美國總統簽署《強化美國訊號情報活動命令》,具體落實美歐跨大西洋資料保護框架
美國總統拜登於2022年10月簽署了《強化美國訊號情報活動行政命令》(Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities),指示美國將採取哪些步驟以落實歐盟與美國間資料隱私架構下的承諾。其目的在於解決歐盟法院(Court of Justice of the EU)在2020年7月的Schrems II判決中宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。
新的行政命令為美國的情報監視活動規定了某些「隱私和公民自由保護措施」,並且為非美國人制定了一種新的權利救濟管道,該行政命令主要規定了以下幾點:
1.規定美國的訊號情報活動應為必要的,並且符合有效的情報優先事項。
該行政命令規定,美國的訊號情報只有在「促進有效情報優先事項所必需」,並且「只有在與授權事項相襯的範圍與方式下」才能進行。該命令規定,基於了解或評估對美國、其盟友或夥伴的國家安全構成當前或潛在威脅的國外組織的能力、意圖或活動;防止由外國政府、外國組織或外國個人實施或代表其實施的恐怖主義、劫持人質;以及了解或評估影響全球安全的跨國威脅等目的,可以對某些合法目標進行情報偵察活動。且不得對與新聞自由、異議、思想或政治觀點的自由表達造成限制或使其立於不利地位,也不得蒐集商業訊息;這些訊息的蒐集僅限用於美國、其盟友或夥伴的國家安全。
2.規定訊號情報活動蒐集到的個人資料之處理方式。
針對通過訊號情報活動所蒐集的個人資料,美國情報系統在處理資料的每個環節必須建立制度和相關程序,以盡量減少個人資料的傳輸和保存環節。且只有在適用法規允許蒐集、保留美國人特定類型的資訊之情況下,才能夠保留非美國人的該類型訊息,不得因被蒐集資料的對象並非美國人而有所差異。並要求資訊處理的單位人員保持適當的培訓,以確保相關人員能夠理解規範的要求。
3.規定非美國人的權利救濟程序,以審查美國情報界的訊號情報活動。
在此行政命令頒布後60天內,國家情報總監(DNI)在與美國司法部和情報界各部門協商後,針對非美國人「藉由相應國家機構所移轉符合資格之投訴」建立處理程序。而美國的司法部長可以與國務卿、商務部長和DNI進行協商,將一個國家或是經濟區域、組織指定為符合資格的國家或是國際群體,其人民可以進行權利救濟。DNI的公民自由保護辦公室(Civil Liberties Protection Officer, CLPO)將對這些非美國人的申訴進行審查,並於必要時進行適當的補救措施,包含刪除未經合法授權獲得的資料,或是將合法蒐集資料的訪問權限限制於經過適當培訓的人員。
4.建立資料保護審查法院,以審查CLPO對於合格申訴的判定結果。
新成立的資料保護審查法院應任命針對資料隱私和國家安全法領域具備適當經驗的法律從業人員來擔任法官。投訴人可於CLPO做出決定後,向該法院申請審查CLPO的決定。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
王育章
副法律研究員 編譯整理
President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework, https://www.lexology.com/library/detail.aspx?g=a11293b9-5cb4-40be-a49e-a97758c6e2fc (last visited Oct. 24, 2022).
林玉書,資訊工業策進會科技法律研究所,美國修正通過外國情報偵察法(FISA),https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=7982 (最後瀏覽日期:2022年10月24日)
廖振宇,資訊工業策進會科技法律研究所,美國與歐盟宣布跨大西洋資料保護框架,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8820&no=64 (最後瀏覽日期:2022年10月24日)
WHITE HOUSE, Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (Oct. 7, 2022),https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/ (last visited Oct. 24, 2022).
美國新聞記者兼直昇機飛行員 羅伯特爾( Robert Tur )於 7 月 14 日 控告近來迅速竄紅的影片分享網站 YouTube 侵害著作權,特爾指稱 YouTube 網站鼓勵用戶拷貝受到保護的影片資料,此舉違反了 2005 年一項美國最高法院的判決( MGM v. Grokster ) ,該判決認為 P2P 軟體業者若蓄意鼓勵或誘使客戶從事線上盜版行為,即可能構成著作權侵害。 羅伯特爾聲稱,他所拍攝的 1992 年洛杉磯暴動事件以及 1994 年高速公路上追捕辛普森的直昇機空拍報導影片,未經他的同意就被上傳並在 YouTube 網站上廣為流傳。 特爾亦聲稱, YouTube 網站從他的作品中獲利,同時也侵害了他的著作權,因此提出了 15 萬美元賠償要求並要求網站不得再使用他的影片資料。 YouTube 網站發表聲明指出,自獲悉特爾提出告訴的消息後,網站就已經將他的影片撤下,另一方面認為網站的行為完全符合「一九九八年 數位千禧年著作權法案」﹙ Digital Millenium Copyright Act of 1998 ﹚之規定,應受到該法案免責條款的保護 。
WhatsApp與英國ICO達成協議將停止與Facebook間之資料共享英國資訊專員辦公室(Information Commissioner's Office,簡稱ICO)在歐盟資料保護主管機關(European Data Protection Authorities) 針對WhatsApp與其母公司Facebook間進行資料共享之行為提出相關顧慮之後,於2016年8月就上開事件是否涉及違反英國資料保護法(Data Protection Act)啟動調查,調查結果終於在2018年3月14日出爐並且雙方達成協議。 ICO調查結果是WhatsApp並無正當且合法之理由與Facebook進行資料共享,惟並未對WhatsApp進行任何懲罰,原因乃是WhatsApp並未分享英國用戶之資料予Facebook,並未直接違反英國資料保護法,因為WhatsApp被定位在資料處理者(data processor),只要運作是合法的且不侵擾人們之人權,即可容許。不過WhatsApp仍向ICO承諾將停止分享其用戶個人資訊予Facebook,此協議將持續到GDPR生效為止,亦即此後WhatsApp與Facebook間之資料共享若符合GDPR之規範,則可在基於安全防護之目的下進行或是改善其產品與廣告行銷。 ICO調查專員Elizabeth Denham指出WhatsApp不應與Facebook間進行資料共享之理由有三:一、WhatsApp並未確認其與Facebook間所進行之個人資料分享係基於何種法律依據;二、WhatsApp並未向其用戶適當且公平地揭露其如何處理、分享用戶之資料;三、對於WhatsApp既有之用戶而言,WhatsApp與Facebook間資料共享之處理目的與當初WhatsApp獲取其用戶資料之目的,二者並不相符。 惟歐盟其他國家對於WhatsApp之處置可能不若英國寬容。例如,法國國家資訊自由委員會(Commission nationale de l'informatique et des libertes,簡稱CNIL)正對其採取執法行動,而漢堡資料保護與資訊自由委員會(Hamburg Commissioner of Data Protection and Freedom of Information)將案件提交到高等行政法院,該法院並已禁止Facebook使用從WhatsApp共享中所獲得之資料。
iPhone5 推出後產生之法律爭議當蘋果的員工應該是在慶祝iPhone5的發表時,其實該公司的法務團隊為另一個商標侵權的爭議而緊張。 SBB(Swiss Federal Railways)是瑞士的國家鐵路公司,可能控告蘋果在iOS6中,一個新的以時鐘作為特色的使用。該公司聲稱蘋果侵害這個於1944年所創造出的設計。 SBB先前曾經同意鐘錶製造廠在簽署授權同意書後使用該設計,也期待與蘋果進行商討,以盡快解決此一爭議問題。SBB發言人表示:「金錢並非是最優先考量的利益,對於蘋果使用我們的設計我們是感到驕傲的,若是於兩個優質品牌之間可以有合作關係,將會是雙贏的局面。」 而蘋果的發言人回應:「此一有爭議的設計僅出現在iPad没有在iPhone」,並無其他評論。 這似乎是第一個商標爭議,蘋果可以快速且溫和地解決;因為蘋果與Samsung及其他科技大廠在全世界的爭議似乎是永無止境,在中國就得面對不少的法律問題。 的確,再幾周後SBB與蘋果已達成協議,SBB車站時鐘的設計可使用於蘋果的某些產品設備,如:iPad、iPhone,雙方已經過討論並在授權同意書中達成協議,該協議已同意一定金額的授權金,而進一步的授權細節則是維持機密。
新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。 隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點: (1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版; (2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等; (3)說明生物特徵識別資料在個資法之義務及例外; (4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。 該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。