印度隱私權制度下兒童資料安全的保護現狀
印度電子資訊產業技術部(MeitY)2022年11月在網站上公布了個人資料資訊保護法草案(Digital Personal Data Protection Bill,以下簡稱該法案),並於2023年7月提交議會審查。目前印度民法不承認未成年人(未滿18歲者)具有自主簽訂契約的能力。因此,取得的兒童同意不具有法律效力,必須徵得父母或是監護人的同意才能合法蒐集兒童個人資料。
根據印度2022年個人資料資訊保護法案草案,任何未滿18歲的人都被歸類為「兒童」。該法案中同時限制專門向兒童發送的廣告,並且監管任何追蹤兒童行為的情況。目前國際隱私法(例如:歐盟通用資料保護條例 (GDPR)、加州消費者隱私法(CCPA)等)的兒童定義多在13至17歲之間。但考慮到兒童個人資訊的敏感性和潛在危害,印度政府採取了較保守嚴謹的路線。政府也已被授權制定有關處理兒童個人資訊的細則,特别是確保資料使用人不可使用可能對兒童造成傷害的個人資料。
根據社會發展狀況,兒童若每次在網路平台上進行活動時都需經過父母或是監護人同意不甚妥適,且根據前述說明,兒童界定年齡為18歲以下,若依照統一年齡範圍進行控管,實際執行上面臨窒礙難行之處。故修法者在對於該法案修改意見中,引用了其他國家隱私法中的不同年齡分類限制,以求降低年齡門檻限制,或是根據用戶的年齡制定差異化的授權要求。
另一個產生的爭議為,該如何驗證父母或是監護人的同意表示。法條中目前無明確規範何為「有效之同意表示」,現行各平台使用不同的方法獲得父母或是監護人的同意,目前有兩種方式,包括點選「同意」按鈕,或是在用戶條款中表示若使用服務等同於監護人同意。
關於兒童年齡之界定,是否將參考其他國家規範進行差異化設定,目前暫無明確定論(包括如何調整、年齡級距設定),根據資訊使用的普及,兒童年齡的界定可以預期的將會進行調整;關於如何有效驗證父母或是監護人的同意表示,目前在技術上大多服務商都偏好透過會員註冊時的同意按鈕或是用戶條款中列明若使用服務即代表同意這兩種方式認定,在這兩種方式之後,系統是否有設定驗證機制,以及需要何種驗證方式才可以認定父母或是監護人的同意表示是符合法律效力的,都需後續再進行研擬。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
陳玉婷
副法律研究員 編譯整理
Privacy Week Series: Status of children's data under the Indian Privacy Regime, https://www.lexology.com/library/detail.aspx?g=8f274e5c-b564-41f9-8781-944f92731cf3 (Last visited Mar. 01, 2023)
Digital Personal Data Protection Bill: What rights does it give individuals, https://economictimes.indiatimes.com/wealth/legal/will/digital-personal-data-protection-bill-what-rights-does-it-give-individuals/articleshow/96535688.cms (Last visited Mar. 01, 2023)
The Digital Personal Data Protection Bill, 2022 – MeitY, https://pib.gov.in/PressReleasePage.aspx?PRID=1881402 (Last visited Mar. 01, 2023)
在2014年4月時,美國裁決法官James Francis就聯邦檢察官的申請,依據1986年的「電子通訊隱私法」(Electronic Communications Privacy Act, “ECPA”)第2703條第a項之規定,針對微軟客戶的e-mail對微軟公司發出了搜索令。然而,該搜索令所要求的e-mail資料儲存在微軟位於愛爾蘭都柏林的資料中心,因此微軟以美國政府對於愛爾蘭並無司法管轄權為由,拒絕配合執行該搜索令,並且對發出搜索令的法官提出異議。但是Francis法官認為這並不是「域外搜索令」(extraterritorial search warrants),並指出在網路互聯的世界中,重點是對資料的控制,而不是「電子財產」的所在位置,於是拒絕了微軟的異議。 於2014年7月,微軟向紐約曼哈頓地方法院再度針對該搜索令提出異議,主張如果美國法院依據「電子通訊隱私法」要求資訊服務提供者提供位於愛爾蘭主機的客戶電子郵件資料,應透過美國與愛爾蘭政府的「多邊司法互助協定(Mutual Legal Assistance Treaty,“MLTA”)」來進行。但地方法院做出以下的裁決:1.在網路世界,電子財產之地理位置不是絕對的;2. 「電子通訊隱私法」第2703條a項所稱之搜索令並不是傳統上的搜索令,而是「搜索令」與「傳票」性質混合的命令,功能是為了讓網路服務業者(Internet Service Provider, “ISP”)提供所擁有的資料給法院;3.國會應無意透過繁瑣的「司法互助協定」來取得位於海外的電子證據;據此,地方法院維持Francis裁決法官的裁決,並且判定微軟藐視法庭。 微軟隨後在2014年12月,以地方法院使用了錯誤的法律理由、沒有根據的推斷立法目的、疏漏重要判決先例的援引、逾越國會立法的優先權並且誤解了「網路流通」的概念等理由,向美國第二巡迴法院提出上訴。 目前蘋果、AT&T、思科、Verizon以及其他科技公司都支持微軟的上訴,認為如果認可美國政府對於本國公司在境外所設置的資訊主機有司法管轄權,將會嚴重衝擊美國以外國家的資料保護法。此案目前仍在法院審理中。
美國生技學名藥法案不利廉價藥品供應近來國際藥商逐漸將研發眼光放在市面上既存的蛋白質生技學名藥(follow-on biologics, Biosimilar, Biogenerics)上,顧名思義,生技學名藥乃是仿製市面上的生技藥品,而在臨床效用上與所仿製的藥品完全一樣或只是做些微調整改良。 目前生技學名藥並無法適用Hatch-Waxman Act下之「簡易新藥申請」(Abbreviated New Drug Application,ANDA)程序,原因在於生技製藥通常為複雜的大分子,難以確認其與上市產品100%相同,故美國FDA採取另立新法管理的態度,但迄今仍未通過任何法律。在歐盟,由歐洲藥品管理局(European Medicines Agency)所發布的生技學名藥核准準則只要求藥商提出其分子具有與上市藥品相同之物理特性及毒性安全數據即可上市,故現行已有少部分生技學名藥在歐洲上市。 因而藥商在無簡易上市的程序下,只能循完整的臨床有效性試驗程序。事實上這與現行美國擬對生技學名藥上市管理所提出的法律草案內容一致,目前提出於國會山莊的三個法律草案版本(Sen. Ted Kennedy’s S.1695, Sen. Judd Gregg’s S.1505 & Rep. Anna Eshoo’s H.R.5629)皆強制大部分生技學名藥上市前必須經過完整的臨床有效性試驗。 相反的,傳統學名藥在自1984年的Hatch-Waxman Act以來,並無需進行最昂貴的第二及第三階段之臨床試驗,也因此對於病患、消費者等而言,生技學名藥價格並不友善,通常只比其所仿製的上市藥品便宜一至二成,在有市場利基的功用調整下則有可能更貴;這比起競爭激烈的學名藥價格動輒較其原始藥品便宜五成以上相去甚多。並且所費不貲的臨床實驗亦將使生技學名藥只有擁有龐大資源的少數大藥廠能取得入場門票,因此專家預估生技學名藥的立法並不會像Hatch-Waxman Act一樣,進而形成生技學名藥業(generic biotech industry),而是形成所謂的生技仿製業(me-too industry)。
歐洲議會呼籲尊重網路人權歐洲議會於2009年3月26日,以大多數支持Lambrinidis報告中關於網路上個人自由保護之投票結果,反對法國政府和著作權行業提出的修正案。歐洲議會的態度是「保障所有公民接近使用網路就如同保障所有公民接受教育」,而且「政府或私人組織不能以處罰之方式拒給這種接近使用的權利」。歐洲議會議員要求會員國政府需體認到網路是一個有效增加公民權利義務之特殊機會,就這方面而言,使用網路及網路內容是一個關鍵要素。 這份報告被歐洲議會議員所採用,得以認識到提供安全措施來保護網路使用者(特別是孩童)之必要性,由於使用者可能會因使用網路,而暴露在成為罪犯或恐怖份子的犯罪工具的風險中。報告中提出方案對抗網路犯罪,但同時也要求在安全及網路使用者基本權利保障中尋求平衡點。 此報告否定法國所提之修正案,歐洲議會又再度否決由法國努力推動「網路侵權三振法案」(three strikes file-sharing law)。歐洲議會認為對於所有網路使用者的監測活動及對於侵權者之處罰有違比例原則。歐洲議會亦公開支持「網路權利憲章」(Internet Bill of Rights)以及推動「隱私權設計」(privacy by design)宗旨。
數位歐洲計畫(Digital Europe Programme)數位歐洲計畫(Digital Europe Programme)為歐盟執委會2018年6月提出的策略規畫,已於2019年4月17日由歐洲議會通過;預計2021至2027年間,歐盟將投入92億歐元用於發展高效能運算、人工智慧、網路安全和數位技能培育等領域。數位歐洲計畫目標是確保所有歐洲民眾皆能擁有應對數位挑戰所需的技能、基礎建設及相應的數位監管框架,屬於歐盟發展數位單一市場政策的一部分,預估將創造400萬個就業機會、推動4150億歐元的經濟成長,提升歐盟整體國際競爭力。歐盟為關鍵數位技術提供92億歐元科技預算分配: (1)27億歐元用於高效能運算(預計在2022至2023年建立高效能運算及數據處理能力,2026至2027年將技術導入高階設施設備)。 (2)25億歐元投入人工智慧(支持企業及公部門使用AI、建立安全便利且能儲存大量數據的運算系統、鼓勵會員國相互合作進行AI測試)。 (3)20億歐元用於網路安全技術(採購先進網路安全設備及數位基礎設施、拓展網路安全知識與技能、優化歐盟整體網路安全系統)。 (4)7億歐元投入數位技能培育(加強中小企業短期數位培訓課程、IT專業人員長期訓練、青年企業家培訓)。 (5)13億歐元用於推廣使用數位技術(鼓勵中小企業運用先進數位技術、建構數位創新中心、關注新興技術發展)。