英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局
英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。
下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明:
一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。
二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。
三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。
四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。
就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
- Data Protection and Digital Information Bill, UK Parliament
- The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament
- Data Protection and Digital Information (No. 2) Bill., UK Parliament
- British Businesses to Save Billions Under New UK Version of GDPR., Gov UK
- DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK
- Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO
- Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024)
- Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蔡芷茵
副法律研究員 編譯整理
Data Protection and Digital Information Bill, UK Parliament, https://bills.parliament.uk/bills/3430 (last visited April 11, 2024).
The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament, https://commonslibrary.parliament.uk/research-briefings/cbp-9746/ (last visited April 12, 2024).
Data Protection and Digital Information (No. 2) Bill., UK Parliament, https://hansard.parliament.uk/commons/2023-03-08/debates/23030819000013/DataProtectionAndDigitalInformation(No2)Bill (last visited April 12, 2024).
British Businesses to Save Billions Under New UK Version of GDPR., Gov UK, https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr (last visited April 22, 2024).
DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK, https://www.disabilityrightsuk.org/news/dr-uk-says-scrap-dwp-plans-use-ai-scan-benefit-claimants-bank-accounts (last visited April 22, 2024).
Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO, https://ico.org.uk/about-the-ico/information-commissioner-s-response-to-the-data-protection-and-digital-information-bill/information-commissioner-s-view-on-the-dpdi-bill/#footnote-one (last visited April 19, 2024).
Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024), https://www.forbes.com/sites/emmawoollacott/2024/03/13/meps-say-uks-dpdi-bill-could-jeopardize-uk-eu-data-transfers/?sh=b13f96c72c6c (last visited April 22, 2024).
Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK, https://www.techuk.org/resource/the-data-protection-and-digital-information-no-2-bill-unlocking-the-potential-of-data-driven-growth-while-maintaining-high-privacy-standards.html (last visited April 19, 2024).
英國文化、媒體暨體育部2017年3月8日發布「次世代行動技術:英國的5G策略」,此舉將會加速英國網路基礎建設更新並促進智慧聯網之發展。這份策略書提出了幾個重要方面來採取行動: 建構經濟實例:英國政府計畫建立新的5G試驗場,和企業共同合作發展5G科技。此試驗場預計同時在城市和偏遠地區進行,以了解不同地區環境下建設的效益,且與Ofcom合作了解目前環境與法規障礙。 調適法規:政府會持續檢查相關法規是否需要修正,並與試驗場合作了解現行法規是否適當。 地方區域的治理與能力建構:意識到地方區域於建構基礎建設的重要性,因此英國政府正在諮詢地方政府如何在地方區域進行5G建設,將會將地方政府、政府部門、土地擁有者和企業等集合組成工作小組進行5G策略的諮詢。 覆蓋率與能力匯流:政府將於2017年底前了解人類生活、工作與旅遊需達成之高品質覆蓋率要素,並於2025年前達成這些要素目標。 確保安全的5G布建:5G試驗場將會與重要安全組織如國家網路安全中心合作,以支持和發展新的安全建築來達到消費者對於5G的期待與需求。 頻譜:政府將要求Ofcom檢視現行頻譜授權策略並於2017年底提出報告,以促進4G至5G轉型。 科技與標準:政府將會持續和標準機關合作,監督市場安全與供應者的發展。
泰國發布新法令規範數位平臺義務泰國政府於2022年12月22日在政府公報上發布規範數位平臺義務的「數位平臺業務營運通知皇家法令」(the Royal Decree on Operation of Digital Platform Services Which Require Notification,以下簡稱皇家法令),鑒於數位平臺治理的不足與電子交易安全性,泰國政府發布皇家法令用以補充電子交易法(Electronic Transaction Act)之空缺。泰國政府要求數位平臺採取必要措施以符合皇家法令,將於2023年8月20日生效。 皇家法令將「數位平臺」定義為透過電腦網路連結商家、消費者與使用者從而產生電子交易的電子中介平臺。營收達到180萬泰銖的自然人、或營收達到5000萬泰銖的法人、或在泰國境內每月活躍用戶達到5000人的數位平臺需要負擔一定義務,包含向主管機關電子交易發展署(Electronic Transactions Development Agency, ETDA)通報其相關資訊、向ETDA提供年度報告、變更條款的透明度義務、以及境外數位平臺需指定代理人等。此外,數位平臺在提供服務或對數位平臺相關資訊進行修改時,有通知平臺用戶必要資訊的義務。 單一服務營收每年超過3億泰銖、或整體服務營收每年超過10億泰銖、或泰國每月活躍用戶超過總人口10%的數位平臺則為大型數位平臺,大型數位平臺相較於其他數位平臺需要負擔額外義務,除前述數位平臺義務之外,大型數位平臺需要實施風險評估、風險管理措施、系統安全措施與危機管理措施等額外義務。 自歐盟制定數位服務法(Digital Services Act)後,各國陸續建立數位平臺治理制度。經觀察,泰國政府是基於維護電子交易安全目的要求數位平臺負擔相關義務,與歐盟所關注的監督數位平臺與保護使用者基本權利似有所區別,規範對象門檻相比數位服務法來得低,義務也比數位服務法來得少。同時其他亞洲鄰近國家也開始關注數位平臺治理,如南韓、新加坡等也在研擬數位平臺治理法制,各國數位平臺治理法制之發展與走向值得持續觀察。
英國Ofcom對媒體多元性標準徵求公眾意見2011年3月,英國文化、奧運、媒體與體育大臣(Secretary of State for Culture, Olympics, Media and Sport)Jeremy Hunt原已同意跨國媒體集團News Corporation併購英國天空廣播公司British Sky Broadcasting Group(BSkyB)並進行後續之審議流程。但在同年7月爆出News Corporation旗下的英國世界新聞報竊聽醜聞後,News Corporation立即取消該項併購申請。 在此一事件影響下,Jeremy Hunt要求英國電信主管機關Ofcom(Office of communications)對於跨媒體多元性管制架構進行檢討。現行媒體多元性管制主要在於同媒體之間合併必須通過公眾利益測試(public interest test),並有國家跨媒體所有權限制。Ofcom徵求意見如下: 1.跨平台媒體多元性如何測量,推荐最好方法為何? 2.在新聞市場中可否設定一絕對的市場佔有率限制? 3.在沒有合併案件的情形下,是否有其他事件可引發媒體多元性的持續追蹤、誰以及如何進行追蹤? 4.媒體多元性測量是否包含網站? 5.測量是否包含BBC? Ofcom將於2011年11月18日截止收件,並於2012年初提出修改之方向。
美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA),將於2025年7月31日生效美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有: 一、 適用對象:於明尼蘇達州內經營商業之營利組織(下簡稱企業或資料控制者),或生產製造商品、提供服務予該州居民之企業,且符合下列情形之一者: 1. 在前一年度控制或處理超過10萬筆消費者個人資料。 2. 控制或處理超過25,000筆消費者個人資料,且總營收超過百分之二十五係源自於銷售個人資料者。 3. 高等教育機構(postsecondary institutions)、非營利組織則自2029年7月31日起適用。 二、 消費者權利:賦予明尼蘇達州居民對個人資料的基本權利,且強調消費者不應因行使權利而受歧視。分別為: 1. 近用權:請求瀏覽企業對其所蒐集個人資料,但如導致企業商業機密洩露之虞者除外。 2. 修正權:請求企業修正不正確或不完整的個人資料。 3. 刪除權:請求企業刪除其個人資料。 4. 請求製給複製本:採取可便利取用格式,或資料可攜(Data Portability) 之方式。 5. 選擇退出權(opt out):就個資利用行為,消費者得行使退出權: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料。 6. 取得企業揭露或提供個資利用之對象清單。 7. 消費者得向企業請求基於特定決策所作成剖析結果之原因,以及消費者未來得據以採取確保不同決策之作為。 三、 企業主要責任與義務: 1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外,尚須: (1) 依法回應當事人之請求:資料當事人向企業請求查詢、修改及刪除自己的資料,企業接到請求後,應於45天之期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 (2) 保存所有申訴與回覆之紀錄至少24個月;除此之外,企業須建立並採行合規政策,包括識別主要負責人,如:首席隱私長(Chief Privacy Officer)。 明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視,除了加強對消費者個人資料的保護,也賦予消費者的權利,使消費者不再屬於被動方,而能夠主動捍衛自己的個人資料隱私。