英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局
英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。
下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明:
一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。
二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。
三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。
四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。
就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
- Data Protection and Digital Information Bill, UK Parliament
- The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament
- Data Protection and Digital Information (No. 2) Bill., UK Parliament
- British Businesses to Save Billions Under New UK Version of GDPR., Gov UK
- DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK
- Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO
- Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024)
- Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蔡芷茵
副法律研究員 編譯整理
Data Protection and Digital Information Bill, UK Parliament, https://bills.parliament.uk/bills/3430 (last visited April 11, 2024).
The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament, https://commonslibrary.parliament.uk/research-briefings/cbp-9746/ (last visited April 12, 2024).
Data Protection and Digital Information (No. 2) Bill., UK Parliament, https://hansard.parliament.uk/commons/2023-03-08/debates/23030819000013/DataProtectionAndDigitalInformation(No2)Bill (last visited April 12, 2024).
British Businesses to Save Billions Under New UK Version of GDPR., Gov UK, https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr (last visited April 22, 2024).
DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK, https://www.disabilityrightsuk.org/news/dr-uk-says-scrap-dwp-plans-use-ai-scan-benefit-claimants-bank-accounts (last visited April 22, 2024).
Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO, https://ico.org.uk/about-the-ico/information-commissioner-s-response-to-the-data-protection-and-digital-information-bill/information-commissioner-s-view-on-the-dpdi-bill/#footnote-one (last visited April 19, 2024).
Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024), https://www.forbes.com/sites/emmawoollacott/2024/03/13/meps-say-uks-dpdi-bill-could-jeopardize-uk-eu-data-transfers/?sh=b13f96c72c6c (last visited April 22, 2024).
Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK, https://www.techuk.org/resource/the-data-protection-and-digital-information-no-2-bill-unlocking-the-potential-of-data-driven-growth-while-maintaining-high-privacy-standards.html (last visited April 19, 2024).
英國內政部(Home Office)於2023年11月30日與全球13家線上平臺與服務提供者(包括Amazon、eBay、Facebook、Google、Instagram、LinkedIn、Match Group、Microsoft、Snapchat、TikTok、X(Twitter)、techUK及YouTube等)簽署自願性《防範線上詐欺憲章》(Online Fraud Charter),促進落實防詐措施。 此協議針對線上平臺與服務提供者之防詐重點要求如下: 1.設置監測及預防體系:線上平臺與服務提供者應建立有效流程,以辨別、標註和移除不當的內容和帳號;記錄違規使用者,以防其再次啟用或註冊新帳號。此外,線上平臺與服務提供者應採行符合英國國家網路安全中心(National Cyber Security Centre)密碼保護指引的身分驗證機制,並鼓勵使用者採用兩階段驗證,幫助使用者辨別真偽。而在電子商務與社群媒體方面,線上平臺與服務提供者應設置賣家驗證措施以防範不肖業者,並為使用者提供高風險交易安全指南與安全支付服務機制及資訊,保障使用者之消費權益。 2.建立檢舉途徑:線上平臺與服務提供者應提供簡捷的檢舉途徑,方便民眾檢舉詐欺行為,並與執法部門合作,以快速通報平臺或服務所發生之可疑詐欺活動。當未知帳號透過私訊聯繫使用者時,線上平臺與服務提供者可提供適當的警告,以提醒使用者可能的詐欺風險。 3.與公部門合作進行防詐宣導:所有線上平臺與服務提供者必須參與英國線上廣告計畫任務小組(Online Advertising Programme’s Taskforce),完備防制詐欺網。並要求有付費服務之線上平臺與服務提供者於其平臺內設置廣告驗證程序,以便過濾並防止詐欺資訊傳播,確保網路廣告真實性。此外,線上平臺與服務提供者須與英國政府、英國金融行為監督總署(Financial Conduct Authority)及英國資訊專員辦公室(Information Commissioner's Office)等公部門展開跨部門協調合作機制,加強防詐情報共享與配合執法取締詐欺。最後,線上平臺與服務提供者必須提供最新詐欺風險資訊以幫助民眾辨別詐欺手法。 該憲章簽署之線上平臺與服務提供者須在六個月內實施上述措施,但因係自願性質,因此其有效性仍有待觀察。
美國參議員建議將提供位置資訊服務之行動裝置與應用軟體服務平台納入規範2009年美國司法部特別報導,美國每年大約有26,000人為受全球定位系統(Global Positioning System, GPS, 一般稱作衛星導航系統)追蹤的受害者,其中也包括手機使用者。2010年4月,爆發Apple iPhone和Google Android 智慧型手機在當事人不知情的情況下,蒐集手機的位置資訊;更甚者,即使在當事人沒有使用定位應用程式時,仍繼續蒐集其位置資訊,而當事人卻無法拒絕蒐集。對此,手機公司反映,其蒐集的位置資訊行為係利用發射台與無線網路點,協助手機使用者更快速的計算與確認其位置,以提供更良善的定位服務。 美國參議員Al Franken 與Richard Blumenthal對於此議題非常關切,Franken參議員指出,1986年所通過的「電子通訊隱私法(Electronic Comunications Privacy Act of 1986)已無法因應現今網際網路普遍使用。其中「自願揭露客戶通訊或記錄」之規定 (18 U.S.C. §2702 Voluntary disclosure of customer communication or records)更是替手機公司、應用程式業者,與提供無線上網的電信業者開了一個漏洞,允許業者在當事人不知情的情況下,進行定位資訊的蒐集,或與第三人分享位置資訊。 參議員Al Franken 與Richard Blumenthal遂於2011年6月15日提出「2011位置隱私保護法案(Location Privacy Protection Act of 2011)」,提議要求提供位置資訊服務功能的行動裝置製造商,與軟體平台,在蒐集當事人位置資訊,以及與第三人分享位置資訊時,必須先行告知當事人,並取得當事人的同意後,才可進行蒐集與分享。目前該法案至6月16日為止已經過二讀,並提交到司法委員會。 不過,「位置隱私保護法案」僅作告知當事人並取得同意低度要求,另一目前也正在審議的 「地理位置隱私與監督法案(Geological Privay and Survillance (GPS) Act)」,更進一步提供執法單位或政府蒐集與使用定位資訊的指引規範。也有提案對於電子通訊隱私法,必須要因應資通訊科技的應用,為相對應的增修。
日本公布「資料與競爭政策檢討會報告書」並探討資料收集利用違反《獨占禁止法》行為近年來,受到物聯網和人工智慧技術高度發展影響,大數據的重要性逐漸提昇。為避免資料不當收集和資料被不當佔據等可能妨礙競爭之行為,以利業者透過資料收集、累積和分析等方式,創造出新的產業價值,日本公平交易委員會於競爭政策研究中心設置「資料與競爭政策檢討會」,自2017年1月至6月間舉辦數次檢討會,並於2017年6月6日公布《資料與競爭政策檢討會報告書》。該書一共5章,內容為第1章檢討背景,第2章回顧資料環境變化與利用現狀,第3章檢討現今競爭政策及《獨占禁止法》,第4章資料收集、利用相關行為,以及第5章企業結合審查等與資料利用相關之事項。 報告書指出,業者不當收集資料和不當佔據資料等行為,均有適用《獨占禁止法》之可能。前者係指具有優勢地位的業者,利用關係要求有業務往來的企業提供資料等行為,如原本只需要性別和年齡資訊,卻額外要求對方提供住所、電話等訊息;後者則係指業者利用不正當方法與顧客聯繫,排除其他競爭者等行為,如排他性交易、拒絕交易、差別待遇等。
歐洲推動人體生物資料庫再利用沙盒非營利組織EIT Health於2020年2月展開公共人體生物資料庫(Public biobank)再利用之「數位沙盒」(Digital Sandbox)計畫的第二次公開徵求。參與的中小企業於提案後,可於2020年7月底前獲得通過與否的通知,並最快於2020年9月開始參與計畫。 EIT Health成立於2015年,是歐洲創新技術研究所(European Institute of Innovation and Technology)下的「知識與創新社群」(knowledge and innovation community)之一,主要資金來自歐盟「展望2020」(Horizon 2020)。有鑑於數位革命創造了大量極具研究價值的醫學生物資料,EIT Health於2019下半年提出公共人體生物資料庫再利用之「數位沙盒」計畫構想,該計劃主要目的在支持中小企業利用該生物資料實施創新服務或開發產品。 而依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第89條規定,如果生物資料庫之利用係基於科學研究或公共利益之必要,可以在符合「適當的技術和組織措施」(Technical And Organisational Measures)之前提下得到豁免(exemptions)。依此條文,EIT Health之「數位沙盒」計畫參與者得不遵守GDPR第15條(資料主體之接近使用權)、第16條(更正權)、第18條(限制處理權)、第19條(關於更正或刪除個人資料或限制處理之通知義務)、第20條(資料可攜性權利)以及第21條(拒絕權)之規定。透過此計畫,有望幫助中小企業獲得公共人體生物資料庫、研究參與者(Sample holder)和登記冊的近用權限。此外,計畫亦提供最高35,000歐元的資金,以幫助中小型企業在開發創新產品時利用資料。