美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
依2014年復甦美國製造與創新法(Revitalize American Manufacturing and Innovation (RAMI) Act of 2014),美國國家製造創新網絡計畫於2016年2月公布年度報告(Annual Report)。國家製造創新網絡計畫的目標是處理發生於執行面的、介於初期基礎研究與技術布建之間的製造技術轉型(manufacturing related technology transition)挑戰。 國家製造創新網絡計畫的關鍵核心之一,是連結創新與製造,而「研發機構」(Institute)在這當中扮演最為關鍵的角色。此所稱之研發機構,係指2013年「國家製造創新網絡先期規劃」(NNMI-PD)以及2014年復甦美國製造與創新法(RAMI Act of 2014)第278s條(c)項所界定之「製造創新中心」(center for manufacturing innovation)——其採公私合營制(public-private partnership),其成員可包括各該業界之業者與學研機構,以及商務部長認屬適當之產業聯盟(industry-led consortia)、技職教育學校、聯邦政府所屬實驗室、以及非營利機構等。「研發機構」將以上之利害關係各方匯聚形成一個創新生態系(innovation ecosystem),以共同因應高風險之製造業挑戰並協助製造業者維持並提升產能與競爭力。 我國於民國105年7月由行政院核定通過之「智慧機械產業推動方案」,亦規劃透過「智機產業化」與「產業智機化」,建構智慧機械產業生態體系,整合產學研能量,並深化智慧機械自主技術中長期布局與產品創新。
歐盟執委會提出「歐盟開放資訊戰略」為達成歐盟數位議程(Digital Agenda)中的單一數位市場(Digital Single Market)目標,歐盟執委會(EU Commission)提出了「開放資訊戰略」(Open Data Strategy for Europe)措施,預計可為歐洲地區創造出每年超過400億歐元的產值。 此方案係利用歐盟各會員國政府已蒐集的大量資訊,藉由免費或低收費的方式,提供全歐洲任意目的使用。目前英國、法國已完成相關整備,蓄勢待發 。 歐盟此目標包含三個具體措施:a.歐盟執委會將率先開始,利用新網站(data portals)免費開放資訊;b.建立全歐洲開放資訊的公平競爭環境;c.從2011至2013年投入共1億歐元,以進行資料處理研究。 此外執委會建議修正2003年公共部門資訊再利用指令(2003/98/EC),包含:a.所有公部門蒐集的資訊,在無妨礙著作權情形下,應開放予所有人任何目的使用;b.除了必要成本外,不得收取其他費用;c.任何機器均可使用,以確保資料有效重新利用;d.引入監管機制;e.擴展指令覆蓋範圍,包含博物館與圖書館等。 歐盟執委會現已著手建立新的專屬公開網站,未來該網站將可連結到歐盟各會員國公開資訊。該網站預計於2012年春季正式推出。
美國重新闡述無障礙通訊設備裝置為了落實美國2010年公布之21世紀通訊與視訊無障礙法(Twenty-First Century Communications and Video Accessibility Act of 2010,CVAA),讓身障者得以使用新興通訊技術,FCC於今(2013)年4月29日公布第二次報告與命令(Second Report and Order)。本次規範重點在修訂2011年對1934年通訊法(Communications Act of 1934)第716、718條之規範,使通訊服務與設備製造之業者,負擔更多的無障礙義務。 針對第716條,規範消費者終端設備,包括手機、筆記型電腦或平板電腦等,在安裝或具備瀏覽器後,將被視為具有提供先進通訊服務(Advanced Communications Services,ACS)之能力,而須提供身障人士無障礙使用非互連VOIP(non-interconnected VoIP)、電子通訊與視訊會議服務。第二次報告與命令相較於2011年,FCC將消費者終端設備皆納為先進通訊服務,而須承擔無障礙義務,本次規則限縮設備製造商之無障礙使用義務。至於第718條則是要求手機製造商與電信服務商提供之手機,如具有網路瀏覽器,則須能使視障者無障礙使用。例如以語音將網址輸入於地址攔(Address Bar)、或是準確使用工具鍵(例如是回復鍵),增加提供瀏覽器業者(e.g .微軟Google)之義務。 FCC要求2013年10月8日以後生產、提供的設備與服務,皆須符合第716、718條規範,使身障者更得方便使用通訊設備。不過, ACS在下述條件可不受無障礙使用限制: 1.手機無法進行相容。 2.設備為客製化、且未有公開販售。 美國於2010年時超過40%以上的成年人,使用網際網路收發郵件、或獲取即時消息,但是,身障者卻難以享有資通訊的便利性。是故,這次FCC對第716、718條重新闡述,是否能降低美國身障者之數位落差,更能受益於科技的進步,將是未來持續觀察的重點。
論美國與歐盟半導體之保護策略論美國與歐盟半導體之保護策略 蔡立亭 資訊工業策進會科技法律研究所 2021年12月 根據美國白宮於2021年9月23日的公告,COVID-19的流行衝擊產業的供應鏈;政府藉由法案的施行,積極預防晶片的短缺[1]。為保護產業的發展,與國際競爭力,不僅美國致力於晶片的自給自足;歐盟鑒於國際趨勢,亦積極強化技術能力[2]。本文擬研析於2021年,美國、歐盟促進半導體發展的策略,並聚焦於相關的法制與聯盟。 壹、事件摘要 據調查報告指出,由於近年大量外購半導體與設置境外公司,美國於全球半導體的產量占比,已明顯下降,並欠缺先進技術的能力[3]。申言之,美國於半導體生產的量與質,皆已呈現危機。基於穩定國內產業之供需,和提升半導體技術的量能,美國政府積極擬定《2021財政年國防授權法》;半導體產業並組成聯盟凝聚共識,共同維護半導體供應鏈之健全。 歐洲亦致力於推進半導體的發展,提出《歐洲晶片法案》(European Chips Act)[4],歐盟並另成立「處理器與半導體技術聯盟」(the Alliance for Processors and Semiconductor technologies)[5]。申言之,歐洲以法案與產業聯盟,共同強化歐洲整體於國際半導體之技術量能。 貳、重點說明 承上所論,為協助境內半導體產業的發展,提升研發技術能力,美國與歐盟創造適合的生態環境。由政府制定規範,挹注相關資源;產業並聚集為聯盟,協力提升半導體產能。本文以下擬分述之。 一、美國 美國《2021財政年國防授權法》的H Division其他事項第99主題(TITLE XCIX),為「創造有助於美國生產半導體的激勵措施」[6]。係資助發展安全且穩定的半導體,和半導體供應鏈;並含建立多邊半導體基金[7],以及與國外共同籌資機制(common funding mechanism)[8]。在提升半導體研究與發展的層面,則成立「國家半導體科技中心」,參與的單位為商務部、國防部、能源局與國家科學基金會[9]。該中心的任務為執行半導體的製造、設計、研究[10];並建立投資基金,與私部門合作,以支持新創公司、產學合作,提升美國的半導體生態系[11]。申言之,美國以國家主導,跨部會協作,挹注經費,整合半導體的研究資源。 美國半導體聯盟(Semiconductors in America Coalition,SIAC)係由製造與使用半導體的公司,組成跨部門聯盟,其任務為藉由提升半導體的製造與研究,強化美國的經濟、關鍵基礎設施,與國家安全[12]。另,美國半導體工業協會(Semiconductor Industry Association,SIA)自1977年成立[13],成員類型包含半導體設計與製造公司總部位於美國者(特許會員)、總部位於美國境外而對美國具有重要性者(國際半導體會員)、在半導體產業供應鏈中的公司且期待對聯盟的公共政策具有發言權者(企業會員),和非屬半導體產業的公司(企業夥伴)[14]。SIA的任務為推動政策與法規,提升國際競爭力,和維持技術領先性[15]。換言之,聯盟包含境外成員的參與,以共同推動半導體的發展。 二、歐盟 歐盟之《歐洲晶片法》則尚處於研議階段,係由歐盟委員會主席Ursula von der Leyen於2021年9月提出,並認為應連結半導體設計、製造與測試的能力[16]。歐盟委員Thierry Breton指出,該法案應包含三個構面:一為歐洲半導體研究策略,此為歐洲在全球半導體價值鏈中的優勢;次為藉由共同計畫,以提升歐洲的產出能力;三為國際合作的框架[17]。擬以法案深化歐洲半導體產業的研究、技術量能。 歐洲處理器與半導體技術聯盟,係於2021年7月成立,總體目標為識別晶片生產與企業技術發展需求間的落差[18]。並轉化為兩個主要的行動,一為強化歐洲電子設計的生態系統;次為建立必要的製造能力[19]。藉由檢視晶片的供需,以協調整體生態系的發展。 參、事件評析 綜上所論,美國與歐洲輔助境內半導體的發展,可歸納為縱向層面:以立法的方式,編列預算並保護技術。以橫向層面觀察,半導體產業組成聯盟,可由產業界的視角,交流相關技術經驗,和調整規範以符合技術發展實務。 美國與歐盟積極整合相關的資源,提升境內之半導體研究與技術,競爭國際之領導地位。觀察美國《2021財政年國防授權法》對半導體產業的輔助,或可歸納為1、國際合作籌資;2、跨部會合作;與3、公私協力。歐盟之《歐洲晶片法案》並擬於2022年第2季有相關的倡議[20]。或亦將注重國際合作,以優化半導體產業。 針對半導體聯盟之設置,成員或包含國際會員,以協調相關的政策、法規,整合半導體的供給與需求。申言之,美國與歐盟槓桿國際資源,輔助境內半導體產業,提升研發技術,與半導體供應之量能。 [1] Sameera Fazili and Peter Harrell, When the Chips Are Down: Preventing and Addressing Supply Chain Disruptions, Briefing Room Blog (September 23, 2021), https://www.whitehouse.gov/briefing-room/blog/2021/09/23/when-the-chips-are-down-preventing-and-addressing-supply-chain-disruptions/#3 (last visited Oct. 13, 2021). [2] EU’s costly plan to close the semiconductor gap, Bloc would do better to focus on chip design and specialist machinery, FINANCIAL TIMES, Oct. 4, 2021, https://www.ft.com/content/a016f686-791f-4a3f-9e7a-c6389896862b (last visited Nov. 2, 2021). [3] FACT SHEET: Biden-Harris Administration Announces Supply Chain Disruptions Task Force to Address Short-Term Supply Chain Discontinuities, 100-Day Review Outlines Steps to Strengthen Critical Supply Chains, Final Report, The White House, https://www.whitehouse.gov/briefing-room/statements-releases/2021/06/08/fact-sheet-biden-harris-administration-announces-supply-chain-disruptions-task-force-to-address-short-term-supply-chain-discontinuities/ (last visited Oct. 18, 2021). [4] Ursula von der Leyen, President of the European Commission, 2021 State of the Union Address by President von der Leyen, Address at European Commission (September 15, 2021), 1, at 4, https://ec.europa.eu/commission/presscorner/detail/ov/SPEECH_21_4701 (last visited Oct. 21, 2021). [5] Digital sovereignty: Commission kick-starts alliances for Semiconductors and industrial cloud technologies, European Commission, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_3733 (last visited Oct. 20, 2021). [6] TITLE XCIX—CREATING HELPFUL INCENTIVES TO PRODUCE SEMICONDUCTORS FOR AMERICA, William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021, Authenticated U.S. Government Information GPO, One Hundred Sixteenth Congress of the United States of America at the second session, 1, at 1456, https://www.congress.gov/bill/116th-congress/house-bill/6395/text (last visited Oct. 22, 2021). [7] SEC. 9905. Funding for development and adoption of measurably secure semiconductors and measurably secure semiconductors supply chains (a), id., at 1467. [8] SEC. 9905. Funding for development and adoption of measurably secure semiconductors and measurably secure semiconductors supply chains (b), id., at 1468. [9] SEC. 9906. Advanced microelectronics research and development (c) (1), id., at 1471. [10] SEC. 9906. Advanced microelectronics research and development (c) (2) (A), id., at 1471. [11] SEC. 9906. Advanced microelectronics research and development (c) (2) (B), id., at 1472. [12] About, SIAC Semiconductors in America Coalition, https://www.chipsinamerica.org/about/ (last visited Oct. 20, 2021). [13] History, SIA Semiconductor Industry Association, https://www.semiconductors.org/about/history/ (last visited Oct. 21, 2021). [14] Join SIA, SIA Semiconductor Industry Association, https://www.semiconductors.org/about/become-a-member/ (last visited Oct. 21, 2021). [15] Mission, SIA Semiconductor Industry Association, https://www.semiconductors.org/about/mission/ (last visited Nov. 2, 2021). [16] Ursula von der Leyen, supra note 4. [17] 歐盟官方發布內容:Thierry Breton, How a European Chips Act will put Europe back in the tech race, Blog (September 15, 2021), https://ec.europa.eu/commission/commissioners/2019-2024/breton/blog/how-european-chips-act-will-put-europe-back-tech-race_en (last visited Oct. 20, 2021). Linked in發布內容:Thierry Breton, How a European Chips Act will put Europe back in the tech race, Linked in (September 15, 2021), https://www.linkedin.com/pulse/how-european-chips-act-put-europe-back-tech-race-thierry-breton/?published=t (last visited Oct. 21, 2021). [18] Alliance on Processors and Semiconductor technologies, Shaping Europe’s digital future, European Commission, https://digital-strategy.ec.europa.eu/en/policies/alliance-processors-and-semiconductor-technologies (last visited Oct. 20, 2021). [19] Industrial Alliance on Processors and Semiconductor Technologies, Internal Market, Industry, Entrepreneurship and SMEs, European Commission, https://ec.europa.eu/growth/industry/policy/industrial-alliance-on-processors-and-semiconductor-technologies_en (last visited Oct. 20, 2021). [20] EUROPEAN COMMISSION, Commission Work Programme 2022 Annex I: New initiatives (October 19, 2021), 1, at 2, https://ec.europa.eu/info/system/files/factsheet_cwp_2022_annex_v4.pdf (last visited Nov. 1, 2021).