日本公布資料信託功能認定指引ver1.0並進行相關實驗

　　德國聯邦最高法院（Bundesgerichtshof, BGH）於今（2020）年7月「VI ZR 405/18」」案中拒絕當事人請求Google刪除有關其健康個資之主張，為2018年歐盟通過一般資料保護規則（General Data Protection Regulation, GDPR）後，德國聯邦最高法院第一件與被遺忘權相關之判決。本案當事人曾為德國一慈善團體之負責人，該團體於2011年陷入財務危機，而當時有報導指稱當事人作為團體負責人，竟稱病不回應媒體訪談。當事人認為上述報導資料有損其名譽，請求Google刪除與其健康個資相關之搜尋結果。德國聯邦最高法院於判決中強調，網路搜尋結果是否須被移除，應衡量相關之基本權利，個案分別認定。本案中大眾知的權利（right to information）優於當事人被遺忘權，故駁回原告之請求，判決Google勝訴。 　　被遺忘權首見於2014年歐盟判決（Google Spain v. AEPD and Mario Costeja Conzalez），賦予人民要求搜尋引擎移除對自身造成負面影響資訊之權利。GDPR進一步於第17條明文化此一權利之內涵，於個資依原本蒐集之目的已不具必要性、當事人撤回同意、當事人反對個資自動化處理、當事人個資遭不法侵害、依照法律規定應刪除個資及青少年與兒童個資等六種情形，當事人得請求資料控制者刪除個資。 　　法國近期亦有被遺忘權相關法院判決。法國最高行政法院（Conseil d’État）於今（2020）年3月撤銷法國國家資訊自由委員會（Commission nationale de l’informatique et des libertés, CNIL）於2016年3月對Google作出十萬歐元之裁罰，因其僅刪除存在於法國網域內之當事人個資，而未及於全球網域。法國最高行政法院於本判決重申2019年歐盟法院（European Court of Justice）於Google v. CNIL之立場，認定Google履行被遺忘權之網域範圍僅適用於歐盟地區，而不及於全球，撤銷CNIL於2016年對Google作出之裁罰。

　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）於今（2010）年11月24日首次對違反資料保護案件開罰。 　　賀福郡理事會（Hertfordshire County Council）員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定，由於賀福郡理事會未能防止兩次資料外洩事件發生，導致嚴重損害，而在首次外洩事件發生後，亦未採取足夠的預防措施避免類似情況發生，因此裁定十萬英鎊之罰鍰。 　　另一家發生資料外洩事件的人力資源服務公司A4e，則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊，且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為，A4e並未採取適當措施避免資料外洩，且A4e允許其員工將未加密的筆記型電腦帶回家時，已知內含個人資料種類及數量，因此裁定六萬英鎊之罰鍰。 　　ICO表示，希望本次處罰能對於處理個人資料的機構有所警惕。 　　ICO今年4月被賦予裁罰權，至於裁罰的標準，則有裁罰指引（fine guidance）可參考。根據裁罰指引，若資料控制者（data controller）故意違反資料保護法（Data Protection Act），或可得而知可能違法之情形，卻未採取適當措施預防之，而可能造成相當損害時，ICO得處以相當罰鍰。

　　華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉，其旨趣，在於統一美國各州不同個資外洩通報法，並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 　　Pryor法案曾於2007年提出，惟當時未能通過，其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容，在要求處理及儲存消費者私人資訊，諸如「社會安全碼」〈social security numbers〉之企業，一旦發生資料外洩事件，需對國家提出通報，如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險，則應於發現個資外洩六十日內通知受影響之消費者。 　　Pryor法案之適用對象甚廣，故有認為，該法一旦通過，其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act，簡稱GLBA〉後的模範法典，其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉，但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 　　惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度，因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報，但對「損害門檻」並無明確定義。此外，受影響之企業似無實行適當風險評估之誘因，除需耗費大量成本評估外洩事件是否超過損害門檻外，尚需面臨企業名譽受損與客戶不滿之損失，在個資外洩要素風險指導原則付之闕如之情形下，企業恐無法客觀地評估自身個資外洩之風險。故有建議，解決之道，應明定損害門檻，並聘請外部專家或使用市場新工具，訂定客觀的指導原則，使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 　　就資訊安全部分，此法案揭櫫於其通過一年內，美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定，要求擁有或處理含有個人資料或契約之企業，必須建立並執行蒐集、使用、出售，及其他傳播、維持個人資訊之資訊安全政策，以達保護個人資料之目的。

　　對於歐盟執委會（European Commission）所提出的「歐盟電信法規改革案」，歐洲議會（European Parliament）下之歐盟產業、研究暨能源委員會（Industry, Research and Energy Committee ,ITRE）及內部市場消費者保護委員會（Internal Market and Consumer Protection Committee ,IMCO）已於2008年7月9日對相關議題進行投票，此兩委員會之投票對於該案內容之修整具有重大意義，惟須至9月3日歐洲議會完成全員的最終投票，屆時始揭曉此改革案內容之全貌。   　　由於歐洲目前具有支配力的通訊公司仍支配主要通訊市場，市場競爭面臨瓶頸，消費者的選擇也隨之下降；此外，各國間欠缺一致性規範，阻礙跨國經營及泛歐普及服務，業者亦無法面對來自歐洲外的競爭勢力，因此本改革案旨在建構通訊無國界之歐洲單一市場，歐盟執委會提出建議的主要內容包括：（一）通信費率及合約透明化，使消費者能充分選擇，縱使在一日間亦得自由轉換服務，也能在不同地點依較便宜價格選擇通訊業者，;（二）為促進競爭，對於具市場支配力量之業者，得採取「功能分離」（functional separation）措施，即將網路基礎設施與提供服務兩者分離；（三）利用新的通訊裝備來阻擋垃圾郵件及電腦病毒；（四）增加對網路基礎設施的投資，擴大能利用寬頻的區域，尤其是加強農業區域的通訊建設；（五）設置歐洲獨立的通訊管制機關，以強化各國通訊管制機構的合作。