美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
今年1月底日本Coincheck虛擬貨幣交易所爆出最大規模的駭客攻擊事件後,日本金融廳開始擴大調查國內虛擬貨幣交易平台營運狀況;3月8日首次對2家虛擬貨幣交易平台業者Bit Station及FSHO祭出為期一個月「勒令停業」之行政處分,前者主因係公司內部高階主管擅自挪用客戶資金,違反資金結算法中用戶財產管理與用戶保護措施規範;後者則係發現多筆高額交易時,網路系統並未進行用戶認證,公司亦未對員工進行內部培訓課程,違反資金結算法中關於用戶保護措施之規範。 同時,日本金融廳亦對Coincheck、Bicrements、GMO Coin、Tech Bureau,及Mr.Exchange等5家虛擬交易平台業者發布下令改善之行政處分,要求業者重新審視經營漏洞,限期建立有效且完善的風險管理系統、保護消費者機制、反洗錢與打擊資恐、資金管理系統、內部稽核與內部控制系統及用戶客服系統等,避免再度發生大型駭客攻擊事件。 另為能有效地建立虛擬貨幣交易市場管制規範,日本金融廳宣布成立「虛擬貨幣交易產業研究小組」,並由學者、金融業者及虛擬貨幣業者為主要成員,為將來虛擬貨幣市場可能面臨各種議題,研析相關監管政策及法制規範。 面對襲捲而來之虛擬貨幣交易經濟,日前法務部邀集金管會、內政部、央行、警政署、調查局等單位跨部會協商,並就管制面、執法面等持續進行研商;我國或可以日本該次事件為借鏡,於行政管制強度做適當之調整,尤其我國為亞太防制洗錢組織(APG)創始會員,而虛擬貨幣交易之匿名性,已成為反洗錢與反資恐之最大風險,隨著虛擬貨幣交易行為頻繁與發展態樣多變,日後對於虛擬貨幣交易之管制政策與範圍都將備受矚目。
連結稅(link tax)連結稅(link tax)並非政府稅捐,而是網路業者以連結方式擷取新聞內容提供予他人,應向新聞業者協議取得授權,並支付適當費用的俗稱。針對網路業者擷取使用或彙整他人的新聞(例如Google News),導致發布該新聞之新聞業者實際獲得的點擊率與網路流量減少的情形,為了平衡新聞業者與網路業者間的利益,歐盟於2019年通過施行的歐盟數位單一市場著作權指令(The Directive on Copyright in the Digital Single Market)中,訂定網路業者應向新聞業者取得著作使用之授權協議,包含網路業者應與新聞業者分享一定比例之收益。 本條文於草案階段即備受爭議,草案條文(第11條)甚至包含使用超連結(hyperlink)的行為在內,而引發網路業者與使用者的反彈,並戲稱支付使用超連結的費用為繳交超連結稅。而最後通過的條文(第15條),則排除了非商業使用的個人、使用超連結或是僅單詞或簡短摘錄的情形,並將新聞業者的權利限於發表後的兩年以內,且不溯及適用指令施行前發表的新聞。 德國跟西班牙分別於2013年及2014年立法賦予新聞業者類似的權利,但結果顯示新聞業者對於網路業者的依賴,可能還遠大於網路業者擷取新聞業者內容所獲得的利益。法國於2019年7月完成將歐盟著作權指令內國法化,Google也因此調整其擷取政策,除非新聞業者主動完成對擷取內容範圍限制與授權的設定,Google將刪除全部擷取內容;連結稅能否保障新聞業者對其所發布新聞的相關權利,並平衡新聞業者與網路業者間的利益,仍有待觀察。
英國政府宣佈將內化歐盟電子通訊隱私指令,訂定cookie相關規範歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)針對cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,於2009年修正,將在今年在5月25日之前全面施行。歐盟跟據該項規定,要求業者,當其使用cookie追蹤網路使用者的使用行為時,必須取得網路使用者的「明示同意」,且每隔一年,業者皆必須重新取得該項「同意」,網路使用者亦得隨時撤回。實務上對於該項同意究竟應由業者「主動」要求,亦或「被動」等待網路使用者以允許cookie設置方式而直接視為同意,仍有爭議。 儘管如此,英國政府仍已決定內化該指令,制定其國內cookie設置規範。英國資訊委員會(Information Commission)將提出指導原則,協助業者遵循該規範。相關政府單位,亦已開始著手協助業者重新設定網頁瀏覽器。有關當局表示,英國政府將會在歐盟限定的期限內推動此規範,不過,該歐盟指令係強制規範,業者是否能在短期內完成該規範遵循仍有疑議。針對此點,英國政府已通令其資訊委員會,對於已著手改正其隱私規範並重新設置瀏覽器的業者,即便未於期限內完成該規範遵循,亦不受罰。英國未來實施的cookie設置規範究竟會如何發展,仍待觀察。
IE壟斷瀏覽器市場遭歐盟裁罰,股東狀告微軟公司針對2013年微軟因Internet Explorer瀏覽器壟斷問題遭歐盟裁罰,微軟股東Kim Barovic於2014年4月11日向美國華盛頓西區聯邦地區法院(U.S. District Court, Western District of Washington)提出告訴,控告包括微軟公司創辦人Bill Gates與前任CEO Steve Ballmer等高層在整起事件中決策失誤、處理不當,致使公司承受鉅額罰款,蒙受重大損失,且董事會亦未善盡職責,徹查事件發生之原因。 2013年3月,身為歐盟反壟斷監管機構的歐盟執委會(European Commission),以微軟公司自2011年5月至2012年7月間發布的Windows 7 Service Pack系統更新,未提供超過1500萬用戶除了預設IE瀏覽器以外其他上網程式的選擇,顯然未履行該公司於2009年對歐盟做出的具有法律拘束力的承諾(即確保歐洲地區的消費者有選擇網路瀏覽器的自由)為由,對該公司之義務違反處以7億3100萬美元的天價裁罰,這也是歐盟執委會首次對違反此項義務的公司開罰。 本起訴訟是自2013年事件發生以來,首次有股東向微軟公司提告。原告Kim Barovic在訴訟中要求徹查決策錯誤的發生原因並懲處管理階層的相關失職人員。她說,董事會表示:「經調查,無證據顯示有任何現任或前任主管或經理人違反受託人義務。」微軟則於11日發布聲明:「Barovic請董事會調查其要求,還對董事會與公司管理階層提告。董事會已經完整地考量過其要求,但找不到官司成立的根據。」