歐盟法院判決釐清GDPR民事賠償不受損害最低程度限制
歐盟法院(Court of Justice of the European Union, CJEU)於2023年12月14日對Gemeinde Ummendorf(C‑456/22)案作出判決。歐盟法院試圖釐清《歐盟一般個人資料保護規則》(General Data Protection Regulation, GDPR)第82條的民事求償規範中,資料主體受到非財產上的損害要到何種程度才可獲得賠償。
本案源自於兩位自然人原告與德國的烏門多夫市政府(Municipality of Ummendorf)之間的紛爭。2020年,烏門多夫市政府未經兩位原告同意情況下,在網路上公布市議會議程與行政法院判決,這些資訊內容均多次提及兩位原告的姓名與地址。兩位原告認為市政府故意違反GDPR,因此依據GDPR第82條請求市政府賠償,並進一步主張該條意義下的非財產損害,不需要任何損害賠償門檻。然而,市政府則持相反意見。
長久以來,德國法院傾向認為,GDPR的非財產上損害需要超過某個「最低損害門檻」才可獲得賠償。然而,承審法院決定暫停訴訟程序,並將是否應有「最低損害門檻」以及其基準為何的問題,提交給歐盟法院進行先訴裁定。
歐盟法院考慮到,GDPR的宗旨在於確保在歐盟境內處理個人資料時對自然人提供一致和高水準的保護,如要求損害必須達到一定的嚴重性閾值或門檻才可賠償,恐因為成員國法院認定的基準不同,進而破壞各國實踐GDPR 的一致性。因此,歐盟法院最後澄清,GDPR的民事賠償不需要「最低損害門檻」,只要資料主體能證明受有損害,不論這個損害有多輕微,都應獲得賠償。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
楊政一
專案經理 編譯整理
Case C‑456/22, VX, AT, v. Gemeinde Ummendorf, https://curia.europa.eu/juris/document/document.jsf;jsessionid=35836399C145F7721BB485C7547149C2?text=&docid=280630&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=7527549 (last visited Jan. 25, 2024)
楊政一,〈歐盟個資保護委員會公布GDPR裁罰金額計算指引〉,2023年8月,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=0&d=9024 (最後瀏覽日:2024/01/25)。
美國聯邦巡迴上訴法院在2009年底於The Forest Group Inc. v. Bon Tool Co. 一案中將美國專利法35 U.S.C. § 292中關於不實專利標示(false patent marking)的懲罰金計算方式認定為罰金之計算是以每一個標示錯誤專利資訊的產品為基礎。美國專利法35 U.S.C. § 292中要求法院對專利資訊標示不實或錯誤之產品或包裝處以最高美金$500的罰金。在此案之前,許多地方法院將35 U.S.C. § 292解釋為罰金之計算是以每一次被告”決定”將產品標示不實專利資訊為基礎 (single penalty for each “decision” to falsely mark products),不論此決定是包含一個或一整批產品。在本案中,聯邦巡迴上訴法院同意地方法院的看法認定被告Forest Group意圖藉不實專利標示企圖欺騙大眾但撤銷地方法院將罰金定為$500之判定,而將目前專利法35 U.S.C. § 292 解釋為罰金是以”每一個”標示錯誤專利資訊的產品為基礎 (penalty for false marking on a per article basis)。 為了防範日後因此案罰金計算方式而造成所謂”標示流氓”(marking trolls) 之興起,聯邦法院於其判決中特別說明其解釋並非要求法院必須將每一標示錯誤專利資訊的產品處以$500美元的罰金。因法條中之罰金是以美金$500為上限,法院有權利權衡各案例背景決定罰款金額。例如,針對大量製造但價錢低廉的產品, 法院可對每一個產品處以極少的罰金。 The Forest Group 一案是美國聯邦巡迴上訴法院第一次針對不實專利標示之罰金提出解釋,直得關注其後續引發反應。廠商也應重新檢視其產品專利標示是否有不實或錯誤之狀況以避免被控標示不實專利資訊而被處以罰款。
南韓預告修訂《個人資料保護法施行令》草案,擬擴大本人資料傳輸請求權適用範圍2025年6月23日,韓國個人資料保護委員會(개인정보보호위원회,下簡稱個資會)宣布修訂《個人資料保護法施行令》(개인정보 보호법 시행령)草案,擴大「本人傳輸請求權」(본인전송요구권)制度的適用範圍至特定大型個人資料處理者(개인정보처리자)。 南韓政府於2024年3月開始實施MyData(마이데이터)制度,賦予其國民「本人傳輸請求權」。所謂「本人傳輸請求權」,係指當事人向資料持有者請求傳輸個人資料給自己或特定第三方的權利,而個人資料則係指包含所有能夠識別本人身分或與本人有直接關聯的資訊。 本人傳輸請求權的立法目的,在於解決當事人將資料授權予特定企業或機關使用後,無法追蹤個人資料動向的問題。當事人可透過行使本人資料傳輸請求權,隨時確認資料如何被使用、有無被再次轉交他方,以及自由決定是否收回或轉移持有者擁有的個人資料。有助於解決個人資料利用權限一經授權後便難以掌控的問題,並提高國民對於個人資料的自主控制能力。 本次修法前,本人資料請求權的適用範圍僅限於醫療與電信產業,個人資料保護法施行令預告修訂草案進一步將符合以下標準的個人資料處理者納入本人傳輸請求權適用範圍: 1. 年營業額達1500億韓元以上的企業; 2. 持有個人資料人數達100萬人以上的企業或機構; 3. 敏感資料、高識別度資料達5萬人以上的企業或機構; 4. 2萬人以上大學或公部門機關。 韓國個資會此次提出的預告修訂草案,建立了一套可跨領域適用的個人資料管理政策架構,為國民資料自主性與控制權提供更完整的保護,值得作為我國個人資料治理制度之參考。
OASIS網路標準服務遭抵制開放原始碼及自由軟體的大老等發起一封抵制網路服務標準機構OASIS新專利政策的活動,並簽署了一份電子郵件,呼籲社群不要採用由OASIS標準組織所通過的規格。OASIS本月修改了它的專利政策,宣稱為開放原始碼軟體的開發提供了更好的選擇。 這份電子郵件中表示,不要採用OASIS的不開放標準。要求OASIS修改它的政策。如果你是OASIS成員,對於這種窒礙難行,不能用在開放原始碼及自由軟體上的標準,不要參與其工作小組。支持者亦表示,希望類似OASIS這樣的組織能訂出明確政策,好讓所有想採用業界標準的組織可以預先知道未來是否會被收費。 然而,OASIS為自己的政策修改提出辯護,也對這個活動加以反擊。其表示,OASIS這個政策和W3C的政策一樣,都要求必須免權利金才行。且其政策規定,業界標準可以加入專利技術,但必須對外公佈此事才行。而且幾乎在所有的案例裡,這倒頭來都會變成免專利金。 OASIS所修改的政策為標準工作提出了三種模式:RAND(reasonable and nondiscriminatory licensing,合理且統一的授權);RAND條件下的RF(免權利金);或者是有條件下的RF。 對於OASIS的杯葛,反應出產業在IP權利上的利益,以及開放原始碼和自由軟體支持者間的爭執。OASIS的新政策預計要在4月15日生效,原本是要展示對開放原始碼擁護者的妥協。但是,這份電子郵件簽署活動,顯示出新政策依然難已被接受。
敏感科技保護「敏感科技」的普遍定義,係指若流出境外,將損害特定國家之安全或其整體經濟競爭優勢,具關鍵性或敏感性的高科技研發成果或資料,在部分法制政策與公眾論述中,亦被稱為關鍵技術或核心科技等。基此,保護敏感科技、避免相關資訊洩漏於國外的制度性目的,在於藉由維持關鍵技術帶來的科技優勢,保護持有該項科技之國家的國家安全與整體經濟競爭力。 各國立法例針對敏感科技建立的技術保護制度框架,多採分散型立法的模式,亦即,保護敏感科技不致外流的管制規範,分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型,分別為國家機密保護,貨物(技術)之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制,而我國法亦是採取這種立法架構。目前世界主要先進國家當中,有針對敏感科技保護議題設立專法者,則屬韓國的「防止產業技術外流及產業技術保護法」,由產業技術保護委員會作為主管機關,依法指定「國家核心科技」,但為避免管制措施造成自由市場經濟的過度限制,故該法規範指定應在必要的最小限度內為之。