美國參議院通過《兒童網路隱私保護法》與《兒童網路安全法》,有望加強兒少網路安全保護力道
在數位時代,兒童及青少年長時間使用網際網路已成為生活常態,然而,兒少在高度使用社群媒體的同時,也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」(toxic content)。在享受網路便利性的同時,兒少也面臨遭受騷擾、霸凌,被迫轉學甚至輕生等困境,心理健康面臨危機。為解決前揭問題,美國參議院於2024年7月30日通過《兒童網路隱私保護法》(Children’s Online Privacy Protection Act, COPPA)修正法案及《兒童網路安全法》(Kids Online Safety Act, KOSA)之立法,加強兒少網路安全之保護。
COPPA早於1998年制定,並於2000年開始施行,該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範,惟自訂定後迄今約25年,均未因應時代變遷做出調整,終於在本次會期提出修正草案。另KOSA之立法重點,則在於要求網路平台業者對兒童預設提供最高強度隱私設定,並建立控制措施,提供父母保護子女及認知到有害行為的機制,課予網路平台業者預防及減輕兒童陷於特定危險(如接收宣傳有毒內容之廣告)之義務等。此二法案經參議院投票通過後,合併為一案送交眾議院審核,重點說明如下:
1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年(下稱兒少),禁止網路平台業者在未經兒少使用者同意情況下,蒐集其個人資料。
2.禁止網路平台業者對兒少投放定向廣告(targeted advertising)。
3.為保護「合理可能會使用(reasonably likely to be)」網路平台的兒少,調整法案適用的「實際認知(actual knowledge)」標準,將適用範圍擴及至「合理可能被兒少使用(reasonably likely to be used)」的網路平台。
4.建立「清除鈕(eraser button)」機制,使兒少及其父母得以要求網路平台業者在技術可行情況下,刪除自兒少所蒐集之個人資料。
5.要求商務部(the Secretary of Commerce)於新法頒布後180日內,應成立並召集兒童網路安全會議(Kids Online Safety Council),進行包含識別網路平台對兒少造成危害之風險,提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。
觀本次可謂美國對於兒少網路保護之重大進展,惟此法案後續是否能順利提請總統簽署成法,正式具約束效力,仍須持續關注眾議院未來動向。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
蔡孟庭
副法律研究員 編譯整理
Kids Online Safety and Privacy Act, S.2073, 118th Cong. (2023-2024).
Senate Overwhelmingly Passes Children’s Online Privacy Legislation, SENATE.GOV, https://www.commerce.senate.gov/2024/7/senate-overwhelmingly-passes-children-s-online-privacy-legislation (last visited Aug. 9, 2024).
Senators Markey and Cassidy Reintroduce COPPA 2.0, Bipartisan Legislation to Protect Online Privacy of Children and Teens, MARKEY.SENATE.GOV, https://www.markey.senate.gov/news/press-releases/senators-markey-and-cassidy-reintroduce-coppa-20-bipartisan-legislation-to-protect-online-privacy-of-children-and-teens (last visited Aug. 9, 2024).
What is the Kids Online Safety Act (KOSA)?, BLUMENTHAL.SENATE.GOV, https://www.blumenthal.senate.gov/about/issues/kids-online-safety-act (last visited Aug. 9, 2024).
歐盟執委會於2021年12月8日宣布「軟體開源授權及複用」決定(COMMISSION DECISION on the open source licensing and reuse of Commission software)。本決定規範執委會軟體之開源授權條件與複用方式,其軟體開源授權流程如下: 一、執委會依本決定(下同)第5條授予其軟體的開源授權證應為歐盟公共授權(the European Union Public Licence, EUPL),除因(1)適用第三方軟體的互惠條款,而強制使用其他開源授權證,或替代開源授權證比EUPL更便於人民使用該軟體;(2)適用第三方軟體之授權條款,存在多個開源授權標準(不含EUPL),則應優先選擇授予最廣泛權利的開源授權。 二、透過第8條對智慧財產權進行核實,包括:(1)軟體識別(2)對軟體的智慧財產權進行驗證;及(3)安全驗證。 三、依第6條規定將所有開源軟體置於資料庫,供公民、公司或其他公共服務有潛在利益者取得。 另外,依第四條規定,本規則不適用於以下情形:(1)因第三方智慧財產權問題,無法允許複用的軟體;(2)該原始碼之發布或共享,對執委會、其他歐洲機構或團體的資訊系統或資料庫安全構成實質或潛在風險;(3)因法律規定、契約義務或性質,其內容須被視為機密之軟體;(4)依(EC)1049/2001第4條所列之情形,包含但不限於:因公共利益、國家安全、隱私保護、商業利益、訴訟或審計之利益等,該軟體須被排除,或只能由特定之一方取得或管理;(5)委託由執委會進行研究產生之軟體,若公開將干擾臨時研究結果之驗證或構成拒絕註冊有利於執委會之智慧財產權的理由。
美國Uber被訴利用軟體應用程式追蹤用戶位置資訊美國電子隱私資訊中心(The Electronic Privacy Information Center, EPIC)向聯邦貿易委員會(Federal Trade Commission, FTC)檢舉Uber利用手機軟體"God view"追蹤並蒐集軟體用戶(乘客)位置資訊,並利用該資訊發送廣告給乘客。EPIC主張該作法為違法、詐欺的商業模式。 議員Al Franken對該軟體用戶服務條款也提出質疑,因該服務條款載明即使用戶終止使用,該軟體仍將繼續蒐集用戶的位置資訊,並可無限期使用用戶的個人資料。雖然Uber後續對該服務條款進行增修,但仍對外主張保有最後解釋的權利。 EPIC認為目前依「駕駛隱私法」(Driver's Privacy Act )的規定,除具要求提供車輛資料的法源依據,或個人同意並被告知資料將如何使用之情形,才可以蒐集該車輛資料以維護駕駛隱私,否則不得蒐集與該車輛的任何記錄與資料。然而,EPIC亦認為應立法禁止使用軟體追蹤乘客與蒐集其資料。EPIC同時也建議應制定法規限制 Google、Facebook、Whatsapp、Snapchat等公司追蹤及蒐集顧客資料。對此,Facebook僅表示會確保用戶的位置資訊不被濫用,而Google則拒絕對此發表評論。 另外,EPIC認為Uber蒐集用戶位置資訊,並隨著時間的推移來追蹤用戶(乘客)動向資料並進行廣告行銷,對用戶的隱私權保護並不完整,且用戶資料也有被盜取之可能,因此,EPIC希望FTC能對Uber"God view"軟體進行調查,希望促成規制用戶(乘客)資料蒐集、處理與利用的商業模式。
美國國家創新與創業諮詢委員會發布透過創業提高競爭力美國創新策略報告, 敦促政府消除創業活動障礙,促進新創公司發展美國國家創新與創業諮詢委員會(National Advisory Council on Innovation and Entrepreneurship, NACIE)於2024年2月8日發布「透過創業提高競爭力:美國創新策略」(Competitiveness Through Entrepreneurship: A Strategy For U.S. Innovation)報告,其確定改善與協助美國創業精神之三大關鍵領域,並提出十項建議,敦促政府消除創業活動障礙,增加新創公司獲得人才、資金之機會。 NACIE由企業家、創新者、投資人、學者與經濟發展領導者組成。由商務部長責成其確定如何使美國繼續成為改變典範之創新來源、以及將創新推向市場之泉源。NACIE於此報告中所確認之三大關鍵領域與十項建議之內涵簡述如下: (1)關鍵領域1:發展未來產業(Growing the Industries of the Future) 美國雖於能源、自動化、人工智慧、量子科學與生物科技等創新領域取得商業上之成功,但對於產業創新仍存有四大威脅,包括國家機關間之協調、研發投資之持續減少、大學研發產品商業化受阻與境外製造之風險。 建議1: 成立國家創新委員會(National Innovation Council),由科學技術政策辦公室主任(Director of the Office of Science & Technology Policy)擔任主席,成員包括相關內閣秘書、國家科學基金會(NSF)主任、美國專利商標局(USPTO)局長與美國首席技術長(Chief Technology Officer, CTO),倡導全國創新與創業並協調相關聯邦政府活動。 建議2: 恢復與擴大國家投資,使創新登月計畫成為可能—大幅增加聯邦對關鍵技術之研發投資,使美國在未來成長產業中發揮領導作用。 建議3: 啟動國家創新加速器網路(National Innovation Accelerator Network, NIAN)—一個由加速器、輔導、投資計畫與創業支持組織組成之虛擬“網路中之網路”(“network of networks”),旨在大規模增強社會各方面之包容性創業能力。 建議4: 為聯邦資助之研究與開發提供智慧財產權激勵措施;制定政策與激勵措施,促進聯邦政府資助之創新廣泛傳播與商業化;並促進將聯邦資助創新進行國內製造。 建議5: 積極與創新者、企業家與資助者合作,確保其擁有足夠之智慧財產權與網路安全教育與資源來保護其之想法與業務,並接受培訓以能夠識別與防止外國公司或國家潛在之智慧財產權盜竊。 (2)關鍵領域2:獲取資本(Accessing Capital) 美國前七大上市公司全部皆由創投所支持,於1990至2020年間,相較於私部門之雇用率上升40%,同一時期由創投支持之公司雇用率成長達960%;美國創投規模亦居於全球之冠,甚至某些城市之創投規模已超過其他國家,如2021年紐約之創投規模即相當於印度全國之規模。惟美國創投之問題在於投資機會未能平等,如女性、有色人種、非都會區較難獲得創投投資。 建議6: 透過制定新聯邦計畫,擴大企業家之成長資金管道,以支持各地更多企業家,特別是通常未受足夠服務之企業家。 建議7: 透過擴大直接資助與基於激勵(incentive-based)之聯邦計畫,增加資金並為新興基金經理提供機會,以便於全國更多處皆能有更多具有各種人口背景與專業之投資人。 建議8: 向投資於研發、種子輪或A 輪融資新創公司、女性與少數族群擁有之新創公司、以及保護與授權智慧財產權之公司與個人提供年度稅收抵免與激勵措施。 (3)關鍵領域3:培養創業人才(Developing Entrepreneurial Talent) 人才對於創業生態系之完整建構至為重要,美國一半以上之10億美元公司由移民創辦,三分之二之獨角獸公司由移民創辦或共同創辦,這些公司之創辦人中有25%是國際學生。 建議9: 透過提供導師、支持服務資金以及幫助吸引與培養關鍵人才,全面支持新高潛力企業家,旨在增加美國新創公司之數量與影響力。 建議10: 有系統地提供支持創業之工具與資源,打破任何人、任何地方之障礙,為新創業企業做出貢獻,以便美國未來能更快地創新。
南韓個人資料保護委員會宣布通過修訂個人資料保護法施行法2024年3月6日,南韓個資保護委員會(Personal Information Protection Commission, PIPC)宣布通過個人資料保護法施行法(Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree)修正案,並於2024年3月15日正式實行。 本次修法重點如下: 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策,個資主體(即,個人)有權要求解釋決策過程並進行審查,尤其當決策結果對個資主體權益有重大影響時(例如:不通過其社福補助申請),個資主體可拒絕自動化決策結果,並要求改為人為決策及告知重新決策結果。另為確保透明、公平,自動化決策依據的標準與程序亦須公開,並於必要時向公眾說明決策過程。 2.確立隱私長(Chief Privacy Officers, CPOs)的資格要求及適用範圍 為確保CPO能順利開展個資保護工作,要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗,且個資經驗至少2年。適用機關包括:年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者;學生超過2萬人的大學;處理大量特種個資的教學醫院或大型私人醫院等;疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定,PIPC每年需對公共機構(如:中央行政機關及其所屬機關、地方政府及總統令規定者)進行個資保護程度評估,而為使評估作業有所依循,本次新增評估標準及相關程序包括:政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任,將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時,調整適用門檻,將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人,以減輕小型企業負擔。另亦明訂可豁免責任的對象包括:不符合CPO資格的公共機構,公益法人或非營利組織,及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案,內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等,並舉行說明會來收集回饋意見。