因應美國華盛頓州《我的健康我的資料法》施行,受監管對象隱私權政策應更新
美國華盛頓州《我的健康我的資料法》(My Health, My Data,以下簡稱該法)於2024年3月31日生效,該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料,特別是生殖健康相關資料(data related to reproductive healthcare)。所拘束對象並不在HIPAA之監管範圍內,包括穿戴式裝置(wearables)、特定零售購物和非HIPAA 所規範之遠距醫療服務(telehealth services)所蒐集之資料。
該法最繁瑣合規要求之一為,受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策(下統稱隱私權政策)連結,連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業,則設有三個月之緩衝時間,即應於 2024 年 6 月 30 日前遵循該要求。
隱私權政策必須清楚且醒目地揭露以下內容:
1. 所蒐集之健康資料類別和蒐集目的,包括將如何使用這些資料;
2. 所蒐集健康資料來源及類別;
3. 共享之健康資料類別;
4. 共享消費者健康資料的第三方或相關企業之類別;以及
5. 消費者如何行使該法所賦予之權利,包括撤銷同意和要求刪除之權利。
最重要的是,除特殊情形外(即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意),受監管對象不得基於隱私權政策中未明確揭露之任何其他目的,蒐集、使用或共享消費者健康資料。
若違反該法相關規定,即被視為違反《華盛頓州消費者保護法》(the Washington Consumer Protection Act),可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律,顯現對消費者資料保護監管逐漸嚴格之趨勢。
- K&L Gates LLP, The Countdown to Complete Your Consumer Health Data Privacy Policy Under the Washington My Health My Data Act, LEXOLOGY, Mar.19, 2024
- Whitney E. McCollum, Gina L. Bertolini, Jane E. Petoskey, "MY HEALTH, MY DATA" IS FIRST OF ITS KIND PRIVACY LAW FOCUSED ON PROTECTING CONSUMER HEALTH DATA, KLGATES, May 2, 2023
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
謝淯婷
法律研究員 編譯整理
K&L Gates LLP, The Countdown to Complete Your Consumer Health Data Privacy Policy Under the Washington My Health My Data Act, LEXOLOGY, Mar.19, 2024, https://www.lexology.com/library/detail.aspx?g=cf068ed8-d1c9-46c2-a281-cf68d9d3587a (last visited June 24, 2024).
Whitney E. McCollum, Gina L. Bertolini, Jane E. Petoskey, "MY HEALTH, MY DATA" IS FIRST OF ITS KIND PRIVACY LAW FOCUSED ON PROTECTING CONSUMER HEALTH DATA, KLGATES, May 2, 2023, https://www.klgates.com/My-Health-My-Data-Is-First-of-Its-Kind-Privacy-Law-Focused-on-Protecting-Consumer-Health-Data-5-2-2023 (last visited June 24, 2024)
陳政陽,〈美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9173&no=64(最後瀏覽日:2024/06/24)。
洪亮瑄,〈美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9030&no=64,(最後瀏覽日:2024/06/24)。
黃昱揚,〈美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9006&no=64,(最後瀏覽日:2024/06/24)。
歐洲議會於2009年3月26日,以大多數支持Lambrinidis報告中關於網路上個人自由保護之投票結果,反對法國政府和著作權行業提出的修正案。歐洲議會的態度是「保障所有公民接近使用網路就如同保障所有公民接受教育」,而且「政府或私人組織不能以處罰之方式拒給這種接近使用的權利」。歐洲議會議員要求會員國政府需體認到網路是一個有效增加公民權利義務之特殊機會,就這方面而言,使用網路及網路內容是一個關鍵要素。 這份報告被歐洲議會議員所採用,得以認識到提供安全措施來保護網路使用者(特別是孩童)之必要性,由於使用者可能會因使用網路,而暴露在成為罪犯或恐怖份子的犯罪工具的風險中。報告中提出方案對抗網路犯罪,但同時也要求在安全及網路使用者基本權利保障中尋求平衡點。 此報告否定法國所提之修正案,歐洲議會又再度否決由法國努力推動「網路侵權三振法案」(three strikes file-sharing law)。歐洲議會認為對於所有網路使用者的監測活動及對於侵權者之處罰有違比例原則。歐洲議會亦公開支持「網路權利憲章」(Internet Bill of Rights)以及推動「隱私權設計」(privacy by design)宗旨。
美國歐盟貿易和技術委員會發布第四次聯合聲明,強化高科技技術及貿易安全合作美國歐盟貿易和技術委員會(Trade and Technology Council,簡稱TTC)第四次部長級會議於2023年5月31日發布聯合聲明。TTC繼續作為美國和歐盟對俄羅斯在烏克蘭戰爭中協調及有效反應的平台,處理包括與制裁相關的出口限制、打擊外國資訊操縱和干擾,以及破壞人權並威脅到當事國及第三國民主制度的運作和社會福祉等議題。 本次TTC聯合聲明之五大議題重點介紹如下: (1)強化跨大西洋新興技術合作以實現美歐共同領導:包括監控與衡量現有和新出現的人工智慧風險;發展智慧電網下智慧移動標準及互通性(Interoperability);提升半導體供應鏈的合作,包括鼓勵研發、資訊共享;建立工作小組共同處理量子技術問題。 (2)促進貿易及投資的永續性與新機會:乾淨能源補助;避免關鍵礦物供應受地緣政治影響;藉由數位工具提升貿易便捷的合作;相互承認醫藥品製造實務作法等。 (3)貿易、安全和經濟繁榮:出口管制與制裁相關出口限制的合作;交換對於與國安風險有關的特定敏感技術及關鍵設施投資審查的看法;重視對外投資管制,以保護敏感技術不流於對國際和平與安全有疑慮的用途;討論非市場政策與實務、及經濟脅迫(Coercion)的威脅與挑戰。 (4)連結性(Connectivity)和數位基礎設施:加速合作發展6G無線通訊系統;國際連通性與海底電纜計畫。 (5)在不斷變化的地緣政治數位環境中捍衛人權和價值觀:建構具透明性與可問責之線上平台;處理在第三國進行外國資料操縱與干預議題。 TTC將透過各工作小組,持續關注、研究上述議題的發展,並預計於2023年底於美國再次召開會議,檢視合作的成果。
歐盟執委會(EC)因根據社群網站使用者的政治觀點投放精準廣告,遭歐盟資料保護監督機關(EDPS)訓誡歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2024年12月13日,就歐洲數位權利中心(Noyb - The European Center for Digital Rights,下稱noyb)之申訴做成決定,認定歐盟執委會(European Commission, EC)於社群媒體上依據使用者的政治傾向投放精準廣告,違反歐盟機構資料保護規則(Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR),對EC作成訓誡處分。 本案背景事實:EC在2023年9月15日至28日間,於社群網站X上投放了精準廣告,旨在向公眾傳達EC當時正在推動的兒少性剝削防治法(Child Sexual Abuse Regulation, CSAR)草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放,該投放方針定義了某些包含和排除關鍵字,和排除了與政治利益相關的帳戶。該政策顯示,包含的關鍵字多與「親歐盟」的立場與情緒相關,包含特定政黨如荷蘭自由民主人民黨(Dutch VVD);而排除的關鍵字則多與「疑歐論」的立場與情緒相關,如Viktor Orban。X並透過關鍵字定位和相似(look-alike)策略,根據關鍵字和與代表資料(proxy data)相比較下顯示出的相似性,篩選成年荷蘭公民進行精準廣告投放。 Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資(政治立場),在同條第2項之許可性條件未獲滿足之情況下,已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料,也未打算處理特種個資,只是使用X的服務。EC還主張,為了傳達立法草案,並基於EC依歐盟條約(Treaty of EU, TEU)的提案權,其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益,具備合法基礎。 EDPS經過調查後,認定: 1.EC透過委託投放廣告和制定受眾方針,決定了資料處理的目的(purpose determination),在此範圍內,也應被認為是資料控制者。 2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰,亦屬處理了使用者的特種個資。 3.雖然當事人若屬主動公開特種個資,會滿足EUDPR第10條第2項(e)的許可性條件,但依照歐盟法院判決先例,僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料,且即便當事人使用公開帳戶可能滿足許可性條件,該資料之處理仍須具備合法性基礎。 4.TEU中有關提案權之規定本質上非常籠統,難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求,從而,難認具備執行符合公共利益的任務之合法基礎。 5.最後,雖然EDPS認為EC違反EUDPR,但也同時認為,廣告已經結束,並無罰款的必要,因此僅對EC做成訓誡處分。
美國聯邦上訴法院針對加州禁止販售暴力電玩予未成年人法令進行審議美國聯邦第9巡迴上訴法院日前針對一項於2005年制定之加州法律進行罕見的聽審程序,以便決定此一州法是否因違反聯邦憲法第一修正案而無效。 此一法律之內容係禁止販售或出租暴力電玩予任何未滿十八歲之人,且要求此種電玩均須加以明確標誌。而電玩廠商則宣稱此一法律已侵犯了未成年人受憲法第一修正案所保護之言論自由。而值得注意者為,除去年下級法院已對此一案件做出電玩廠商勝訴之判決外,其他的州法院也紛紛做出具有類似限制內容之法律為違憲無效之判決。 然而,儘管如此,加州檢察總長Zackery Morazzini依然表示:州政府本即有權協助家長使未成年人遠離暴力電玩的不良影響。且美國聯邦最高法院亦已肯認禁止未成年人接觸明顯「性資訊」之法律為合憲。與此相同,暴力電玩可說亦同樣具有「猥褻」之特性。 而電玩廠商於訴訟中則表示:倘若此一法律得以合憲,則勢必會產生滑坡效應,即州政府勢必將會以保護兒童為藉口,而對於其它資訊,諸如同性戀、性教育、生育控制等等之提供作出更多的限制。而此種滑坡效應,顯然亦是第9巡迴上訴法院所關切的重點之一:如Alex Kozinski及Sidney Thomas兩位法官,均在聽審程序中特別表達對於此一效應的關注。 無論如何,上訴法院亦將於未來幾個月內對於此案做出判決。然而,顯而易見的是,無論上訴法院會如何裁判,本案最終仍須經聯邦最高法院裁決後方能有最終決定。