料者,因係澳洲政府機關以契約方式委託非公務機關,非公務機關亦無銷毀或去識別化義務。應注意者,APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的,主動蒐集個人健康資料 (APPs第16B(2)條),同時亦禁止基於學術研究、公共衛生或安全目的,就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的,且符合APPs第16B(2)條之要件者,非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等,均就個人資料去識別化訂有相關規範。 未來以資料為導向之經濟發展,將需堅實的隱私保護作為發展基礎,澳洲去識別化個人資料認定標準之提出,以及標準之認定門檻,殊值持續關注。
電子工程師標準協會強調會員應以FRAND條件授權標準必要專利對於目前科技技術日新月異的ICT資訊通信產業而言,標準是搶奪全球市場的利器。當私有專利技術成為國際標準時,國際市場的競爭企業不得不向技術成為國際標準的標準必要專利權人取得授權。為避免前述情形形成技術壟斷,標準必要專利權人藉此哄抬權利金價格,目前國際標準制定組織多訂有組織的智財政策,要求標準提案者必須揭露專利持有情形,並且若提案成為標準必要專利權者須以其規定的合理條件提供授權。電子工程師標準協會 (Institute of Electrical and Electronics Engineers Standard Association, IEEE SA)為著名的標準制定組織之一。 電子工程師標準協會在去年3月開始,便實施了新的專利政策,強調其會員們必須在標準提案通過之後,授權該標準必要專利(Standard Essential Patent, SEP)時,須遵守公平、合理,且非歧視的授權規則(Fair, Reasonable and Non-discriminatory, FRAND)。此項政策受到Cisco以及Intel等公司支持聯名支持, Cisco表示FRAND的條件要求將使SEP擁有者難以收取不合理的權利金。 而在IEEE如此強調FRAND授權方式時,我國相關企業及公司應注意FRAND條件的國際發展趨勢,不僅要了解自身義務,也該知曉自身權益,在有爭議時抑或仿效國際企業做法,向法院提起訴訟,或向我國公平會提出檢舉。 本文同步刊登於TIPS網站(https://www.tips.org.tw)