法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)基於cookie聲明(cookie banner)違反法國資料保護法(Act N°78-17 of 6 January 1978 on Information Technology, Data Files and Individual Liberties)裁罰微軟愛爾蘭分公司(Microsoft Ireland Operations LTD,下稱微軟)搜尋引擎Bing,並根據cookie蒐集資料間接產生的廣告收入、資料主題數量及處理的資料範圍定出6千萬歐元之罰鍰額度,且要求微軟應於3個月內限期改正,如逾期按日處以6萬歐元罰鍰。本案是繼2022年1月6日以來,CNIL以相同理由分別對Google與Facebook裁罰1.5億及6千萬歐元罰鍰後,再增1件科技巨頭因違法運用cookie遭受裁罰之案例。本案對我國隱私執法機關參酌於數位環境中,應就cookie聲明如何進行管理之理由與細節,具有參考價值。
而本案微軟之搜尋引擎Bing遭受裁罰之理由,主要可分為二面向:
一、未經使用者事前同意,逕於使用者設備中設置cookie
依法國資料保護法第82條規定,業者利用cookie或其他追蹤方式針對使用者終端設備上的資料進行讀取或寫入資料前,應盡告知義務並取得使用者同意。惟搜尋引擎Bing在使用者造訪網站時,未經使用者同意便設置一種具有安全及廣告等多種用途的cookie(MUID cookie)於其電腦設備,且當使用者繼續瀏覽網站時,將會另設置其他廣告cookie,然微軟亦未就此取得使用者同意。
二、拒絕設置cookie與給予同意之方式便利性應相同
在有效同意的標準與具體判斷上,由於搜尋引擎Bing的cookie聲明第一階層僅提供「接受」與「設定」兩類按鈕,並未提供「拒絕」按鈕,因此使用者同意或拒絕設置cookie之流程便利性有其差異,並未一致,如下說明:
(一)使用者同意設置cookie
如使用者同意設置cookie,僅需於cookie聲明的第一階層點擊「接受」按鈕,即完成設置。
(二)使用者拒絕設置cookie
若使用者欲拒絕設置cookie,需於cookie聲明的第一階層點擊「設定」按鈕;其後進入第二階層,使用者可於各類型cookie選擇開啟或關閉,再點擊「保存設定」按鈕,始完成設置。
是以使用者拒絕同意設置cookie與給予同意之方式,兩者的便利性並未一致。又因第二階層顯示默認未設置cookie,恐導致使用者誤以為網站並未設置cookie,故CNIL認為此種同意欠缺自願性而屬無效者。
歐盟布魯塞爾會議規劃組織(QED)在2016年12月針對第四次工業革命法制議題提出討論,呼應2016年4月歐盟執委會提出之歐洲產業數位化政策,加速標準建立,並且預計調整現行法律規制,著重於資料所有權、責任、安全、防護方面等支規定,討論重點如下: 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用,雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同,其間如何調合朝向資料自由發展之方向進行 我國2016年7月由行政院通過「智慧機械產業推動方案」,期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行,未來,相關法制配套規範,如個人資料保護、巨量資料應用、以及標準化等議題,皆有待進一步探討之必要。
美國運輸部公布自駕車3.0政策文件美國運輸部(Department of Transportation)於2018年10月4日公布「自駕車3.0政策文件」(Preparing for the Future of Transportation: Automated Vehicles 3.0)」,提出聯邦政府六項自駕車策略原則: 安全優先:運輸部將致力於確認可能之安全風險,並促進自駕車可帶來之益處,並加強公眾信心。 技術中立:運輸部將會依彈性且技術中立之策略,促進自駕車競爭與創新。 法令的與時俱進:運輸部將會檢討並修正無法因應自駕車發展之交通法令,以避免對自駕車發展產生不必要之阻礙。 法令與基礎環境的一致性:運輸部將致力於讓法規環境與自駕車運作環境於全國具備一致性。 主動積極:運輸部將主動提供各種協助,以建構動態且具彈性之自駕車未來,亦將針對車聯網等相關補充性技術進行準備。 保障並促進自由:運輸部將確保美國民眾之駕駛自由,並支持透過自駕科技來增進安全與弱勢族群之移動便利,進而促進個人自由。 「自駕車3.0政策文件」並建立五個策略,包括利益相關人參與、典範實務(best practice)、自願性標準、目標研究(Targeted research)與規範現代化等,配合以上原則進行。美國運輸部並肯認其先前提出之「安全願景2.0(A Vision for Safety)」中之安全性架構,並鼓勵技術與服務開發商持續遵循自願性之安全評估,並重申將依循自我認證(self-certification)而非特定認證管制途徑,以促進規範之彈性。
巴西通過290號規範性指令,促進已獲外國監管機構註冊之醫療器材於國內快速上市巴西國家衛生監督局(Agência Nacional de Vigilância Sanitária, Anvisa)為強化國際監管機構間信任,並促進具有臨床效益的健康產品快速流通,於2022年8月通過第741號合議理事會決議(Resolução da Diretoria Colegiada - RDC N° 741),宣布若已透過等效外國監管機構(Autoridade Reguladora Estrangeira Equivalente, AREE)–即具有與 Anvisa一致之監管方式的外國監管機構–認定符合公認之品質、安全性和有效性標準之醫療產品,可利用AREE的註冊或授權證明相關文件,於巴西當地申請上市註冊的過程中,獲得簡化審查的優惠措施。在此框架下,Anvisa於2024年4月4日通過第290號規範性指令 (Instrução Normativa - N° 290),內文指出醫療器材及體外診斷醫材產品可於2024年6月3日起,於註冊上市的過程中提交AREE之證明文件以進入簡審程序。 第290號規範性指令明確指出,目前獲巴西政府認可之醫療器材AREE及對應之註冊或授權證明,包含以下機構:(1)美國食品及藥物管理局(U.S. Food and Drug Administration, FDA)之上市前批准(PMA)、510(k)或De Novo;(2)加拿大衛生部(Health Canada, HC) 之醫療器材許可證;(3)澳洲醫療用品管理局(Therapeutic Goods Administration, TGA)之澳洲治療用品登記冊 ;(4)日本厚生勞動省(Ministry of Health, Labour and Welfare, MHLW)之上市前批准。另外,欲適用簡化程序的註冊產品,則需與AREE頒發授權證明之產品具有「本質上相同性」(Dispositivo Médico Essencialmente Idêntico),具體包含產品之技術規格、適應症、預期用途、製造商、製造流程,以及安全與性能上的一致性。 此政策透過值得信賴的監管單位把關,不僅可促進國際間醫療器材之貿易流通,更可能有效減少巴西當局於審查過程的行政成本,進而提升國內的產品審查效率。然值得注意的是,在各國醫療器材監管法規與行政裁量基準不完全一致的現況下,各國政府對於醫療器材之分類、臨床數據及健康風險的解釋與判斷結果也不見得相同,Avisa未來在醫療器材上市審核的過程中,將如何看待及利用來自AREE之證明文件,有待未來持續觀察其實施成效。
全球CBPR論壇成立一週年:英國成為準會員、公布部分制度文件、資策會開始受理驗證全球CBPR論壇成立一週年:英國成為準會員、公布部分制度文件、資策會開始受理驗證 資訊工業策進會科技法律研究所 112年08月01日 「全球跨境隱私規則論壇」(Global Cross-Border Privacy Rules Forum,簡稱全球CBPR論壇)自去(2022)年成立迄今已有1年,論壇於今(2023)年7月6日宣布英國已經完成審核,成為全球CBPR的「準會員」(Associate)。除歡迎新的成員加入外,全球CBPR論壇亦陸續公布其制度文件、領導團隊名單及年度工作計畫。 全球CBPR論壇成立的目的在於建立全球性的跨境隱私驗證機制,並促進全球的資料保護與隱私執法合作[1]。此一論壇於去年4月份時,由我國、美國、日本、韓國、新加坡、加拿大與菲律賓等七個「亞太經濟合作」(Asia-Pacific Economic Cooperation, APEC)「跨境隱私規則體系」(Cross-Border Privacy Rules, CBPR)會員共同以宣言形式宣布推動成立[2],嗣後APEC CBPR剩餘的兩個會員澳洲[3]及墨西哥[4]亦陸續宣布加入。 一、公布制度文件及領導團隊 全球CBPR論壇首先於今年4月13日,該論壇宣佈成立滿1年之際,公告論壇隱私標準指導文件的「全球CBPR綱領」(Global CBPR Framework)以及規範論壇架構與會員資格的「職權文件」(Terms of Reference)等2份論壇運作的基礎文件;同時並公布其首批領導團隊名單[5]。此後,全球CBPR論壇再於6月30日時公告2023/2024年度的工作計畫[6]。 (一)全球CBPR綱領 全球CBPR綱領的制訂目的主要係為了在會員不同的管制間尋求「求同存易」的隱私方法論:期待能在尋求相同原則的管制同時,亦能尊重不同成員不同的社經背景差異[7]。 在實質內容上,全球CBPR綱領的主要內容係基於創始成員皆有參與的「APEC隱私綱領」(APEC Privacy Framework)調整,並使其內容得以與「經濟合作暨發展組織」(Organisation for Economic Cooperation and Development, OECD)的「隱私保護及個人資料跨境傳輸指引」(Guidelines on the Protection of Privacy and Trans-Border Flows of Personal Data)所涵蓋核心原則相符[8]。 全球CBPR綱領揭櫫了「全球CBPR隱私原則」(Global CBPR Privacy Principles),其內涵包含預防損害、告知、限制蒐集、個人資料利用、當事人自主選擇、個人資料完整性、安全維護、近用與更正以及責任等9個項目[9]。此些原則的內容與精神,皆與APEC CBPR隱私原則相通。此外,全球CBPR隱私綱領亦針對在各會員內部及國際間落實全球CBPR隱私原則擬定執行指南[10],作為後續全球CBPR論壇運作的指引。 (二)職權文件 職權文件主要係規定全球CBPR論壇的運作架構,包含論壇的組織架構、程序、領導團隊選任方式、工作語言的內容,同時亦會員及準會員的資格與申請、採認的程序等。 在組織架構上,全球CBPR論壇設立由所有會員組成之「全球論壇大會」(Global Forum Assembly, GFA)[11],作為論壇的最高決策機構,以共識決為基礎[12]負責論壇政策戰略之擬訂、審議年度工作計畫、設立委員會、採認各委員會提出之建議並負責領導團隊之任命[13]。全球論壇大會置主席、副主席各1人負責領導工作,主席及副主席任期均為2年,並應由不同會員之代表擔任[14]。在全球論壇大會下,為便利各項工作之推行,全球CBPR論壇設「會員委員會」(Membership Committee)、「溝通協調委員會」(Communications and Stakeholder Engagement Committee, Comms Committee)及「當責機構監督及參與委員會」(Accountability Agent Oversight and Engagement Committee, AA committee)[15]等三個委員會,各置主席1人,負責主持委員會會務,並每半年向全球論壇大會主席遞交委員會工作報告[16]。各委員會需至少有3個不同會員之參與[17]。 其中,會員委員會負責審查會員及副會員之申請,並做成審查結論及建議以遞交予大會採認,同時亦負責促進各「司法管轄區」(jurisdiction)對CBPR之認識與參與[18]。溝通協調委員會擇負責提高利害關係人對論壇之認識、維護論壇網站、文件與記錄資料庫,並針對論壇品牌之發展、維護向大會提出建議[19]。當責機構監督及參與委員會則負責與當責機構有關之任務,包含對其申請進行審查,以向大會提出准駁建議、處理針對當責機構的申訴,以及負責與當責機構溝通合作等[20]。 在會員資格部分,任何司法管轄區符合以下條件者,可申請為會員:該司法管轄區之法律體系規範符合全球CBPR綱領及全球CBPR宣言(全球CBPR論壇宣佈成立之文件)[21]所規定之原則,且至少有一隱私執法機構參與「全球隱私執法合作機制」(Global Cooperation Arrangement for Privacy Enforcement, Global CAPE)[22];同時其必須滿足以下任一條件:(1)有意採用至少一個當責機構以落實全球CBPR規範,或是(2)證明其法律體系採認全球CBPR論壇之驗證體系為有效的跨境資料傳輸機制[23]。 除會員外,職權文件另創設「副會員」資格,其可參與全球CBPR論壇之各項活動[24]、參與除會員限定會議外之論壇大會[25],並可在各委員會主席邀請的情況下,參與各委員會活動[26]。副會員需表達其支持全球CBPR綱領及全球CBPR宣言所揭示之原則、目標,該司法管轄區需有有效的保護個人資料之法律規範,且至少有一政府機構負責該法律規範之監督與執行[27]。 (三)全球CBPR論壇首批領導團隊名單 全球CBPR論壇在公布前述論壇文件時,亦公開其首批領導團隊名單。其中,全球論壇大會的主席有美國商務部的Shannon Coe 擔任,副主席由新加坡資通訊媒體發展局的Evelyn Goh 擔任[28]。Shannon Coe 曾經擔任APEC 電子商務指導小組(Electronic Commerce Steering Group)[29]、資料隱私次級小組(Data Privacy Subgroup, DPS)[30]主席,同時現在也是APEC CBPR 聯合監督小組(Joint Oversight Panel, JOP)主席[31]。Evelyn Goh亦曾為APEC CBPR 聯合監督小組成員[32]。在委員會部分,會員委員會主席由日本經產省之Makiko Tsuda擔任;溝通協調委員會主席則為菲律賓國家隱私委員會的Ivy Grace T. Villasoto;至於當責機構監督及參與委員會的主席則尚未選出[33]。 (四)年度工作計畫 全球CBPR論壇於6月30日時公布至2024年4月的年度工作計畫,其主要包含以下三個戰略目標:第一,於2023年底開始全球CBPR驗證及全球PRP(Privacy Recognition for Processors, PRP)驗證計畫;第二,擴大全球CBPR論壇之參與,包含完成會員加入所需之程序、利害關係人參與機制等,並計畫於今年秋季及2024年春季舉辦研討會(workshops);第三,持續強化論壇之運作,包含各委員會於年底前提交半年工作計畫等[34]。 二、英國成為準會員 全球CBPR論壇於7月6日發表新聞,宣布英國已經獲得接納成為論壇的準會員[35]。這是全球CBPR論壇成立後第一個申請加入的準會員,也是首個來自非原APEC CBPR會員的論壇參與者。 英國是在論壇於4月公布職權文件後,隨即於同日宣布申請加入為論壇的準會員[36]。其後歷經月餘審查,於5月份通過論壇會員委員會審查,並於6月時獲全球論壇大採認獲得準會員資格[37]。 三、資策會公告CBPR驗證文件,開始受理驗證 資策會為我國在CBPR體系驗證的唯一一個當責機構,目前亦在維運的臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)網站公告CBPR驗證的標準及申請文件[38]。有意申請CBPR國際個人資料保護驗證的企業,可以前往該網站的CBPR專區,查閱驗證標準、評量問卷、驗證須知以及其他申請文件。資策會科技法律研究所期待透過以國內個人資料保護法為基礎轉化的TPIPAS以及我國正式參與的國際組織制訂的CBPR兩項個資管理驗證制度,協助提昇國內企業個資管理能力,建立受信賴的個資應用環境。 [1]About the Global CBPR Forum, Global Cross-Border Privacy Rules Forum [Global CBPR Forum], https://www.globalcbpr.org/about/ (last visited Aug. 3, 2023). [2]國家發展委員會綜合規劃處,〈我國以創始會員身分加入新設立之「全球跨境隱私規則論壇」〉,國家發展委員會,2022/04/21 17:00,https://wwwcdn.ndc.gov.tw/nc_27_35773 (最後瀏覽日:2023/08/03)。 [3]Mark Dreyfus, Australia joins the Global Cross-Border Privacy Rules Forum, The Attorney-General's Department of Australia (Aug. 17, 2022), https://ministers.ag.gov.au/media-centre/australia-joins-global-cross-border-privacy-rules-forum-17-08-2022 (last visited Aug. 3, 2023). [4]Members of the Global CBPR Forum, Global CBPR Forum, https://www.globalcbpr.org/membership/ (last visited Aug. 3, 2023). [5]Global Cross-Border Privacy Rules (CBPR) Forum Welcomes Participation by Interested Jurisdictions , Global CBPR Forum (Apr. 13, 2023), https://www.globalcbpr.org/global-cross-border-privacy-rules-cbpr-forum-welcomes-participation-by-interested-jurisdictions/ (last visited Aug. 3, 2023). [6]The Forum Releases its Annual Work Program for 2023/2024, Global CBPR Forum (June 30, 2023), https://www.globalcbpr.org/the-forum-releases-its-annual-work-program-for-2023-2024/ (last visited Aug. 3, 2023). [7]Global CBPR Forum, Global Cross-Border Privacy Rules (CBPR) Framework (2023), at 2 (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Framework-2023.pdf (last visited Aug. 3, 2023). [8]國家發展委員會法制協調處,〈全球CBPR論壇正式啟動,英國申請加入準會員 我國與各會員攜手歡迎新會員加入〉,國家發展委員會,2023/04/21 10:10,https://wwwcdn.ndc.gov.tw/nc_27_36833 (最後瀏覽日:2023/06/17)。 [9]Global CBPR Forum, Global Cross-Border Privacy Rules (CBPR) Framework (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Framework-2023.pdf (last visited Aug. 3, 2023). [10]Id. [11]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.i. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [12]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.iii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [13]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.ii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [14]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 4.1. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [15]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.i. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [16]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 6.1. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [17]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.ii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [18]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.v. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [19]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.vii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [20]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.vi. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [21]Global CBPR Forum, Global Cross-Border Privacy Rules (CBPR) Declaration (Apr. 21, 2022), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Declaration-2022.pdf (last visited Aug. 3, 2023). [22]由隱私執法機構組成的組織,負責在隱私執法、跨境資料保護等議題進行合作,其組織規範尚待擬訂,可參見:Organisational Structure, Global CBPR Forum, https://www.globalcbpr.org/about/organisational-structure/ (last visited Aug. 3, 2023). [23]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), Annex A 3. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [24]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 2.2. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [25]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.1.iv. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [26]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), 3.2.iii. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [27]Global CBPR Forum, Global CBPR Forum Terms of Reference (2023), Annex A 4. (2023), available at https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Forum-Terms-of-Reference-2023.pdf (last visited Aug. 3, 2023). [28]Global Forum Assembly Leadership, Global CBPR Forum, https://www.globalcbpr.org/about/leadership/ (last visited Aug. 3, 2023). [29]國發會綜合規劃處,〈我國申請加入 APEC 「跨境隱私保護規則」 (CBPR)體系成功通過 第一階段審查〉,《台灣經濟論衡》,第16卷第2期,頁124。 [30]張惠娟、趙文志、李葳農、林淑英、林宸均、邱映曦、王宗彥、欒中丕、賴玲玲、桂尚卿、熊力恆、劉大瑋、盧淑芫、林冠宇、王德瀛、周芷瑄、邱達生,〈出席2022年2月亞太經濟合作(APEC)數位經濟指導小組(DESG)第1次視訊會議暨相關視訊會議報告〉,行政院所屬各機關因公出國報告書,頁1(2022)。 [31]國發會綜合規劃處,前揭註29;張惠娟等,同前註,頁6。 [32]張惠娟等,前揭註30,頁6。 [33]Supra note 28. [34]Global CBPR Forum, Global Forum Assembly Annual Work Program, though April 2024 (June 30, 2023), https://www.globalcbpr.org/wp-content/uploads/GlobalCBPRForum-Annual-Work-Program-2023-2024.pdf (last visited Aug. 3, 2023). [35]The Forum Welcomes the UK as an Associate, Global CBPR Forum, https://www.globalcbpr.org/the-forum-welcomes-the-uk-as-an-associate/ (last visited Aug. 3, 2023). [36]Department for Science, Innovation and Technology(@SciTechgovuk), The UK has applied to become an Associate of the Global Cross Border Privacy Rules (CBPR) Forum, Twitter (Apr. 18 12: AM), https://twitter.com/SciTechgovuk/status/1648007670002069505 (last visited Aug. 3, 2023). [37]Supra note 35. [38]CBPR簡介,臺灣個人資料保護與管理制度,https://www.tpipas.org.tw/model.aspx?no=310 (最後瀏覽日:2023/08/03)。