美國總統簽署《強化美國訊號情報活動命令》,具體落實美歐跨大西洋資料保護框架
美國總統拜登於2022年10月簽署了《強化美國訊號情報活動行政命令》(Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities),指示美國將採取哪些步驟以落實歐盟與美國間資料隱私架構下的承諾。其目的在於解決歐盟法院(Court of Justice of the EU)在2020年7月的Schrems II判決中宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。
新的行政命令為美國的情報監視活動規定了某些「隱私和公民自由保護措施」,並且為非美國人制定了一種新的權利救濟管道,該行政命令主要規定了以下幾點:
1.規定美國的訊號情報活動應為必要的,並且符合有效的情報優先事項。
該行政命令規定,美國的訊號情報只有在「促進有效情報優先事項所必需」,並且「只有在與授權事項相襯的範圍與方式下」才能進行。該命令規定,基於了解或評估對美國、其盟友或夥伴的國家安全構成當前或潛在威脅的國外組織的能力、意圖或活動;防止由外國政府、外國組織或外國個人實施或代表其實施的恐怖主義、劫持人質;以及了解或評估影響全球安全的跨國威脅等目的,可以對某些合法目標進行情報偵察活動。且不得對與新聞自由、異議、思想或政治觀點的自由表達造成限制或使其立於不利地位,也不得蒐集商業訊息;這些訊息的蒐集僅限用於美國、其盟友或夥伴的國家安全。
2.規定訊號情報活動蒐集到的個人資料之處理方式。
針對通過訊號情報活動所蒐集的個人資料,美國情報系統在處理資料的每個環節必須建立制度和相關程序,以盡量減少個人資料的傳輸和保存環節。且只有在適用法規允許蒐集、保留美國人特定類型的資訊之情況下,才能夠保留非美國人的該類型訊息,不得因被蒐集資料的對象並非美國人而有所差異。並要求資訊處理的單位人員保持適當的培訓,以確保相關人員能夠理解規範的要求。
3.規定非美國人的權利救濟程序,以審查美國情報界的訊號情報活動。
在此行政命令頒布後60天內,國家情報總監(DNI)在與美國司法部和情報界各部門協商後,針對非美國人「藉由相應國家機構所移轉符合資格之投訴」建立處理程序。而美國的司法部長可以與國務卿、商務部長和DNI進行協商,將一個國家或是經濟區域、組織指定為符合資格的國家或是國際群體,其人民可以進行權利救濟。DNI的公民自由保護辦公室(Civil Liberties Protection Officer, CLPO)將對這些非美國人的申訴進行審查,並於必要時進行適當的補救措施,包含刪除未經合法授權獲得的資料,或是將合法蒐集資料的訪問權限限制於經過適當培訓的人員。
4.建立資料保護審查法院,以審查CLPO對於合格申訴的判定結果。
新成立的資料保護審查法院應任命針對資料隱私和國家安全法領域具備適當經驗的法律從業人員來擔任法官。投訴人可於CLPO做出決定後,向該法院申請審查CLPO的決定。
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
王育章
副法律研究員 編譯整理
President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework, https://www.lexology.com/library/detail.aspx?g=a11293b9-5cb4-40be-a49e-a97758c6e2fc (last visited Oct. 24, 2022).
林玉書,資訊工業策進會科技法律研究所,美國修正通過外國情報偵察法(FISA),https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=7982 (最後瀏覽日期:2022年10月24日)
廖振宇,資訊工業策進會科技法律研究所,美國與歐盟宣布跨大西洋資料保護框架,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8820&no=64 (最後瀏覽日期:2022年10月24日)
WHITE HOUSE, Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (Oct. 7, 2022),https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/ (last visited Oct. 24, 2022).
英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。 自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。 根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。 由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
美國航空公司控告Google銷售不當的關鍵字廣告美國航空公司(American Airlines, 以下簡稱AA),世界最大的航空公司,控告Google私自銷售包含AA的名稱或註冊商標之搜尋關鍵字 AA日前向德州北區地方法院提出訴訟,控告Google將關於AA的名稱或註冊商標的搜尋關鍵字,如「American Airlines」或「AA.com」,銷售給其它公司作為廣告用途。 AA表示,Google甚至將該等搜尋關鍵字銷售給AA的競爭者。換言之,當使用者於Google搜尋引擎查詢關於前述之AA名稱或註冊商標之關鍵字時,Google除了提供相關連結之外,也可能會在「贊助者連結」中提供AA競爭者的連結,而引導使用者前往其競爭者的網頁。 AA於聲明中指出:「我們希望能減輕此類行為所造成的損害」。截至目前為止,AA並未透露求償金額等細節。 Google則在其聲明中指出:「我們相信本公司的商標政策已經在商標所有人的權益以及消費者的選擇之間取得適當的平衡,並且我們的立場在相關案例的判決中已經被證實是合法的」。
日本農林省研議農業AI契約指引日本為提高農產品品質及附加價值,近年積極推動智慧農業,鼓勵利用AI等新技術研發農業產品和相關服務,惟技術研發需要使用大量資料訓練AI模型,部分農業工作者擔心自身經驗及知識等資料在研發過程中外洩,為避免上述狀況發生,農林水產省於2019年7月9日召開「農業AI利用契約指引檢討會」(農業分野におけるAIの利用に関する契約ガイドライン検討会),研議「農業AI利用契約指引」,防止在進行AI相關應用研發時,農業工作者提供之資料不慎外洩或遭到不當利用,導致其權益受損。 「農業AI利用契約指引檢討會」於2019年12月19日舉辦第3次會議,公布農業AI利用契約指引草案,草案內容包括(1)總論︰說明本指引之制定目的、農業與AI的關係,以及本指引與其他類似指引之差異和適用範圍;(2)農業AI產品、服務契約基本事項︰說明利用AI研發之農業產品和服務相關之智慧財產權,契約要件(契約目的及契約當事人等)及農業AI模型研發流程等基本概念;(3)農業AI產品、服務契約注意事項︰說明AI產品和服務契約之特徵和注意事項,以及利用AI等新技術進行研發之當事人訂定契約時應注意的問題,如農業工作者所提供之資料的重要性、以及個人資料的處理方式等;(4)契約範本︰針對農業AI研發契約、農業AI產品和服務利用契約,以及向第三方提供農業資料之契約,說明契約內容重點及提供範本供作參考。
歐盟執委會通過《歐洲媒體自由法》草案歐盟執委會(European Commission,下稱執委會)於2022年9月16日通過《歐洲媒體自由法(European Media Freedom Act)》草案,旨在保護歐盟媒體多元化和獨立性。其立法目標一方面確保媒體多元化與編輯獨立性,讓歐盟公民能夠獲得廣泛且多樣的媒體服務。另一方面防止成員國對媒體的政治干預,要求以公平、公正、公開方式分配國家資源。此外,執委會建議成立歐洲媒體服務委員會作為媒體自由主管機關。 《媒體自由法》要點如下: 1.保護編輯獨立性:要求成員國尊重媒體服務提供商的編輯自由,並加強對新聞來源的保護,防止媒體決策受政治干擾。 2.不得對媒體使用間諜或監視軟體:包括針對媒體、記者及其家人使用。 3.獨立的公共服務媒體:其資金應充足且穩定,以確保編輯獨立。負責人和理事會必須以透明、公開和非歧視的方式任命。公共服務媒體提供者應當根據其公共服務使命,公正地提供多種訊息和意見。 4.媒體多元化測試:要求成員國評估媒體市場集中度對媒體多元化和編輯獨立性的影響。成員國採取的任何可能影響媒體的立法、監管或行政措施都應有正當理由。 5.透明的國家廣告:公開透明的國家廣告資源分配與受眾衡量系統(audience measurement)。該法特別關注數位廣告之收入。 6.線上媒體內容的保護:以《數位服務法》為基礎,該法包括防止不合理刪除合法的媒體內容。在不涉及虛假訊息的情況下,大型數位平臺有意移除某些被認為違反平臺政策的合法媒體內容時,必須告知原因,媒體提出的任何投訴都必須優先處理。 7.使用者自行定制媒體偏好:用戶能更改默認設置以反映自己的偏好。 8.提高媒體所有權的透明度 本文同步刊登於TIPS網站(https://www.tips.org.tw)