英國政府宣佈將內化歐盟電子通訊隱私指令,訂定cookie相關規範

  歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)針對cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,於2009年修正,將在今年在5月25日之前全面施行。歐盟跟據該項規定,要求業者,當其使用cookie追蹤網路使用者的使用行為時,必須取得網路使用者的「明示同意」,且每隔一年,業者皆必須重新取得該項「同意」,網路使用者亦得隨時撤回。實務上對於該項同意究竟應由業者「主動」要求,亦或「被動」等待網路使用者以允許cookie設置方式而直接視為同意,仍有爭議。

 

  儘管如此,英國政府仍已決定內化該指令,制定其國內cookie設置規範。英國資訊委員會(Information Commission)將提出指導原則,協助業者遵循該規範。相關政府單位,亦已開始著手協助業者重新設定網頁瀏覽器。有關當局表示,英國政府將會在歐盟限定的期限內推動此規範,不過,該歐盟指令係強制規範,業者是否能在短期內完成該規範遵循仍有疑議。針對此點,英國政府已通令其資訊委員會,對於已著手改正其隱私規範並重新設置瀏覽器的業者,即便未於期限內完成該規範遵循,亦不受罰。英國未來實施的cookie設置規範究竟會如何發展,仍待觀察。

相關連結
※ 英國政府宣佈將內化歐盟電子通訊隱私指令,訂定cookie相關規範, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=5428 (最後瀏覽日:2024/02/28)
引註此篇文章
你可能還會想看
歐洲現正規劃研提「負責任奈米研究」執行規範

  奈米科學及奈米技術具有促成技術﹙enabling technologies﹚的特性,具有多元應用潛能,一般期待其能為許多領域﹙例如化學、材料科學、健康、以及能源等﹚帶來永續利益。其中,研究是這項目標中最重要的環節,一方面能發展出有產業應用價值的新技術,另一方面也可以調查奈米科技的潛在風險並建立妥適的控管措施。   為了營造安全且負責任的奈米科技研發環境,並為安全且負責任之應用及使用鋪軌,歐盟執委會﹙European Commission﹚正在規劃研提一個關於負責任奈米科技研究相關的自願執行規範﹙voluntary code of conduct﹚。   本執行規範將採用由歐盟執委會推薦﹙recommendation﹚的方式,由其邀請各會員國、產業界、大學、資助機構﹙funding organizations﹚、研究人員及其他與此相關的利害關係人次來執行。歐盟執委會本身也會將此項原則落實在相關研發政策當中。目前,歐盟執委會在今﹙2007﹚年7月9日至9月21日將對外進行諮詢﹙consultation﹚,所收集到的各項意見會作為本執行規範的基礎。

歐盟個資保護委員會公布GDPR裁罰金額計算指引

歐盟個人資料保護委員會 (European Data Protection Board, EDPB)在徵詢公眾意見後,於今(2023)年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」(Guidelines 04/2022 on the calculation of administrative fines under the GDPR)。此一指引,旨在協調各國資料保護主管機關(Data Protection Authorities, DPAs)計算行政罰鍰的方法,以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」(Starting Point)。 時值我國於今(2023)年5月29日甫通過《個人資料保護法》之修法,將違反安全措施義務的行為提高裁罰數額至最高1500萬,金額之提高更需要一個明確且透明的定裁罰基準,因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟,說明如下: 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時,應分別裁罰;而如以一行為因故意或過失違反數GDPR規定者,罰鍰總額不得超過最嚴重違規情事所定之數額(指引第三章)。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別,並界定不同級別的起算金額範圍,個案依照違反GDPR行為嚴重程度決定金額範圍後,尚需考量企業的營業額度以定其確切金額作為裁罰數額起點(指引第四章)。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額(指引第五章)。 4.針對各違反行為,參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額,而是對不同違反行為規範了裁罰最高額度上限,EDPB提醒,適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制(指引第六章)。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰,必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則,而予以相應調整裁罰額度,而如果有客觀證據表明裁罰金額可能危及企業的生存,可以考慮依據成員國法律減輕裁罰金額(指引第七章)。 EDPB重申其將不斷審查這些步驟與方法,其亦提醒上述所有步驟必須牢記,罰鍰並非簡單數學計算,裁罰金額的關鍵因素應取決具體個案實際情況。

新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引

  考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。   依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。   由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。   此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。

美國加州日前開始審查輕量自動駕駛運輸載具應用之測試申請

  美國加州行政法辦公室(the Office of Administrative Law)於2019年12月17日宣布,根據日前通過之修訂規範,該州車輛管理局(the Department of Motor Vehicles)將審查州內公共道路上進行輕型自動駕駛(下稱自駕)運輸服務商業化應用測試之申請,換言之,業者如取得車輛管理局之核准,可以測試重量未達10,001磅之自駕運輸車輛(如一般客車、中型貨車、可載運雜貨類商品的客貨兩用車等)服務。另外,業者如欲就該自駕運輸服務收取運輸費用,則必須另向車輛管理局申請佈署(deployment)許可,即商業化或供公眾使用之許可。   不論何種自駕運輸車輛服務之測試,均須遵循現行測試、佈署之申請程序要求,並根據車輛管理局的核准內容進行有或無安全性駕駛人(safety driver)的自駕運輸服務測試,簡要整理不同規範要求如下: 如為有安全性駕駛人之測試與應用,有以下要求: 證明車輛已經曾在符合應用目的之情境(如駕駛環境)下進行測試。 維持測試駕駛人(test driver)的培訓規劃,並且證明每位測試駕駛人均完成培訓。 確保測試駕駛人維持潔淨(clean)的駕駛記錄。 確保測試駕駛人在測試期間乘坐在駕駛座上監控車輛的運行狀況,並在有需要的時候可以即時接管車輛。 須提交年度脫離(或譯為解除自駕)報告(disengagement report),且如有發生碰撞,須於10日內提交碰撞報告予車輛管理局。   如為無安全性駕駛人之測試與應用,有以下要求: 提供測試自駕運輸服務所在地方當局之書面通知以茲證明。 證明自駕測試車輛符合以下要求:   (1)車輛與遠端遙控操作者間具有通訊連結。 (2)車輛與執法部門間的通訊方式。 (3)製造商將如何監控測試車輛之說明 提交一份與執法部門如何互動交流的計畫。 證明自駕測試車輛符合聯邦機動車輛安全標準(FMVSS),或提供國家公路交通安全管理局(NHTSA)之豁免監管證明。 證明自駕測試車輛可以在沒有駕駛人存在的情況下可以自主運行,並屬於美國汽車工程師協會(SAE)標準等級4、等級5之車輛。 證明測試車輛已經曾在符合應用目的之情境(如駕駛環境)下進行測試。 通知車輛管理局將要測試營運的區域範圍。 維持遠端遙控操作相關培訓規劃,並證明每位遠端遙控操作者均完成培訓。 須提交年度脫離報告,且如有發生碰撞,須於10日內提交碰撞報告予車輛管理局。   如自駕運輸服務擬商業化或供公眾使用,申請佈署之相關要求如下: 證明車輛:   (1)配備自駕車輛資料紀錄器,此技術是根據加州車輛法規(California Vehicle Code)設計來偵測並反應道路實際狀況 (2)符合聯邦機動車輛安全標準或提供國家公路交通安全管理局之豁免監管證明。 (3)符合現行關於網路攻擊、非經授權侵入或錯誤車輛控制指令之防護、偵測與回應等產業標準。 (4)製造商曾進行測試與驗證,並有足夠信心將車輛佈署於公用道路上。 提交一份與執法部門如何互動交流的計畫複本。 如果車輛不需要駕駛員,製造商必須證明其他事項:   (1) 車輛與遠端遙控操作者間具有通訊連結。 (2) 當碰撞事故發生時,車輛可以顯示或傳輸相關資訊予車輛所有人或操作員。   綜上所述,若要在加州進行自駕運輸車輛服務測試,須視其服務型態及是否涉及佈署,以遵循不同規範要求,申言之,服務採行有無安全性駕駛人與是否商業化或供公眾使用,二者為併行關係,舉例來說,如業者擬佈署有安全性駕駛人之商業運輸服務,則須同時符合有安全性駕駛人之測試與應用以及佈署等要求。加州對於自駕車輛運輸服務商業化之措舉,值得我國借鏡以完善自駕車輛運輸應用之推動。

TOP