美國參議院通過《兒童網路隱私保護法》與《兒童網路安全法》,有望加強兒少網路安全保護力道
在數位時代,兒童及青少年長時間使用網際網路已成為生活常態,然而,兒少在高度使用社群媒體的同時,也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」(toxic content)。在享受網路便利性的同時,兒少也面臨遭受騷擾、霸凌,被迫轉學甚至輕生等困境,心理健康面臨危機。為解決前揭問題,美國參議院於2024年7月30日通過《兒童網路隱私保護法》(Children’s Online Privacy Protection Act, COPPA)修正法案及《兒童網路安全法》(Kids Online Safety Act, KOSA)之立法,加強兒少網路安全之保護。
COPPA早於1998年制定,並於2000年開始施行,該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範,惟自訂定後迄今約25年,均未因應時代變遷做出調整,終於在本次會期提出修正草案。另KOSA之立法重點,則在於要求網路平台業者對兒童預設提供最高強度隱私設定,並建立控制措施,提供父母保護子女及認知到有害行為的機制,課予網路平台業者預防及減輕兒童陷於特定危險(如接收宣傳有毒內容之廣告)之義務等。此二法案經參議院投票通過後,合併為一案送交眾議院審核,重點說明如下:
1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年(下稱兒少),禁止網路平台業者在未經兒少使用者同意情況下,蒐集其個人資料。
2.禁止網路平台業者對兒少投放定向廣告(targeted advertising)。
3.為保護「合理可能會使用(reasonably likely to be)」網路平台的兒少,調整法案適用的「實際認知(actual knowledge)」標準,將適用範圍擴及至「合理可能被兒少使用(reasonably likely to be used)」的網路平台。
4.建立「清除鈕(eraser button)」機制,使兒少及其父母得以要求網路平台業者在技術可行情況下,刪除自兒少所蒐集之個人資料。
5.要求商務部(the Secretary of Commerce)於新法頒布後180日內,應成立並召集兒童網路安全會議(Kids Online Safety Council),進行包含識別網路平台對兒少造成危害之風險,提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。
觀本次可謂美國對於兒少網路保護之重大進展,惟此法案後續是否能順利提請總統簽署成法,正式具約束效力,仍須持續關注眾議院未來動向。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
蔡孟庭
副法律研究員 編譯整理
Kids Online Safety and Privacy Act, S.2073, 118th Cong. (2023-2024).
Senate Overwhelmingly Passes Children’s Online Privacy Legislation, SENATE.GOV, https://www.commerce.senate.gov/2024/7/senate-overwhelmingly-passes-children-s-online-privacy-legislation (last visited Aug. 9, 2024).
Senators Markey and Cassidy Reintroduce COPPA 2.0, Bipartisan Legislation to Protect Online Privacy of Children and Teens, MARKEY.SENATE.GOV, https://www.markey.senate.gov/news/press-releases/senators-markey-and-cassidy-reintroduce-coppa-20-bipartisan-legislation-to-protect-online-privacy-of-children-and-teens (last visited Aug. 9, 2024).
What is the Kids Online Safety Act (KOSA)?, BLUMENTHAL.SENATE.GOV, https://www.blumenthal.senate.gov/about/issues/kids-online-safety-act (last visited Aug. 9, 2024).
新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。 新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下: 透過組織問責制度,加強消費者之信任; 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率; 資料外洩時的強制性通知規定、責任(可參見26A條以下); 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下); 強化個人資料保護委員會的執法權限,提高執法效率; 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下); 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分) 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分) 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)
歐盟發布數位身分皮夾信賴方登錄實施規則,健全數位信任生態系歐盟執委會於2025年5月6日發布《數位身分皮夾信賴方登錄實施規則》(Commission Implementing Regulation (EU) 2025/848 Laying down Rules for the Application of Regulation (EU) No 910/2024 of the European Parliament and of the Council as regards the Registration of Wallet-Relying Parties)(下稱實施規則),旨在幫助數位身分皮夾(Digital Identity Wallet)用戶確保其身分資料傳輸至可信賴對象,且傳輸之資料並未超過預期用途。 實施規則規範重點如下: (1)建置及維運登錄資料庫:會員國應建置皮夾信賴方(wallet-relying party)登錄資料庫,並指定登錄管理員負責管理及維運。 (2)訂定登錄政策及程序:會員國應訂定登錄政策,內容須涵蓋皮夾信賴方註冊時之身分識別及核實程序、登錄程序所需配套文件及佐證資料、用以確認皮夾信賴方提供資訊正確之真實來源、皮夾信賴方之救濟機制、驗證已註冊信賴方身分之規則及程序,並盡可能採自動化流程。 (3)申請登錄所需資訊:皮夾信賴方申請登錄時應提供之資訊,包括與官方身分紀錄一致之姓名或組織名稱、身分識別資料(如國民身分識別碼、商業登記號碼、加值營業稅號、歐盟經濟營運者註冊及識別碼(Economic Operator Registration and Identification Number))、地址、聯絡資訊、服務類型描述、針對各項預期用途擬請求之資料清單、是否為公務機關等。 (4)簽發相關憑證:會員國應授權至少1家憑證機構簽發皮夾信賴方存取憑證(access certificate),以確認皮夾信賴方之身分。會員國另得授權憑證機構簽發皮夾信賴方登錄憑證(registration certificate),以證明皮夾信賴方所取得之資料未超過預期用途。 (5)暫停或取消登錄資格事由:若有登錄資訊不實、違反登錄政策、請求資料超過預期用途等情事,將暫停或取消皮夾信賴方登錄資格。 (6)紀錄保存年限:登錄及憑證簽發紀錄應保存10年。 此實施規則已於2025年5月27日生效,將於2026年12月24日施行。
2006年世界智慧財產權組織大會會議關於「商標法條約」的議題世界智慧財產權組織( WIPO )大會第三十三屆會議於 2006 年 9 月 25 日 (星期一)在瑞士日內瓦正式開幕,有來自全球 183 個會員國共襄盛舉,此次會議將於 9 月 25 日 至 10 月 3 日 間舉行。本次世界智慧財產權組織大會將審查該組織的工作進展,還有討論未來的政策方向,包括今年 3 月間在新加坡外交會議中所協商通過的「商標法條約( the Singapore Treaty on the Law of Trademarks ,故本條約又被簡稱為新加坡條約 Singapore Treaty )」、網域名稱、保護廣播組織與視聽表演之規定等議題。 其中今年協商通過的新加坡條約規範中,納入雷射圖樣( 3D )商標、動作商標、顏色、氣味及聲音等不同類型的商標,突破傳統商標只強調視覺觀感的象徵,增加許多非視覺的商標類型,以求符合商業的新興趨勢,勢必將使未來商標的應用更加多樣化。此外在新加坡條約中也增加相關救濟規定,如:商標申請人若非故意而導致逾期未完成註冊,締約國應提供權利回復的方式( Rule9 )等,對於申請人的保護更加周到。
英國皇家內科醫學院等三個團體聯合發布基因檢測醫療之指引建議書近年隨基因檢測技術成熟及成本下降的影響,基於醫療診斷或照護目的,而對於血液、其他體液、細胞或DNA所進行之基因檢測行為已有逐漸增多的趨勢,惟基因資訊使用本身往往容易觸及倫理、道德或法律層面的爭議,導致專業醫療人員在實際為檢測時容易產生法規遵循上的困難;因此,若能有明確的程序或標準可供依循,將能大幅增進基因檢測技術的商業運用價值。 1. 有鑑於此,三個英國醫療團體-英國皇家內科醫學院(Royal College of Physicians)、英國皇家病理科醫學院(Royal College of Pathologists)及英國人類遺傳協會(British Society for Human Genetics)於今(2011)年9月聯合公布了一份『診療性基因使用行為的同意及秘密性:基因檢測及基因資訊的分享指引』報告書(Consent and confidentiality in clinical genetic practice:Guidance on genetic testing and sharing genetic information)。該建議書之主要目的即在於指引醫療人員在使用基因資料及樣本時,應如何遵循相關的法律規範,包括1998年資料保護法(the Data Protection Act of 1998)及人類組織法(the Human Tissue Act)等;內容上則涵蓋病患同意、基因醫療行為、家族史與醫療資訊的秘密性,以及當病患所提供之基因樣本可能作為研究用途時,應如何告知等事項。 建議書中特別強調當病患選擇接受基因檢測以獲得更好的診療建議時,基因資訊也開始對病患個人及其家族成員帶來的風險。基此,該報告對基因檢測行為提出三項主要建議:1. 基因檢測所得到的家族史及診斷資訊只有在其他家族成員出現健康照護(healthcare)需求時,才能進行共享,且必須在醫療人員不違反保密義務的前提下進行。2. 醫療人員應當告知病患包括基因調查對其近親屬的潛在好處、部分基因訊息可能會提供給家族親屬、基因檢測可能會得到不確定或非預期的發現、其所提供之樣本及基因資訊將如何被運用,以及該樣本若對於該類型之檢測具有相當重要性時,其檢測結果可能會被收錄於國家資料庫以作為未來醫療研究之用。3. 由於醫療干預行為可能會導致基因診斷(genetic diagnoses)結果的改變,所以應該由病患本人或專業醫師直接告知其親屬,此誤差所可能導致的遺傳風險(例如血友病患者的基因診斷結果發生誤差,可能導致其近親屬生下患有血友病的下一代)。 目前基因檢測技術雖已趨向商業化及普及化發展,但由於基因訊息一般被界定為個人隱私資訊,因此在使用、分享及儲存上有相當之限制規範,並造成醫療人員遵循上的難度。而英國皇家內科醫學院等三個醫療團體所公佈的這份指引建議書,在內容上聚焦於告知病患的程序及病患的同意,同時擬定明確的流程圖及同意表格供各醫療人員參考使用,相信對於未來英國基因檢測技術的普及化會有相當正面之幫助。