瑞士聯邦委員會於2022年3月30日,發布了一份關於推進可信的「資料空間」(Data Spaces)與「數位自決權」(Digital Self-Determination)報告。此份報告旨在強調資料是數位時代下創造價值的基礎,為了更好地運用資料的潛在價值,呼籲各界採用新的資料使用概念,加強資料所有者(Data Owner)或資料控管者(Data Controller)對於資料的控制,以「數位自決權」為核心,透過科學技術與法律制度,進一步為實踐「資料共享」(Data Sharing)提供一個安全、便捷、自主、開放、公平而值得信賴的「資料空間」。
值得注意的是,透過該報告,聯邦委員會指示聯邦外交部(FDFA)與聯邦環境、運輸、能源和通訊部(DETEC)實施多項措施,以期能在2023年6月份之前,制定一部由所有利害關係人參與的可信賴資料空間操作之自願行為準則。
此外,該報告列舉出當下對於充分發揮資料潛力所存在的障礙,包括:
該報告更進一步指出資料流通的跨國性,因而有必要創建值得信賴且國際兼容的資料空間,為此亦須建立可信賴資料空間的國際準則,以在國際間形成法律確定性。
觀諸我國個人資料保護法第1條便明確指出,本法制定的目的不僅是為了保護個人資料以及相應之人格權與隱私權,而是更進一步欲透過個人資料管理制度的建構與落實,健全社會及商業互信,以期達成資料的合理利用、創造價值並促進公共福祉的終極目標。
關於我國的資料共享體制,現階段主要從金融機構間開始萌芽,未來如何以數位自決權為基礎,同時在充分保障資訊安全的前提下,擴及其他產業並接軌國際,有賴更多科技與法制的創造與積累、外國經驗的借鑑以及國際參與,而台灣近日以創始會員身分加入「全球跨境隱私規則論壇」(Global Cross-Border Privacy Rules Forum)即為著例。
法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴,並展開調查。嗣後,CNIL於2021年12月16公布調查結果,認為Clearview AI公司蒐集及使用生物特徵識別資料(biometric data)的行為,違反《一般資料保護規範》(General Data Protection Regulation,GDPR)的規定,分別為: 非法處理個人資料:個人資料的處理必須符合GDPR第6條所列舉之任一法律依據,始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料,並用於臉部辨識軟體的開發,其過程皆未取得當事人之同意,故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利:Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使,特別是資料查閱權,並且忽視當事人的個資刪除請求。 因此,CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態,包括:(1)在沒有法律依據的情況下,停止蒐集及使用法國人民的個資;(2)促進個資主體行使其權利,並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明,則CNIL可依據GDPR進行裁罰,可處以最高 2000萬歐元的罰鍰,或公司全球年收入的4%。
中國大陸國家新聞出版廣電總局重新建構網路服務管理規範 從歐盟、新加坡固網法規檢視台灣高速寬頻環境發展困境 歐洲人權法院認定義大利稅務機關對銀行用戶資料存取享過大且欠缺有效司法或獨立監督之裁量權,違反ECHR歐洲人權法院(European Court of Human Rights,簡稱ECtHR)於2026年1月8日就Ferrieri and Bonassisa v. Italy一案作成判決,認定義大利稅務機關儘管為稅務稽查目的享有查閱當事人銀行資料,但相關授權規定賦予了政府查閱措施之範圍與條件的絕對裁量權,缺乏避免恣意裁量之程序保障,違反歐洲人權公約(European Convention on Human Rights, ECHR)對隱私權之保障。 本案起源於申訴人接獲其銀行通知,表示接獲稅務機關要求,須提供特定時間段內與申訴人相關或可追溯至申訴人之銀行帳戶、交易紀錄及其他金融活動之資料。銀行並表示將配合稅務機關之要求。 申訴人不服,主張法律及相關規定未就請求銀行提供資料的情形或條件進行足夠細緻的規定,亦未就稅務機關行使調閱權設計有效的事前及事後控制程序,從而賦予稅務機關不受約束的裁量空間。 義大利稅務機關則回應,為履行其「核查納稅人提交的申報資料及繳納款項,偵測任何遺漏事項,並據此進行應繳稅款的核定與徵收」職權,法律賦予其要求銀行提供納稅人的相關資料之權限。 法院強調,凡涉及人權的政府措施,均必須保障個人免受任意干預,並接受在獨立機構進行前進行的某種對抗性程序審查,以適時審核決策依據及相關證據,始符合法治之要求。在本案中,法院認為,若義大利稅務機關發布行政規則,能補充並進一步界定了銀行資料之調閱事由及權限,且對執行單位具有拘束力,相關規定應能符合法治之要求。 但法院發現,在事前的內部授權流程中,執行單位可以不附理由地提出調閱申請,不須就前述行政規則例示之調閱事由,如「稅務申報存在異常」等情形提供證據。 法院也發現,申訴人也無法在事後針對調閱決定透過法院獲得有效救濟。一方面,若申訴人依附於稅務評定書(tax assessment notice)向稅務法庭就調閱行為進行爭執,由於根據義大利判決先例,調閱缺乏授權或授權理由不足,不足以構成撤銷稅務評定書的正當理由,調閱行為之合法性本身可能因此被視為訴訟上不相關的爭議,在訴訟過程中並不受到審查。另一方面,即便直接針對向民事法院請求救濟,在調閱決定可不附理由之情形下,也難以想像法院如何進行審查。 因此,法院判決最後認為,義大利法律框架賦予了稅務機關不受約束的調閱裁量權,違反ECHR第8條對隱私權之保障。