歐洲資料保護監督官12月7日發表正式意見,針對歐盟執委會就AFSJ大型資訊技術系統設立作業管理機構之立法計畫,提出隱私保護法律要求
歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日,針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫,基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過,該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。
根據EDPS首長Peter Hustinx表示,由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料,因此儘管設立單一之作業管理機構,可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題,但如此一機構欲取得合法性,其活動範圍及相關責任即必須在立法中獲得明確界定,否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析,Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。
此外,針對後續立法進程,EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ,亦或僅限於邊境檢查及難民與移民事務;執委會與該機構之關聯性與責任等重要問題外,是否可在缺乏相關經驗及實證評估下,即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄,顯然亦有商榷餘地。EDPS就此認為,透過立法界定「大型資訊系統」之範圍,並且採取資料庫分次進入該管理機構責任範圍之方式,應係日後執委會可以努力之方向。
美國司法部於今年六月底,就1941年實施至今,與「美國詞曲作者及出版商協會」(American Society of Composers, Authors and Publishers,ASCAP)及「廣播音樂公司」(Broadcast Music Incorporated,BMI)間的合意判決(Consent Decree),提出了新的解釋。司法部認為,在維護市場自由競爭的價值下,應該允許部分詞曲著作人授予全部的歌曲權利給單一集管團體。 在當今閱聽大眾習慣變化快速的年代,閱聽服務種類多元,使用人很有可能因難以取得全部歌曲權利而陷入侵權風險。司法部此舉可增進使用者授權便利性與完整性。 然而,新的解釋引來正反兩面不同的評價,部分數位音樂業者(如Pandora Media, Inc)認為,如此可提升消費者享受服務的便利性,亦可避免大型集管團體的壟斷與對於音樂授權市場的價格控制。反對聲浪則表示,如果單一權利人可授權全部的音樂著作權利給個別集管團體,會增加授權複雜程度,亦將造成集管團體彼此間授權費用分攤上的困擾;並且,大型音樂出版業者(如SONY/ATV)很有可能撤回對於集管團體的概括授權,這對於消費者來說無異是增加了取得授權的困難度,只是將壟斷力量由集管團體轉移至服務提供業者本身而已。亦有論者指出在授權透明機制建立以前,過度自由的授權模式將增加整個音樂視聽產業的內部管制負擔。 我國對於集管團體與音樂服務業者間關係,恐亦存在市場力量不均衡的問題,政府或應思考如何於「授權市場的公平競爭」、「社會大眾的閱聽權利」,以及「音樂產業的發展方向」三者之取,取得政府、人民與產業三贏的結果。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
歐盟個資保護委員會對英國個資傳輸適足性認定之意見英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。 2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見: 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。 但同時,EDPB也向歐盟執委會提出以下幾點注意事項: 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。 針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
巴西政府與美國藥商達成專利協定經歷十天的談判,巴西政府與美國製藥廠商 Abbott Laboratories終於達成專利協定。在此之前,巴西政府表示將開始製造一種主要抗HIV/AIDS藥物,Kaletra,的學名藥。此舉也造成製藥商的壓力,使其同意在今後六年降低Kaletra的價格,以維持該藥物在巴西的專利權,巴西也將得到Kaletra的下ㄧ代新配方。 巴西目前每年需給付約1.07億美金(約34億台幣)購買Kaletra,並免費提供給國內病患。 Abbort Laboratories 同意在不提高整體費用的前提下治療更多病患,為巴西節省超過2.5億美金。製藥商表示巴西是非洲之外取得最多價格讓步的國家。另外,若此藥物的專利權被破壞,製藥公司也將不敢投資進一步的研究。 此談判受到許多開發中國家的關注,在這些國家約有 3600 萬人感染 HIV 病毒。巴西政府在最後一刻改變心意,同意不破壞專利權的舉動,必定會激怒許多 HIV 遊說團體。這些團體一再敦促巴西政府破壞 Kaletra 之專利權。他們認為,根據世界貿易組織法則( World Trade Organization rules ),破壞該藥物專利權是合法的,並且有助於降低全世界抗逆轉濾過性病毒藥物的價格。
新近奈米科技智財法制之發展趨勢