英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局
英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。
下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明:
一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。
二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。
三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。
四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。
就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
- Data Protection and Digital Information Bill, UK Parliament
- The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament
- Data Protection and Digital Information (No. 2) Bill., UK Parliament
- British Businesses to Save Billions Under New UK Version of GDPR., Gov UK
- DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK
- Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO
- Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024)
- Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蔡芷茵
副法律研究員 編譯整理
Data Protection and Digital Information Bill, UK Parliament, https://bills.parliament.uk/bills/3430 (last visited April 11, 2024).
The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament, https://commonslibrary.parliament.uk/research-briefings/cbp-9746/ (last visited April 12, 2024).
Data Protection and Digital Information (No. 2) Bill., UK Parliament, https://hansard.parliament.uk/commons/2023-03-08/debates/23030819000013/DataProtectionAndDigitalInformation(No2)Bill (last visited April 12, 2024).
British Businesses to Save Billions Under New UK Version of GDPR., Gov UK, https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr (last visited April 22, 2024).
DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK, https://www.disabilityrightsuk.org/news/dr-uk-says-scrap-dwp-plans-use-ai-scan-benefit-claimants-bank-accounts (last visited April 22, 2024).
Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO, https://ico.org.uk/about-the-ico/information-commissioner-s-response-to-the-data-protection-and-digital-information-bill/information-commissioner-s-view-on-the-dpdi-bill/#footnote-one (last visited April 19, 2024).
Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024), https://www.forbes.com/sites/emmawoollacott/2024/03/13/meps-say-uks-dpdi-bill-could-jeopardize-uk-eu-data-transfers/?sh=b13f96c72c6c (last visited April 22, 2024).
Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK, https://www.techuk.org/resource/the-data-protection-and-digital-information-no-2-bill-unlocking-the-potential-of-data-driven-growth-while-maintaining-high-privacy-standards.html (last visited April 19, 2024).
法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年9月18日作成裁罰決定,認定巴黎百貨公司SAMARITAINE SAS(La Samaritaine)(莎瑪麗丹百貨公司,下稱該公司)於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機,該設備具備錄音功能且未適當評估風險與內部控制紀錄,並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》(General Data Protection Regulation, GDPR)規定,最終遭裁處10萬歐元(約新台幣355萬元)的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加,遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機,但員工並未事前知悉。然而,攝影機於裝設後數週即被員工發現,並在2023年9月被拆除而停止運作。CNIL之所以介入,係因2023年11月經媒體報導及後續申訴事件引發關注,進而啟動稽查程序。以下為CNIL認定本案的主要違規事項: 1.違反公平、透明與可歸責性(GDPR Art. 5(1)(a)、5(2)):隱藏式攝影機設計使員工難以察覺且未予以告知;該公司未完成事前分析或影響評估、未妥善文件化紀錄,因此難認有以公平且透明方式處理個資。 2.違反資料最小化(GDPR Art.5(1)(c)):攝影機具備「收音」功能,導致員工私領域對話等資料被蒐集,與所稱之防竊等特定目的未有相符,屬過度蒐集行為。 3.未建立個資侵害通報與紀錄(GDPR Art. 33(1)、33(5)):員工拆除設備時留存載有錄影錄音內容的SD卡,公司在知悉後未於法定時限內通報並建檔紀錄;CNIL指出此類「失去對載體控制」情形並無任何模糊空間,且因其中內含員工影音資料,對自由權具有風險,依法應通報。 4.個人資料保護長(Data Protection Officer, DPO)未及時參與(GDPR Art. 38(1)):DPO直至該攝影機拆除後才被告知,未能於事前提供風險控管與審酌是否符合法規範建議,而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告,雇主即使基於特定目的而採用不易察覺的監視措施,仍須在保護財產和人身安全的目標,與保護員工隱私間取得合理平衡,例如:蒐集期間具有「暫時性」;蒐集範圍最小化,無不必要收音等較小侵害手段;並應讓組織的DPO事前參與把關,完成比例性分析與風險評估,否則可能構成對員工基本權利與自由的重大干預。同時,內部也應建立事故應變流程,避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。
中國大陸通過《中華人民共和國電子商務法》 針對「電子商務平台經營者」制定專節中國大陸於2018年8月31日第13屆全國人大常務委員會表決通過了《中華人民共和國電子商務法》(以下簡稱《電商法》),並將於2019年1月1日實施 。《電商法》首條揭示了「保障電子商務各方主體合法權益、規範電子商務行為、維護市場秩序」之意旨,除以「電子商務經營者」為主要規範對象外,亦涵蓋了法律行為、支付與物流、爭議解決等各個交易層面。 有鑑於電子商務平台對市場的主導作用,《電商法》特別針對「電子商務平台經營者」(以下簡稱「平台」)制定專節,要求其審核平台內經營者之資質資格,並課予其保障智慧財產權及消費者人身、財產安全之義務。分述如下: 為因應電子商務平台上仿冒偽劣品氾濫之窘境,《電商法》規定平台於接收權利人所發送之侵權通知後,須採取刪除、屏蔽、斷開鏈接、終止交易和服務等行動,否則需就損害擴大之部分,與平台內經營者負連帶責任。此外,平台「明知」或「可得而知」平台內經營者已侵害智慧財產權,而未採取必要措施者,亦須與侵權行為人承擔連帶責任。 如商品或服務涉及消費者之生命、健康,則平台負有:(1) 對平台內經營者資質資格之審核義務;以及(2) 對消費者之安全保障義務。如因未履行上開義務而造成消費者損害,需與該平台內經營者承擔「相應的責任」;換言之,平台是否踐履相關義務應依實際個案認定。同時增加行政罰規定,違者由市場監督管理部門責令限期改正,最重並得課處200萬元之罰款 。
英國下議院正在二讀審查商業及貿易部提交之數位市場、競爭和消費者法案英國商業及貿易部(Department for Business and Trade)於2023年4月25日向下議院提交《數位市場、競爭和消費者法案》(Digital Markets, Competition and Consumers Bill,以下稱DMCC法案),該法案提議對既有的企業競爭與消費者權益規範進行調整,以促進數位市場之競爭及創新。DMCC法案正在下議院進行二讀中,法案架構參考澳洲與歐盟相關制度規範,期望能藉政府干預而調解大型網路平台分別與小型媒體、消費者間議價能力失衡及資訊不對稱問題。 DMCC法案將授權英國競爭暨市場管理署(Competition and Markets Authority)及其轄下數位市場部(Digital Markets Unit)監管與確保數位市場之開放性,並強化消費者權益的保護。法案主要分為三部分: 一、更新數位市場制度:數位市場部將依據企業的商業模式、全球或英國營業總額與市場影響力等面向,判斷該企業是否具策略市場地位(Strategic Market Status,以下稱SMS),並為SMS企業設定行為準則,避免其策略或活動影響市場自由。 二、公平競爭:DMCC法案調整《競爭法》(Competition Act 1998)涵蓋範圍,自地域管轄擴張為對英國貿易產生直接、實質與可預見影響的境內、外行為;同時加強競爭暨市場管理署調查反競爭行為與執法權限,包含扣押文件及證據、面談案件任何關係人。 三、強化消費者保護:DMCC法案將替代部分《保護消費者免受不公平交易條例》(Consumer Protection from Unfair Trading Regulations 2008),且針對線上交易提供新的契約規則,賦予競爭暨市場管理署調查侵權行為之權力。 DMCC法案正在下議院審查中,但草案內容已引起各方關注,正式通過前仍可能因社會各方利益團體之遊說、磋商而修改條文內容。
德國福斯公司商標設計者決定提出控訴現年八十六歲的奧地利老人 Nikolai Borg ,決定對德國著名汽車公司 --- 福斯汽車提起訴訟,請求該公司對外正式發表聲明,宣示其才是該公司 VW 商標真正的設計者。該項訴訟費用已經獲得奧地利貿易協會的資助。 Volkswagen 的原意為「國民車」,起源於納粹德國的國民車計畫,是當時納粹政府「由歡愉獲得力量計畫」( the Nazi Kraft durch Freude propaganda scheme )中的一部份,當時政府一方面奴役勞工,但一方面也希望建立一個世界上最完善的社會福利制度,故也希望建造出每個勞工都開得起的汽車。 從 1950 年起 Borg 便為 VW 商標而戰,但從未成功。其非難福斯公司因為不敢面對納粹難堪的過去,因此也不承認對其應負的責任。 Borg 指出,當時納粹時期的德國交通部長 Fritz Todt 委任他設計商標,當時有三個計畫需要設計標誌,不過由於國民車的計畫是一個新的計畫,因此 Todt 希望他可以設計國民車的標誌。由於當時為公部門工作所得之創意產物是不可能申請智慧財產權的,因此 Borg 在設計出該標誌後,並未獲得任何權利,儘管戰後其多次與福斯公司交涉,希望該公司承認其才是真正的商標設計者,但截至目前為止,福斯公司都聲稱該公司的標誌到底是誰設計的,目前已經無法得知。(科法中心 劉憶成編譯)