歐盟執委會通過《歐洲媒體自由法》草案
歐盟執委會(European Commission,下稱執委會)於2022年9月16日通過《歐洲媒體自由法(European Media Freedom Act)》草案,旨在保護歐盟媒體多元化和獨立性。其立法目標一方面確保媒體多元化與編輯獨立性,讓歐盟公民能夠獲得廣泛且多樣的媒體服務。另一方面防止成員國對媒體的政治干預,要求以公平、公正、公開方式分配國家資源。此外,執委會建議成立歐洲媒體服務委員會作為媒體自由主管機關。
《媒體自由法》要點如下:
1.保護編輯獨立性:要求成員國尊重媒體服務提供商的編輯自由,並加強對新聞來源的保護,防止媒體決策受政治干擾。
2.不得對媒體使用間諜或監視軟體:包括針對媒體、記者及其家人使用。
3.獨立的公共服務媒體:其資金應充足且穩定,以確保編輯獨立。負責人和理事會必須以透明、公開和非歧視的方式任命。公共服務媒體提供者應當根據其公共服務使命,公正地提供多種訊息和意見。
4.媒體多元化測試:要求成員國評估媒體市場集中度對媒體多元化和編輯獨立性的影響。成員國採取的任何可能影響媒體的立法、監管或行政措施都應有正當理由。
5.透明的國家廣告:公開透明的國家廣告資源分配與受眾衡量系統(audience measurement)。該法特別關注數位廣告之收入。
6.線上媒體內容的保護:以《數位服務法》為基礎,該法包括防止不合理刪除合法的媒體內容。在不涉及虛假訊息的情況下,大型數位平臺有意移除某些被認為違反平臺政策的合法媒體內容時,必須告知原因,媒體提出的任何投訴都必須優先處理。
7.使用者自行定制媒體偏好:用戶能更改默認設置以反映自己的偏好。
8.提高媒體所有權的透明度
本文同步刊登於TIPS網站(https://www.tips.org.tw)
黃暐峰
副法律研究員 編譯整理
European Commission, European Media Freedom Act: Commission proposes rules to protect media pluralism and independence in the EU, September 16, 2022, https://ec.europa.eu/commission/presscorner/detail/en/IP_22_5504 (last visited September 23, 2022).
European Commission, Questions & Answers: European Media Freedom Act, September 16, 2022, https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5505 (last visited September 23, 2022).
European Commission, Speech by Vice-President Věra Jourová at Free European Media 2022 conference, Gdańsk, Poland, March 17, 2022, https://ec.europa.eu/commission/presscorner/detail/en/speech_22_1865 (last visited September 23, 2022).
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。 故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。 該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
歐盟「未來工廠」發展計畫歐盟執行委員會依展望2020 (Horizon 2020)於2016年4月14日至15日召開未來工廠公私夥伴合作 (FoF cPPP)研討會,並展示目前資助的研究與創新成果,透過本計畫將協助歐盟內製造業,特別是中小企業,將資通訊及關鍵技術與整個工廠生產鏈結合,達到整體製造業升級。 計劃具體目標如下:(1)以資通訊技術為基礎的解決方案導入製造業生產過程,增加產品獨特性、多樣化、可大規模生產,及保有高度靈活性,以迅速反應瞬息萬變的市場。(2)縮短進入市場的研發製程,提升產品質量,並透過數位化設計、成型、模擬實作及預測分析,提升工作效率。(3)改善整合生產環境的人為因素。(4)透過現代資通訊基礎的生產技術使得資源、材料、能源更有持續性。(5)促進並強化製造領域的共同平台及其生態系統。(6)從獨特的地理位置創建虛擬價值鏈,從而善用優秀人才的潛力。 我國為整合新創能量,以創造製造業下一波成長動能,今年亦陸續公布「智慧機械產業推動方案」與「數位國家‧創新經濟發展方案」,以具高效率、高品質、高彈性等特徵之智慧生產線,透過雲端及網路與消費者快速連結,打造下世代工廠與聯網製造服務體系。
英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。 此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。 此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。
美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。 HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。 而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。 Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。