一、請問新聞自由的意義及內容為何?新聞自由是否為憲法保障的基本權利?(15 分)廣電相關法規對於新聞表意自由和正確性有何規定?廣電相關法規想達到的監理目標和新聞自由權利應受憲法保障之間應該如 何權衡?(10 分)
二、何謂「個人資料保護法」?這個法律的目的是保護個人資料的什麼權? 何謂「一般資料保護規則(General Data Protection Regulation,簡稱 GDPR)」?請列舉兩者至少 3 項差異。(25 分)
GDPR
歐盟在數位人權保障上的重要法規最早可以雖溯至 1995 年的《資料保護指令》( Data Protection Directive,簡稱 DPD)。然而,當時僅為
一「指令」(Directive),沒有直接拘束力,且所謂的個資保護是由各會
員國依據該指令規範,各自制訂合適的國內法律並據以執行。在民眾資料跨境傳輸上,根據該指令第 25 條,跨境傳輸民眾資料採「互惠原則」(EUR-Lex, 1995),倘若第三國無法符合適當標準 (adequacy standard),則為保護歐盟民眾個人資料隱私,歐盟將採取必要措施防止將民眾資料轉移至該國。此項規定對於一向對隱私採取寬鬆政策、標榜資料經濟的美國而言,可能無法適應歐盟指令。為免會造成資料保護法規的差異,美國遂於 2000 年公布「安全港原則」(safe harbor principles) 文件,以作為美國企業接收歐盟傳輸過來的資料,需遵循之準則 ( 丁俊和,2019)。隨著歐盟單一市場發展的逐漸完整與完善,以及網路服務的普及,歐盟執委會 (European Commission) 遂於 2009 年開始進行討論,期盼能推動、協調適用歐盟全境對於資料保護的法規,以降低歐盟會員國在個資保護法規上的差異性。歐盟執委會隨後於 2012 年 1 月提出新版的《個人資料保護規則》(General Data Protection Regulation,簡稱 GDPR) 草案,同時藉此亦能促進打擊犯罪和恐怖主義的跨境合作。
2015 年 12 月 15 日,歐洲議會、理事會和執委會就新的資料保護規則
達成協議,並於 2016 年 4 月 8 日定稿法規內容,同年 4 月 14 日獲得
歐洲議會批准, 並設定兩年的緩衝期。GDPR 最後於 2018 年 5 月 25
日正式生效,成為一部相當完整且嚴格的歐盟隱私法規。
2018 年以來開始實施的歐盟 GDPR 共有 11 章,它與 1995 年建立的 DPD 最大不同在於,個人資料保護規則直接適用於歐盟全境,無須再轉換為歐盟各會員國的國內法;意即往後凡是與歐洲民眾有關之資料保護都必須受到此部法規的嚴格規範,以符合歐盟的隱私保護規範。歐盟還成立獨立委員會 -「歐盟資料保護委員會」(European Data
Protection Board)( 蔡柏毅,2017),經由發表意見(opinions)、準則(guidance)、公眾協商(public consultations)等 (EDPB, 2018),保持歐盟資料保護制度的跨國一致性。歐盟從規範企業團體 (Business) 與公民 (Citizens) 兩大部分著手,認為更嚴格的資料保護規範意味著,民眾可以更好地控制自己的個人資料保護隱私,企業亦能從公平的競爭環境中受益。
儘管 GDPR 被視為史上最嚴格的隱私法規,歐盟亦說明一些例外
情形。例如,該規範則並不適用於個人因為個人因素或在家中進行的
活動而處理的資料(purely personal or household activity),如果該行為與專業或商業活動無關。但如果在個人範圍之外,使用個人資料進行社會文化或金融活動時,就必須遵守此資料保護法。個人資料 (personal data) 指的是與已識別 (identified) 或可識別 (identifiable) 的生活個體有關的任何資訊,包含不同訊息的集合以識別出特定人員身份的資料,或是經由未識別、加密或使用假名仍可以用於重新標識個人的資料,則仍然屬於個人資料;皆在 GDPR 保護的範圍內。該規則亦說明此法規不適用於歐盟法以外治權領域之活動(outside the scope of Union Law),或者主管機關為維護及預防對於公共安全造成威脅所作之預防、調查、偵查或追訴刑事犯罪或執行刑罰之目的所為的個人資料處理 (Union Law,2016)。
在 GDPR 當中,最值得注意的是該法第 17 條所明列的「刪除權」
(right to erasure),或稱「被遺忘權」(right to be forgotten) (Union Law,2016),即希望加強個人對於個人資料保護的主動性。歐盟委員會認為透過行使被遺忘權,每個人便能自主控制個人資料保護隱私,阻止有關個人身份與資訊 (personally identifiable information) 的外洩或曝光。此次納入「被遺忘權」起源於 2010 年的西班牙 Google 案,當時一位西班牙公民以歐盟 1995 年 DPD 為依據,向當地保護個人資料的監管機構投訴,抱怨過去他曾因欠債而被政府下令拍賣資產的消息,即使在他後來已經還清債務,仍然能於網路上搜尋得到。他因此要求報社與 Google移除關於他個人資料的搜索結果,卻未能成功 ( 甄美玲,2016)。當地個資監管機構認為報社是受到政府部門的委託,才會合法刊登公告,因此報社無需移除相關資訊。但 Google 的搜索引擎業務屬於處理個人資料之活動,仍須受到 DPD 的規範。
Google 因此不服裁定提出上訴,西班牙法庭認為此事件需向歐盟
法院 (Court of Justice of the European Union) 尋求指示,才能正式審理該案件。歐盟法院遂於 2014 年 5 月做出裁決表示,Google 為「資料控制者」,因此其搜索引擎業務為處理個人資料之活動,仍需受歐盟指令規範;即使這些資料為合法發佈,當事人仍有權利要求 Google 移除第三者發佈之個人資料。 歐盟法院認為,依照《歐盟基本權利憲章》(EU Charter of Fundamental Rights), 「資料當事人」擁有隱私權 (privacy rights) 和保護個人資料之權利 (European Commission, 2012),這兩項權利高於 Google 營運的商業經濟利益和民眾獲取資料當事人個資之公共利益。因此,這位西班牙公民有權利要求網路搜尋業者移除或遮蓋事關個人的敏感資料。紀珮宜 (2017) 在其文章〈由歐盟資料保護規則論被遺忘權之爭議〉中,就曾經解釋歐盟「被遺忘權」之概念。 她指出,「被遺忘權」事實上一直存在於歐盟體系內,但長期以來各界對於此一權利之行使與落實產生許多爭議。例如,所謂「資料控制者」(data controller) 的定義與範圍過於廣泛,使得許多網路使用者皆可能落入此定義當中。此外,過去對於「被遺忘權的權利內涵與例外」的解釋始終存在爭議;若由資料控制者決定個案是否符合該條件或例外,將使資料控制者承擔過多負擔。另外,行使被遺忘權還可能導致個人言論表達自由受到侵害。
對於歐盟法院於 2014 年對 Google 案件的判決,紀珮宜認為該判
決說明「被遺忘權」雖然被確定為歐盟公民擁有的權利;然而,當時在歐盟執委會公布之草案、法院之判決、歐盟 GDPR 最終版本等,皆未能有效解決被遺忘權相關問題與爭議,致使能否真正落實被遺忘權以保障個人隱私,仍然備受質疑。針對歐盟 GDPR 中,對於被遺忘權之規定是否能解決相關爭議。紀珮宜悲觀地認為,即使是個人資料保護規則,仍然無法清楚定義資料控制者;至於被遺忘權的權利內涵與例外,雖然被直接列入條文當中,但應由誰來判斷個案情況是否符合條文規範並未明確指定。因此;被遺忘權與個人言論自由之間的衝突仍舊無法解決。該篇文章似乎點出為何歐盟執委會會在「個人資保護規則」正式實施兩年後,於 2020 年 6 月發布關於 GDPR 的評估報告當中,坦承法案難以全面實施,且可能造成企業負擔。
如同 McDermott (2017) 所言,歐盟對於資料保護的權利反映歐洲
法律秩序中固有的一些重要價值,即隱私(privacy)、透明(transparency)、自治 (autonomy) 與不歧視 (nondiscrimination) 原則。McDermott (2017)解釋,「隱私」本身就是一項基本權利,尋求資料保護的一種價值。
關於隱私權的涵義有不同的表述,從只涉及合理的隱私期望此種相對
有限的隱私概念到廣義的獨處的概念,甚至到更廣泛的觀點,認為隱
私權與個人身份的保護息息相關。他認為資料保護 (data protection) 顯然與個人身分保護有關;即使某些資料,例如民眾的醫療訊息,可能屬於對隱私的合理期望,但其他資料,如個人地址和電話號碼則不屬於此種範圍。「透明」的原則可見於 GDPR 第 58 條要求, 任何傳達予公眾或資料主體之資訊皆須簡潔、容易獲得且易於理解,以清楚簡單語言表示。資料保護的另一個重要價值則是個人的自治權,個人資料保護規則第7條指出,當事人應有其個人資料之控制權;且關於當事人、業者及公務機關之法及實務之安定性均應該提昇。「不歧視」原則體現在 GDPR 第 71 條,為確保對於資料主體之公平與透明的資料處理,於考慮個人資料處理之特定情況與脈絡時,資料控管者應於建檔時使用適當之程序、實施科技化、有組織的措施,以確保個人資料之得以更正及將錯誤風險降至最低,並應在考慮資料主體之利益與權利所受風險。同時亦須預防包含,但不限於種族、人種、政治態度、宗教信仰、貿易聯盟會員、基因或健康狀態、性傾向等理由對當事人之歧視下,保護個人資料 (Union Law, 2016)。
根據 GDPR,民眾個人資料的定義為能夠辨識出關於個人的任何
資訊與個人在網路上的相關資料,包含個人資料、Cookie、IP 位置、
行動裝置 ID、社群網站的活動紀錄等。該法規詳細明定資料當事人的
權利,並賦與資料當事人更正及刪除 (rectification and erasure) 資料的權利(第 16 條至第 17 條 ),亦規範個資的可攜權 (right to data portability)( 第 20 條 ) 與拒絕權 (right to object) ( 第 21 條 ) 等,清楚規定資料控制者與處理者的義務。在規範個人資料的跨境傳輸、政府監理體制、救濟措施等方面,無論是在歐盟營運的企業或跨國公司在歐盟的分支機構,凡是以歐盟市場為目標者都必須嚴格遵守此個人資料保護規則。企業亦需遵守歐盟個資保護規則中所規定的各項義務,強化對個資處理的安全水準,遵守跨境傳輸個資至歐盟境外第三國的規範。企業也須紀錄完善,確實執行個資管理計畫與執行個資保護之風險評估,設立「資料保護官」,若獲知個資受到侵害,資料保護官必須在 72 小時內做到通報與通知。
GDPR與我國資料保護法比較分析
歐盟資料保護一般規則(General Data Protection Regulation,GDPR)與我國個人資料保護法之重點比較分析 歐洲議會及歐盟理事會於2016年4月27日通過歐盟規則第2016/679 號「歐盟資料保護一般規則(General Data Protection Regulation,GDPR)」,將自 2018 年 5月25日開始施行,取代1995年制定之「資料保護指令(Data Protection Directive)」,藉以提升及確保對於歐盟境內資料當事人權利保護之一致性(特別是網路活動),並排除個人資料在歐盟境內流通之障礙。 GDPR 之架構及主要內容與我國個人資料保護法(下稱個資法)之重點比較分析如下:
一、規範對象與適用地域範圍
(一) GDPR: 第3條規範境外資料管理者及處理者對於歐盟境內資料當事人基於提供商品、服務或對於資料當事人在歐盟境內之行為監控所為之資料處理活動者,仍有該法之適用。惟有關域外適用效力之規定如何執行,仍待觀察。
(二) 我國個資法: 第51條規範我國之公務機關及非公務機關於境外對於我國人民個人資料之蒐集、處理及利用,亦適用我國個資法。
二、保護客體-個人資料之定義
(一) GDPR: 第4條規範有關識別或可得識別自然人之任何資訊,並明文涵蓋網路識別碼。
(二) 我國個資法: 第2條規範得以直接或間接方式識別該個人之資料,因此亦涵蓋網路識別碼。
三、資料處理之要件
(一) GDPR: 第9條規範禁止處理與民族或種族來源、政治見解、宗教或世界觀確信或所屬工會相關之個人資料,以及得明確識別特定人之基因資料、生物特徵資料,以及個人之健康資料或性生活或性傾向資料,惟基於公共利益等例外情形時允許處理。
(二) 我國個資法: 第6條明定病歷、醫療、基因、性生活、健康檢查及犯罪前科等6種特種個人資料,原則不得蒐集、處理或利用,僅於法定例外情形(如公務機關執行法定職務或協助公務機關執行法定職務等)方得為之。
四、當事人權利
(一)資料刪除權(被遺忘權)
1. GDPR: 第17條規範個人資料當事人有特定情事者,得請求資料管理者及處理者刪除連結。
2.我國個資法: 第3條及第11條賦予個人資料當事人於蒐集之特定目的消失或期限屆滿時,得請求資料保有者刪除其個人資料的權利。
(二)以可共同操作之格式提供資料(資料可攜權)
1. GDPR : 第20條規範資料當事人於特定情形,有權要求以結構的、通常使用的、機器可讀的形式,接收其提供予管理者之資料,並有權將之傳輸給其他管理者。依此,未來網際網路資料服務業者應提供使用者可將所儲存之個人資料以通用格式存取,並提供給其他業者之服務。此一概念立意良善,惟如何操作仍待相關子法補充規範。
我國個資法:我國個資法並無相關規範。
五、資料管理者之義務
(一)GDPR:
1. 資料保護評估(DPIA): 第35條規範於特別使用新科技之處理方式,且考量該處理之本質、範圍、使用情形及目的後,認為該處理可能導致自然人之權利及自由的高度風險時,控管者應於處理前,實行該處理對於個人資料保護之影響評估。
2. 資料保護長(DPO): 第37條規範 有下列情形之一者,管理者及處理者應指定資料保護長: a、 除法院行使其司法權外,公務機關或機構。 b、 管理者或處理者之核心活動,包括依其本質、範圍及/或其目的,需要定期且系統性地大規模監控資料主體。 c、 管理者或處理者之核心活動,涉及大規模處理特種個人資料。
(二)我國個資法: 第6條第1項但書第2款及第5款所稱適當安全維護措施、第18條所稱安全維護事項、第19條第1項第2款及第27條第1項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。而上開措施,依個資法施行細則第12條第2項規定,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。上開個資法及其施行細則規定,已就公務機關及非公務機關得採取之安全維護措施之程序及內容為例示規範,而各中央目的事業主管機關並可將上開安全維護措施項目列為例行性業務檢查之項目。
六、主管及監督機關
(一)GDPR: 第51條規範各會員國除法院及司法權外應設立至少一個獨立公務機關,監督GDPR之適用。
(二)我國個資法: 個人資料保護之行政管理採分散式管理,由非公務機關之中央目的事業主管機關執行下列權限,以確保個人資料保護制度之執行: 1.國際傳輸之例外禁止(個資法第21條)。 2.行政檢查權(個資法第22條)。 3.糾正權(個資法第25條)。 4. 指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,並授權由中央目的事業主管機關訂定辦法(個資法第27條第2項、第3項)。 5.行政裁罰權(個資法第47條至第50條)。
七、跨境傳輸
(一)GDPR: 就歐盟境內之個人資料原則禁止跨境傳輸至歐盟以外之地區或國家,須符合下列情形之一者,方得為之: 1.擬傳輸地區經評估具備「適當保護水平」(GDPR第45條) 。 2.資料管理者已提供適當保護措施 (GDPR第46條)。 (1)訂有具拘束力之企業守則。 (2)採用標準契約條款。 (3)訂有經核准之行為守則。 (4)取得資料保護認證或資料保護標章及標誌。 3.當事人明確同意(GDPR第49條)。 4.履行契約或依當事人要求,為締約前之必要措施(GDPR第49條)。 5.基於重要公共利益之維護(GDPR第49條)。 6.為主張、行使或防禦法律上之請求權所必要(GDPR第49條)。 7.基於保護當事人之重要利益所必要(GDPR第49條)。 8.依法辦理之登記作業,而向公眾提供資訊(GDPR第49條)。
(二)我國個資法 第21條就我國個人資料跨境傳輸至境外,雖原則上不禁止,惟非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之,亦得防止我國人之個人資料不當國際傳輸:
1.涉及國家重大利益。 2.國際條約或協定有特別規定。 3.接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。 4.以迂迴方法向第三國(地區)傳輸個人資料規避本法。
八、救濟與處罰
(一)GDPR: 第83條,違反GDPR規範者,最高得處以2,000萬歐元或其年度總營收4%之罰鍰,適用對象限於企業,未針對自然人或公務機關之違反行為制定處罰規範,而係委由各會員國自行訂定有效、適當且具懲戒性的罰則。
(二)我國個資法: 非公務機關違反個資法規定者,中央目的事業主管機關或直轄市、縣(市)政府得按次處新臺幣2萬元以上,20萬元以下;或5萬元以上,50萬元之罰鍰 (個資法第47條至第49條參照)。惟我國個資法第41條及第42條另定有刑事責任,併予敘明。
綜上,依GDPR之規範,其適用對象範圍,除歐盟境內設有分支機構之資料管理者及處理者之外,即便資料管理者或資料處理者於歐盟境內並未設立分支機構,但其在跨境提供商品或服務的過程中,如有蒐集或處理歐盟居民之個人資料者,仍應符合GDPR之規範要求,否則將受有鉅額罰鍰。此一適用範圍之擴張,對於我國電子商務產業及經營對外貿易之企業,勢必大幅提升其法規遵循成本,甚至形成貿易障礙。
關於GDPR之規範內容,在當事人之權利部分,除以往之資料查詢、複製、更正及刪除權之外,更進一步賦予當事人得請求資料管理者及處理者刪除連結(被遺忘權)、要求以可共同操作之格式提供資料(資料可攜權)等權利。在資料管理者部分,新增資料保護影響評估、資料保護長等制度。惟GDPR諸多新穎性規範,實務上究應如何運作,仍待歐盟第29條資料保護工作小組(Article 29 Data Protection Working Party)持續訂定規範加以補充,我國並應持續密切觀察GDPR施行情形以為因應借鑑。
三、112 年 6 月修正公告之「公職人員選舉罷免法」及「總統副總統選舉罷免法」部分條文修正案對大眾傳播媒體賦予什麼責任?對於選舉公平性 有什麼幫助?(25 分)
掃除黑金槍毒強化選賢與能
內亂、外患、貪污、賄選、危害國安、勾結境外勢力、組織犯罪、槍毒、洗錢等罪 終身不得參選。
保障人權
中華民國國民年滿20歲有選舉權,受監護宣告者亦同。
政黨多元管道表達政見
全國不分區及僑居國外國民立法委員選舉,政黨可使用電視從事競選宣傳或參加公辦政見發表會表達政見。
選舉廣告實名制
媒體或平台業者刊登或播送之選舉廣告應載明委託刊播者、出資者及其他相關資訊。
防杜境外假訊息
媒體或平台業者受託刊播選舉廣告時,應查證委託刊播者是否為境外勢力。
深偽影音即時處置
選前擬參選人、候選人得向警察機關申請鑑識,經鑑識具深度偽造情事,得請求媒體、平台業者依限停播、限制瀏覽、移除、下架等即時處置。
強化民調備載義務
選舉公告發布日起至投票日10日前,未備載出處資料或各式具民意調查外觀之選舉資料均不得發布、報導、散布、評論或引述。
選前禁止民調發布
投票日前10日至投票時間截止前,不得發布、報導、散布、評論或引述任何有關選舉民意調查資料。
加重選舉賭博刑責確保選舉品質
新增選舉賭博及經營賭盤罪名,加重其刑責。
四、公平交易委員會委員會議最近通過「公平交易委員會對於網路廣告案件之處理原則」修正案,將網紅等社群網站用戶納入規範,請問何謂廣告不實?這個新規範的內容為何?重視什麼消費者權益?(25 分)
https://www.ftc.gov.tw/upload/9-1080910-2.pdf