印度隱私權制度下兒童資料安全的保護現狀
印度電子資訊產業技術部(MeitY)2022年11月在網站上公布了個人資料資訊保護法草案(Digital Personal Data Protection Bill,以下簡稱該法案),並於2023年7月提交議會審查。目前印度民法不承認未成年人(未滿18歲者)具有自主簽訂契約的能力。因此,取得的兒童同意不具有法律效力,必須徵得父母或是監護人的同意才能合法蒐集兒童個人資料。
根據印度2022年個人資料資訊保護法案草案,任何未滿18歲的人都被歸類為「兒童」。該法案中同時限制專門向兒童發送的廣告,並且監管任何追蹤兒童行為的情況。目前國際隱私法(例如:歐盟通用資料保護條例 (GDPR)、加州消費者隱私法(CCPA)等)的兒童定義多在13至17歲之間。但考慮到兒童個人資訊的敏感性和潛在危害,印度政府採取了較保守嚴謹的路線。政府也已被授權制定有關處理兒童個人資訊的細則,特别是確保資料使用人不可使用可能對兒童造成傷害的個人資料。
根據社會發展狀況,兒童若每次在網路平台上進行活動時都需經過父母或是監護人同意不甚妥適,且根據前述說明,兒童界定年齡為18歲以下,若依照統一年齡範圍進行控管,實際執行上面臨窒礙難行之處。故修法者在對於該法案修改意見中,引用了其他國家隱私法中的不同年齡分類限制,以求降低年齡門檻限制,或是根據用戶的年齡制定差異化的授權要求。
另一個產生的爭議為,該如何驗證父母或是監護人的同意表示。法條中目前無明確規範何為「有效之同意表示」,現行各平台使用不同的方法獲得父母或是監護人的同意,目前有兩種方式,包括點選「同意」按鈕,或是在用戶條款中表示若使用服務等同於監護人同意。
關於兒童年齡之界定,是否將參考其他國家規範進行差異化設定,目前暫無明確定論(包括如何調整、年齡級距設定),根據資訊使用的普及,兒童年齡的界定可以預期的將會進行調整;關於如何有效驗證父母或是監護人的同意表示,目前在技術上大多服務商都偏好透過會員註冊時的同意按鈕或是用戶條款中列明若使用服務即代表同意這兩種方式認定,在這兩種方式之後,系統是否有設定驗證機制,以及需要何種驗證方式才可以認定父母或是監護人的同意表示是符合法律效力的,都需後續再進行研擬。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳玉婷
副法律研究員 編譯整理
Privacy Week Series: Status of children's data under the Indian Privacy Regime, https://www.lexology.com/library/detail.aspx?g=8f274e5c-b564-41f9-8781-944f92731cf3 (Last visited Mar. 01, 2023)
Digital Personal Data Protection Bill: What rights does it give individuals, https://economictimes.indiatimes.com/wealth/legal/will/digital-personal-data-protection-bill-what-rights-does-it-give-individuals/articleshow/96535688.cms (Last visited Mar. 01, 2023)
The Digital Personal Data Protection Bill, 2022 – MeitY, https://pib.gov.in/PressReleasePage.aspx?PRID=1881402 (Last visited Mar. 01, 2023)
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。 法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。 然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
為加強兒少網路安全,英國通訊管理局發布「兒少風險評估指導原則」以及「兒少保護行為準則」為加強兒少網路安全,英國通訊局(Office of Communication)於2025年4月24日發布「兒少風險評估指導原則」(Children's Risk Assessment Guidance)以及「兒少保護行為準則」(Protection of Children Codes of Practice),以供受規範之網路服務提供者遵循。 「兒少風險評估指導原則」要求所有受《網路安全法》(Online Safety Act 2023)規範的「使用者對使用者服務」(user-to-user service)和「搜尋服務」(search service)的服務提供者,在完成兒少存取評估(children’s access assessments)確認服務有可能被兒少存取後,必須在三個月內即2025年7月24日前,完成兒少風險評估(children’s risk assessments)。 至於「兒少保護行為準則」一經國會審議通過,則自2025年7月25日起生效,服務提供者必須採取「兒少保護行為準則」規定的安全措施(safety measures),或實施其他有效手段,以減少上開風險發生的可能性。 「兒少保護行為準則」列出的安全措施包括: 一、更安全的資訊發送: 有運作推薦系統(recommender system)且存在中度或高度有害內容風險的服務提供者,應調整其演算法,確保不向兒少推播有害內容。 二、有效的年齡驗證: 風險最高的服務提供者必須使用高度有效的年齡驗證,以識別使用者是否為兒少。 三、有效的內容審查: 服務提供者應建立內容審查機制,一旦發現有害兒少的內容時,能迅速採取行動。 四、更多的選擇與支援: 服務提供者應賦予兒少更多的控制權,包括允許對內容或貼文表達不喜歡、接受或拒絕群組聊天邀請、封鎖用戶、將用戶設為靜音、以及關閉自己貼文的留言功能等。 五、簡便的舉報與申訴: 服務提供者應提供透明的舉報與申訴管道,且確保提出舉報和申訴的管道和方式對兒少而言相對輕鬆且簡單。 六、強化的治理: 服務提供者應設置負責兒童安全的專責人員,高層團隊並應每年審查兒童風險管理情況。 如服務提供者未能履行上開義務,英國通訊局可處以罰款。必要時,甚至可向法院聲請禁制令封鎖該平台。 處在網路無限擴張的時代,保障兒少網路安全絕對是重要且不容忽視的課題。英國通訊管理局發布的實施作法,非常值得我國觀察學習與參考。
英國因應自動駕駛車輛上路,提出新保險責任制度英國政府為達成於2021年使完全無須人為操控的自動駕駛車輛可在英國公路上行駛之目標,提出新保險責任制度。透過自動駕駛和電動車輛法案的提出,將為自動駕駛車輛可合法上路行駛鋪路,從而帶動自動駕駛車輛產業發展。整體而言,一旦此立法正式通過,除了代表英國政府正式樹立自動駕駛車輛的保險框架里程碑外,也象徵英國朝向2021年的目標又更邁進一步。