歐盟與美國宣布就新的跨大西洋資料傳輸框架達成原則性協議

歐盟個人資料保護委員會 （European Data Protection Board, EDPB）在徵詢公眾意見後，於今（2023）年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」（Guidelines 04/2022 on the calculation of administrative fines under the GDPR）。此一指引，旨在協調各國資料保護主管機關（Data Protection Authorities, DPAs）計算行政罰鍰的方法，以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」（Starting Point）。 時值我國於今（2023）年5月29日甫通過《個人資料保護法》之修法，將違反安全措施義務的行為提高裁罰數額至最高1500萬，金額之提高更需要一個明確且透明的定裁罰基準，因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟，說明如下： 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時，應分別裁罰；而如以一行為因故意或過失違反數GDPR規定者，罰鍰總額不得超過最嚴重違規情事所定之數額（指引第三章）。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別，並界定不同級別的起算金額範圍，個案依照違反GDPR行為嚴重程度決定金額範圍後，尚需考量企業的營業額度以定其確切金額作為裁罰數額起點（指引第四章）。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額（指引第五章）。 4.針對各違反行為，參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額，而是對不同違反行為規範了裁罰最高額度上限，EDPB提醒，適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制（指引第六章）。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰，必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則，而予以相應調整裁罰額度，而如果有客觀證據表明裁罰金額可能危及企業的生存，可以考慮依據成員國法律減輕裁罰金額（指引第七章）。 EDPB重申其將不斷審查這些步驟與方法，其亦提醒上述所有步驟必須牢記，罰鍰並非簡單數學計算，裁罰金額的關鍵因素應取決具體個案實際情況。

　　網球選手「丹麥甜心」Caroline Wozniacki在2019年底於社群媒體Instagram發布退休文章並附上一張其青少年職業賽之發球特寫照片，該爭議照片為丹麥攝影師 Michael Barrett Boesen（後稱Boesen）所拍攝，爾後聯合體育出版社United Sports Publications（後稱USP）以嵌入含有該爭議照片之發文截圖報導該選手退休的新聞並刊載於長島網球雜誌（Long Island Tennis Magazine）之網站上，然而USP並未獲得Boesen之允許或授權使用，因此Boesen於2020年3月對USP提出著作權侵權訴訟。 　　美國紐約東區聯邦地區法院法官根據美國著作權法第107條（17 U.S.C. § 107）之合理使用原則：(1)使用的目的和性質、(2)受著作權保護作品的性質、(3)實質使用原始作品的比例、以及(4)該著作權物的使用對市場的影響等四項判斷要素，逐一檢視本爭議。 　　針對要素一，法官參酌相似前案，認為USP之新聞並非單純使用Boesen的照片，而是嵌入該爭議照片之發文截圖，且未針對該爭議照片內容描述該選手之青少年網球生涯，已賦予既有著作新的或不同元素或有其他使用目的，而非替代既有著作之原始用途，而認定USP充分地轉化該攝影著作、屬合理使用；而要素二，法官認為該爭議照片同時具資訊性與創造性元素，而該爭議照片除了在網球選手發文中公開之外，Boesen亦已公開於其社群媒體與網站中，使該爭議照片之資訊性成份相對較高、其合理使用範圍較大；至於要素三，USP之新聞係嵌入網球選手之退休發文，且保留選手頭像簡介、發文內容等社群媒體之所有標記，並未直接對該爭議照片進行編輯，因此使用該攝影著作之比例相對低；最後要素四，USP之報導非單獨呈現該爭議照片而係連同網球選手退休發文一同展現，此外該爭議照片係經過裁切且解析度低，實質上難以取代原始攝影著作之市場價值。綜上所述，法官最終於同年11月初作出判決，認定USP嵌入具Boesen攝影著作發文之報導屬合理使用。

　　英國通訊管理局（Ofcom）於2021年7月26日提出「非同步衛星系統之執照更新」報告（Non-geostationary satellite systems: Licensing updates），表示若未能積極管理Amazon、OneWeb、SpaceX及Telesat等業者之低地球軌道衛星星座（satellite constellation）的通訊服務，後續恐會有局部干擾的疑慮，降低既有網路的通訊品質及可靠性，以及產生限制競爭的問題。 　　因此，Ofcom規劃調整衛星執照之許可制度，並向各界徵求諮詢意見。有關新的衛星執照修正重點包括： 1.衛星執照細部項目：將再細分成「終端設備」（user terminals）及「系統閘道站」（gateway）兩種許可證。 (1)衛星終端設備許可證：允許使用非同步衛星系統之終端設備，例如在用戶端安裝碟型天線及設備，但必須係衛星營運商所有。 (2)衛星系統閘道站許可證：授權設置地面閘道站，以作為衛星網路連結到網際網路、專用網路或雲端服務的大型樞紐（hub）。 2.執照申請審查程序：Ofcom將確保系統間可以共存而不會降低服務品質；避免執照取得者會對後續各方進入市場產生競爭限制；以及提供利害關係人評論期間，以便反映有關干擾或競爭之潛在風險。 3.附加許可條件：要求營運商之間進行技術合作；讓行政機關在必要時介入管理干擾案件，以確保英國消費者權益。

美國司法部（Department of Justice, DOJ）於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料，以降低國安威脅。 最終規則指出，去識別化敏感個人資料若經大量蒐集，仍可能被重新識別，因此原則上禁止或限制任何美國人在知情的情況下，與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊（vehicle telemetry information）、基因組以及個人健康、財務資料或其他足資識別個人之資料，並定義禁止及限制交易的型態。同時，最終規則除設有若干豁免交易類型外，也定有一般及特別許可交易規定，並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布；特別許可則由總檢察長依個案酌情例外核准。 該規則課予交易方持續報告（reporting）、盡職調查（due diligence）、稽核（audit）、紀錄留存（recordkeeping）等義務，並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易，例如投資、雇傭、資料仲介（data brokerage）及供應商契約，提出資安要求，以降低受關注國家或個人獲取該類特定資訊的風險。最後，該規則定有民事罰款（37萬美金以下）、刑事處罰（100萬美金以下或20年以下徒刑），並設立申訴之救濟措施。