「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2025年9月12日發布《數位服務法》(Digital Services Act, DSA)與《一般資料保護規則》(General Data Protection Regulation, GDPR)交互影響指引(Guidelines 3/2025 on the interplay between the DSA and the GDPR)。這份指引闡明中介服務提供者(intermediary service providers)於履行DSA義務時,應如何解釋與適用GDPR。
DSA與GDPR如何交互影響?
處理個人資料的中介服務提供者,依據處理個資的目的和方式或僅代表他人處理個資,會被歸屬於GDPR框架下的控制者或處理者。此時,DSA與GDPR產生法規適用的交互重疊,服務提供者需同時符合DSA與GDPR的要求。具體而言,DSA與GDPR產生交互影響的關鍵領域為以下:
1.非法內容檢測(Illegal content detection):DSA第7條鼓勵中介服務提供者主動進行自發性調查,或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒,中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性,而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」(legitimate interests)。
2.通知與申訴等程序:DSA所規定設通報與處置機制及內部申訴系統,於運作過程中如涉及個資之蒐集與處理,應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料,並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者,應事前告知通報人。同時,DSA第20條與第23條所規範之申訴及帳號停權程序,均不得損及資料主體所享有之權利與救濟可能。
3.禁止誤導性設計模式(Deceptive design patterns):DSA第25條第1項規範,線上平台服務提供者不得以欺騙或操縱其服務接收者之方式,或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式,設計、組織或營運其線上介面,但DSA第25條第2項則宣示,線上平台提供者之欺瞞性設計行為若已受GDPR規範時,不在第25條第1項之禁止範圍內。指引指出,於判斷該行為是否屬 GDPR 適用範圍時,應評估其是否涉及個人資料之處理,及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充,區分屬於及不屬於 GDPR 適用之欺瞞性設計模式,以利實務適用。
4.廣告透明度要求:DSA第26條為線上平台提供者制定有關廣告透明度的規範,並禁止基於GDPR第9條之特別類別資料投放廣告,導引出平台必須揭露分析之參數要求,且平台服務提供者應提供處理個資的法律依據。
5.推薦系統:線上平台提供者得於其推薦系統(recommender systems)中使用使用者之個人資料,以個人化顯示內容之順序或顯著程度。然而,推薦系統涉及對個人資料之推論及組合,其準確性與透明度均引發指引的關切,同時亦伴隨大規模及/或敏感性個人資料處理所帶來之潛在風險。指引提醒,不能排除推薦系統透過向使用者呈現特定內容之行為,構成GDPR第22條第1項的「自動化決策」(automated decision-making),提供者於提供不同推薦選項時,應平等呈現各項選擇,不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間,提供者不得繼續蒐集或處理個人資料以進行剖析。
6.未成年人保護:指引指出,為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施,確保未成年人享有高度的隱私、安全與保障,相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。
7.系統性風險管理:DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險,包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒,GDPR第25條所設計及預設之資料保護,可能有助於解決這些服務中發現的系統性風險,並且如果確定系統性風險,根據GDPR,應執行資料保護影響評估。
EDPB與其他監管機關的後續?
EDPB的新聞稿進一步指出,EDPB正在持續與其監管關機關合作,以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引,包含《數位市場法》(Digital Markets Act, DMA)、《人工智慧法》(Artificial Intelligence Act, AIA)與GDPR的相互影響指引,正在持續制定中,值得後續持續留意。
在歐盟公布電子通訊網路的規範架構後,德國電信主管機關聯邦網路局Bundesnetzagentur(BNetzA)於2005 年10月11日提出寬頻接取批發市場的規劃草案,提案內容包含顯著市場力量(SMP)及寬頻網路市場的定義,不過卻將超高速網路接取(very high-speed internet access)排除在寬頻接取市場的定義之外,由於此將涉及德國在流量接取(bitstream)及寬頻接取市場的有效競爭,以及有可能影響具有顯著市場力量的德國電信公司(Deutsche Telekom)與後進電信業者建置VDSL基礎設施或提供寬頻多媒體服務的意願。因此此項草案在送交資訊社會媒體執委會後,引發了諸多爭論。多數委員認為如未將VDSL列入寬頻接取批發市場的定義中,將會導致其他業者無法以同一立足點與德國電信競爭。在BnetzA將VDSL列入市場定義,並允以流量作為批售基礎而重提規劃案後,歐盟執委會於2005年12月23日通過決議,同意德國的電信主管機關聯邦網路局Bundesnetzagentur(BNetzA)全面開放含VDSL在內的高速寬頻網路市場。
英國NCSC針對使用高風險供應商之電信網路提出風險管理建議英國於2020年1月31日正式脫歐,同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定(Free Trade Agreement, FTA)。然而,美國認定中國大陸華為的5G設備存在資安風險,可能被用於間諜活動進而威脅國家安全,故主張美英貿易合作與情報共享的前提,必須建立在英國排除使用華為5G網路基礎建設之上,對此英國嘗試透過政策研擬,在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心(National Cyber Security Centre, NCSC)於2020年1月28日,即針對使用「高風險供應商(High risk vendors簡稱HRV)」之電信網路,提出風險管理建議,說明如何因應HRV帶來的網路安全風險及挑戰(須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor,必須透過關鍵與否及風險高低兩個變動因素加以細部區分)。目前英國5G及光纖到戶(Fiber To The Home, FTTH)計畫推動處於關鍵階段,NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議,將有助於保護營運商免於外部攻擊,並降低英國電信網路的國家安全風險。 NCSC在報告中,針對何謂高風險供應商,及如何管理這些供應商帶來的特定安全風險,提出詳盡判斷標準包括:供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點:包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管,進而與英國法律相抵觸甚至進行外部指導等。 又為減少由HRV引起的網路安全風險,NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務,並將高風險廠商供應上限設定為35%,有效進行網路安全風險管理,平衡安全性風險和市場供應多樣化彈性需求。另外,其他具備敏感性的網路營運模式,例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統(BNG / BRAS)等,必須根據具體情況,對HRV進行限制;且不得在與政府營運或重要國家基礎設施,及任何與安全系統直接相關的敏感網路中使用HRV設備。目前,中國大陸華為是英國NCSC唯一認定的HRV廠商,華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制;華為亦需遵守NCSC要求,訂定風險緩解策略,確保產品及服務不致威脅英國網路即國家安全。
英國強化對揭露居住地址資料保護規定英國政府於2024年12月19日依據《經濟犯罪及公司透明法》(Economic Crime and Corporate Transparency Act)的授權,發布《公司及有限責任合夥企業(資料保護與揭露及相應修訂)辦法》(The Companies and Limited Liability Partnerships (Protection and Disclosure of Information and Consequential Amendments) Regulations 2024),該辦法已於2025年1月27日生效。 根據現行《公司(地址揭露)辦法》(Companies (Disclosure of Address) Regulations 2009),經營公司之個人應登錄並公開其個人資料,包含居住地址,以利利害關係人聯繫並確保其對業務負責。但公開個人資料,將導致詐欺和身分盜用之風險,因此現行《公司(地址揭露)辦法》規定於特定情形下,如經營公司之個人曾遭受家庭暴力,或從事警察、法官、議員等職務,得向主管機關申請保護其居住地址不對外公開。新辦法將進一步強化對個人隱私之保護,允許將居住地址作為公司註冊地址之情形,亦得適用前述居住地址保護之規定。此外,對於進行清算程序的公司,經營公司之個人亦得申請不公開其居住地址,惟為兼顧第三方權益,僅得於公司清算程序開始後六個月後提出申請,以便第三方對公司提起訴訟。 隨著科技發展,對於個人資料之保護日益重要,英國此次新辦法擴大居住地址保密適用情形,設法在隱私保護與利害關係人權益間取得平衡,其細緻化地衡酌資訊透明化及個人資料保護兩項基本原則之作法,或可成為我國未來在思考相關議題之參考。
美國2018年5月14日拜杜法修法生效,NIH同年10月因應修法公布對應修正的研發成果經費資助政策美國拜杜法案修改由美國商業部的國家標準暨技術研究院(National Institute of Standards and Technology;簡稱NIST)於2018年5月14日發布生效,美國各界稱此次修法案為新拜杜法或是2018拜杜法(new Bayh-Dole Act Regulations)。除此之外;國家衛生研究院(National Institutes of Health;簡稱NIH)也於同年10月公布對應修正的研發成果經費資助政策,並調整IEdison系統以符合新法規。本次修法釐清多項定義、減低法規負擔、解決受資助單位與資助單位共有發明的問題、簡化電子控管程序。修法內容簡要說明如下: 適用範圍不限組織規模,包括非營利機構、小企業、個人,並擴及大企業。 若聯邦雇員是研發成果的共同發明人,其所有權由聯邦資助單位擁有。 一連串時間修正。包括(1)聯邦政府取得研發成果所有權改為無時間限制(原來是60天)。(2)研究機構須在專利申請期限60天前回復聯邦不申請專利的決定(原來是30天)。(3)美國臨時案申請轉為正式專利申請案的時限改為10個月,因為還需要加上提前60天通知聯邦機構不申請專利。 研究機構有權在工作合約要求職員將研究發明權利讓與給研究機構。 最初專利申請的範圍擴及PCT申請以及植物發明品種申請(原本僅限專利申請以及臨時案申請)。