由Meta案看數位資料商業化面臨之跨國問題

於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。

針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。

2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。

目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。

本文同步刊登於TIPS網站(https://www.tips.org.tw/

相關連結
你可能會想參加
※ 由Meta案看數位資料商業化面臨之跨國問題, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9003 (最後瀏覽日:2024/05/21)
引註此篇文章
科法觀點
你可能還會想看
FDA公布修訂行動醫療APP指導原則

  美國於2015年2月5日公布修訂之行動醫療應用程式指導原則(Mobile Medical Applications, Guidance for Industry and Food and Drug Administration Staff),取代原先在2013年9月公布之版本。本次的修訂主要是將美國2015年2月9日公布之醫療設備資訊系統、醫療影像儲存設備、及醫療影像傳輸設備指導原則(Medical Device Data Systems, Medical Image Storage Devices, and Medical Image Communications Devices, Guidance for Industry and Food and Drug Administration Staff)規範納入其中。   2015年2月9日公布之醫療設備資訊系統、醫療影像儲存設備及醫療影像傳輸設備指導原則,擬降低FDA的管理程度,採用風險性評估方式,針對部分醫療設備資訊系統、醫療影像儲存設備及醫療影像傳輸設備等三種屬於第一級低風險之醫療器材,得不受ㄧ般管制,例如不需要登記、上市後報告及品質系統法規遵守等。原先,美國於2011年先將醫療設備資訊系統從第三級之高風險醫療器材,降低為第一級低風險之醫療器材,但經過長期間的使用經驗後,FDA認為,此等醫療器材設備在健康照護中十分重要,但相對於其他醫療器材,風險則較低,因此,將放寬程序。   行動健康應用程式亦可能歸類為上述之醫療器材,因此,為與上述的指導原則相符合,對於行動健康應用程式的審查亦作部分放寬。例如,當應用程式與資療資訊系統結合,而成為應受規範之醫療器材時,原先之規定為應進入醫療器材之規範程序,但新修訂之指導原則,則再放寬。僅將涉及積極的病人監測或醫療器材數據分析時,才需要回歸醫療器材之審查方式,其他醫療資訊系統若僅為儲存、傳輸等功能,而非主要提供診斷、治療等功能時,則可以不受醫療器材之規範限制,因風險程度較低,因此改由FDA視個案審查即可。為鼓勵相關產業的發展,FDA將風險性低之醫裁降低管理程度,其後續發展值得觀察。

德國禁種MON810爭議,行政法院裁定有理由,支持主管機關禁種決定

  跨國農業生技公司Monsanto研發的MON810品系抗蟲基因改造玉米,於今(2009)年4月中旬遭到德國農業生技的主管機關-聯邦營養、農業與消費者保護局(Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz, BMELV)援引歐盟基因改造生物環境釋出指令(EU-Freisetzungsrichtlinie)中的防衛條款,加以禁種。   雖然Monsanto隨即對BMELV此項決定提出行政訴訟,但Braunschweig行政法院在5月初作出的暫時性裁定,支持了BMELV此項決定。法院基於兩大理由,裁定BMELV之禁種決定並非無據:(1)只要有新的或進一步的資訊出現,支持基因改造作物可能會對人體或動物健康造成損害,即可支持主管機關作出禁止種植已經取得歐盟上市許可的基因改造作物之決定之論據,不需要存在有必然會有風險的科學知識。(2)據此論據進行風險調查及風險評估,乃主管機關之執掌,主管機關對此有裁量權(Beurteilungsspielraum),從而,法院介入審查該行政決定的重點,在於主管機關是否已為充分的風險調查、有無恣意論斷風險。本案目前尚非終局之決定,Monsanto仍可對於此項裁定提出抗告。   在歐盟,基因改造生物的上市需透過歐盟程序為之,一旦歐盟執委會允許某一基因改造生物的上市,該基因改造生物原則上即可在全體歐盟會員國推廣銷售,包括種植。唯歐盟環境釋出指令例外容許會員國得於一定條件下,援引防衛條款主張已通過歐盟審查的基因改造生物,對於其境內環境或人體與動植物健康有負面影響,從而禁止特定已取得歐盟上市許可的基因改造生物於其境內流通。防衛條款的動用屬例外情形,且須定期接受歐盟層級的審查。

美國國家安全局發布「軟體記憶體安全須知」

  美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下:   1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。   2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。   3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。   搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。

WhatsApp與英國ICO達成協議將停止與Facebook間之資料共享

  英國資訊專員辦公室(Information Commissioner's Office,簡稱ICO)在歐盟資料保護主管機關(European Data Protection Authorities) 針對WhatsApp與其母公司Facebook間進行資料共享之行為提出相關顧慮之後,於2016年8月就上開事件是否涉及違反英國資料保護法(Data Protection Act)啟動調查,調查結果終於在2018年3月14日出爐並且雙方達成協議。   ICO調查結果是WhatsApp並無正當且合法之理由與Facebook進行資料共享,惟並未對WhatsApp進行任何懲罰,原因乃是WhatsApp並未分享英國用戶之資料予Facebook,並未直接違反英國資料保護法,因為WhatsApp被定位在資料處理者(data processor),只要運作是合法的且不侵擾人們之人權,即可容許。不過WhatsApp仍向ICO承諾將停止分享其用戶個人資訊予Facebook,此協議將持續到GDPR生效為止,亦即此後WhatsApp與Facebook間之資料共享若符合GDPR之規範,則可在基於安全防護之目的下進行或是改善其產品與廣告行銷。   ICO調查專員Elizabeth Denham指出WhatsApp不應與Facebook間進行資料共享之理由有三:一、WhatsApp並未確認其與Facebook間所進行之個人資料分享係基於何種法律依據;二、WhatsApp並未向其用戶適當且公平地揭露其如何處理、分享用戶之資料;三、對於WhatsApp既有之用戶而言,WhatsApp與Facebook間資料共享之處理目的與當初WhatsApp獲取其用戶資料之目的,二者並不相符。   惟歐盟其他國家對於WhatsApp之處置可能不若英國寬容。例如,法國國家資訊自由委員會(Commission nationale de l'informatique et des libertes,簡稱CNIL)正對其採取執法行動,而漢堡資料保護與資訊自由委員會(Hamburg Commissioner of Data Protection and Freedom of Information)將案件提交到高等行政法院,該法院並已禁止Facebook使用從WhatsApp共享中所獲得之資料。

TOP