美國聯邦貿易委員會(FTC)提議加強兒童隱私規則,以進一步限制企業將兒童的資訊用來營利
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2023年12月對《兒童線上隱私保護規則》(Children's Online Privacy Protection Rule, COPPA Rule)提出修法草案,並於2024年1月11日公告60日供公眾意見徵詢。
FTC依據兒童線上隱私保護法(Children's Online Privacy Protection Act, COPPA)第6502節授權,訂定COPPA Rule,並於2000年通過生效,要求網站或提供線上服務的業者在蒐集、使用或揭露13歲以下兒童的個人資訊之前必須通知其父母,並獲得其同意。本次提議除了限制兒童個人資訊的蒐集,亦限制業者保留此些資訊的期間,並要求他們妥善保存資料,相關規定如下:
(1)置入固定式廣告時需經認證:COPPA所涵蓋的網站和線上服務業者現在需要獲得兒童父母的同意並取得家長的授權才能向第三方(包括廣告商)揭露資訊,除非揭露資訊是線上服務所不可或缺之部分。且因此獲悉的兒童永久身分識別碼(persistent identifier)也僅止於網站內部利用而已,業者不能將其洩漏予廣告商以連結至特定個人來做使用。
(2)禁止以蒐集個資作為兒童參與條件:在蒐集兒童參與遊戲、提供獎勵或其他活動的個資時,必須在合理必要的範圍內,且不能用個資的蒐集作為兒童參與「活動」的條件,且對業者發送推播通知亦有限制,不得以鼓勵上網的方式,來蒐集兒童的個資。
(3)將科技運用於教育之隱私保護因應:FTC提議將目前教育運用科技之相關指南整理成規則,擬訂的規則將允許學校和學區授權教育軟硬體的供應商將科技運用於蒐集、使用和揭露學生的個資,但僅限使用於學校授權之目的,不得用於任何商業用途。
(4)加強對安全港計畫的說明義務:COPPA原先有一項約款,內容是必須建立安全港計畫(Safe Harbor Program),允許行業團體或其他機構提交自我監督指南以供委員會核准,以執行委員會最終定案的防護措施,此次擬議的規則將提高安全港計畫的透明度和說明義務,包括要求每個計畫公開揭露其成員名單並向委員會報告附加資訊。
(5)其它如強化資訊安全的要求以及資料留存的限制:業者對於蒐集而來的資訊不能用於次要目的,且不能無限期的留存。
FTC此次對COPPA Rule進行修改,對兒童個人資訊的使用和揭露施加新的限制,除了將兒童隱私保護的責任從孩童父母轉移到供應商身上,更重要的是在確保數位服務對兒童來說是安全的,且亦可提升兒童使用數位服務的隱私保障。
- FTC Proposes Strengthening Children’s Privacy Rule to Further Limit Companies’ Ability to Monetize Children’s Data, Federal Trade Commission
- FTC Proposes Further Limits to Collection of Children’s Data (1), Bloomberg Law
- FTC proposes strengthening children’s online privacy rules to address tracking, push notifications, AP news
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
梁家祥
副法律研究員 編譯整理
FTC Proposes Strengthening Children’s Privacy Rule to Further Limit Companies’ Ability to Monetize Children’s Data, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/12/ftc-proposes-strengthening-childrens-privacy-rule-further-limit-companies-ability-monetize-childrens (last visited Feb.19, 2024).
FTC Proposes Further Limits to Collection of Children’s Data (1), Bloomberg Law, https://news.bloomberglaw.com/privacy-and-data-security/ftc-proposes-further-limits-to-collection-of-childrens-data (last visited Feb.19, 2024).
FTC proposes strengthening children’s online privacy rules to address tracking, push notifications, AP news, https://apnews.com/article/ftc-children-social-media-games-coppa-352ba63293832ee930f0c137aac735de (last visited Feb.19, 2024).
聯邦通訊委員會(Federal Communication Commission, FCC)於2016年11月18日發布一項標題為Robotext Consumer Protection的執法諮詢文件。該文件就自動發送簡訊(Autodialed text messages,又稱robotexts)於電話消費者保護法(Telephone Consumer Protection Act of 1991, TCPA )內的適用予以釐清。 在該執法諮詢文件內,解釋TCPA法條中對於自動撥號系統定義為任何可以儲存或是產出號碼並自動撥打的設備。該法對於自動撥號系統之限制,包含通話(call)、預錄語音(prerecorded calls)及簡訊(texts),除非已取得接收方的明示同意(prior express consent),或符合下列狀況之一,方得以自動撥號系統為之: (1) 基於緊急狀況, (2) 在依循消費者隱私保護的情況下,對終端使用者為免費且獲得FCC的豁免, (3) 單純為回收對聯邦所負擔的債務、或其所保證的債務。 值得注意的是,聯邦通訊委員會針對當下網路科技發展出的訊息傳送模式做出解釋,簡訊apps、以及任何符合TCPA自動撥號定義的「網路至電話之簡訊傳送」(Internet-to-phone text messaging)等兩種情況亦納入TCPA的適用。因此,發送方主張對方已為事前同意者,應負擔舉證責任,並使消費者透過合理方式隨時取消其同意;於其主張不想再收到任何自動發送簡訊後,該發送方應立即發送一封簡訊以確認接收者的「選擇退出」要求(opt-out request)。 再者,對於已移轉的門號進行自動簡訊之發送,不論發送方是否有認知該門號換人持有,在未經該門號持有人同意的情況下,發送方至多只能對該號碼自動發送一封簡訊;如之後再度自動發送簡訊,即判定違反TCPA規範。 FCC此份文件雖從保護消費者的立場出發,但所設條件明顯苛刻,因此引發諸多爭議。此外引人注意的是,此文件發布前的一個月,ACA International v. FCC一案才於10月19日結束言詞答辯,該案爭點主要為FCC是否不當擴張適用TCPA,此案後續可用以追蹤該案聯邦法院是否肯認FCC對於TCPA的適用觀點。
美國Farmers Insurance Group在加州以竊取營業秘密為由控告前員工以及Automobile Club of Michigan2017年10月,美國知名保險公司Farmers Insurance Group(下稱Farmers)在加州法院提訴,控告前員工Venkatesh Kamath(下稱Kamath)、前資訊長Shohreh Abedi(下稱Abedi)和競爭對手American Automobile Association(下稱AAA協會)旗下的Automobile Club of Michigan(下稱Auto Club)竊取營業秘密。 Farmers聲稱,於2015年起使用Guidewire Software(下稱Guidewire),以更新其理賠處理和保險服務系統。Kamath因Guidewire業務,接觸到Farmers高度敏感與機密資訊。Abedi前為Kamath上司,曾監督Guidewire計畫初期階段。之後Abedi至Auto Club任職,協助Auto Club轉換使用Guidewire,並挖角包括Kamath在內許多Farmers員工。Kamath離職前,從Farmers電腦中拷貝超過6400份檔案,其中包括與Guidewire計畫及Famers核心業務相關的營業秘密資訊。 Farmers控訴Kamath、Abedi及Auto Club違反加州營業秘密法(California Trade Secret Act)、從事不公平競爭、違反忠實義務及其他事由,除訴請賠償外,也請求法院禁止被告使用其營業秘密。 本案非Farmers與AAA協會首次因營業秘密事宜而對訟。2010年間,Farmers曾控告AAA協會旗下Auto Club Group竊取其投保客戶機密資訊,惟該案當時經法院以Farmers未能證明有何損失或損害為由,駁回其訴。Farmers公司於2017年10月對Auto Club提起的本件訴訟,法院實務的發展為何,值得後續觀察。
德國總理梅克爾敦促歐盟立法允許「資訊追蹤(data tracking)」,以有效打擊恐怖主義2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效,該指令允許警察機關使用私人通聯記錄,但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止,起因於不合乎比例原則及沒有充分的保護措施,該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄,不過在歐盟法院廢止指令之前,德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。 惟在2015年1月,伊斯蘭激進主義份子的恐怖攻擊事件,共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說,雖因美國的史諾登事件,揭露美國政府大量監聽私人通訊和監視網路流量的行動,而引起了德國人對隱私權保護的關注,但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪,但應該由法律規範資料保留的期間限制,她敦促各界向歐盟委員會施加壓力,重新訂定資料保留指令,使各歐盟成員國能修正國內法律。 歐盟委員會正在評估此法制議題,並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話,決定是否有需要訂定新指令;但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法,認為這是過於倉促的行動,而且除了資訊記錄留存外,德國政府也儲存所有媒體資料並限制媒體自由,他認為這並不合適。 目前英國國內保守黨和自由黨現正為新修訂的通訊資料法,為人民隱私權的保護範圍爭論不休,而美國由於近年受到不少駭客攻擊,故美國總統歐巴馬採取與梅克爾相似的立場,希望能擴張執法機關的權力,公開提倡強化美國網路安全相關法規。
英國金融行為監督總署公布《加密資產指引》諮詢文件英國金融行為監督總署(Financial Conduct Authority, FCA)與英國財政部、英格蘭銀行於2018年3月共同組成「加密資產專案小組」(Cryptoasset Taskforce),為英國政府「金融科技產業戰略」(Fintech Sector Strategy)之一環。2019年1月23日,FCA公布《加密資產指引》(Guidance on Cryptoassets)諮詢文件,除在配合加密資產專案小組之調查、研究外,亦在於落實FCA作為金融監理主管機關,盤點及釐清法規適用之職責,以妥適因應金融科技發展。公眾意見徵集期間至2019年5月4日,FCA並預計在同年夏季提出最終版本的報告。 依據《加密資產指引》,FCA臚列了四項監理代幣(token)可能的法源依據,包含: (1)受監管活動指令(Regulated Activities Order)下的「特定投資項目」。 (2)歐盟金融工具市場指令II(MiFID II)下的「金融工具」。 (3)電子貨幣條例(E-Money Regulations)下之「電子貨幣」。 (4)支付服務條例(Payment Services Regulations)。 由於加密資產市場與分散式記帳技術發展迅速,參與者迫切需求更清晰之監理規範,包含交易匯兌、主管機關等,避免因誤觸受管制之活動(regulated activities)而遭受裁罰。其次,FCA亦希望能強化消費者保護,依照加密資產商品類型,讓消費者知道可以尋求何種法律上之保障。