歐盟個人資料保護工作小組就目的限制原則發表意見
2013年4月2日,歐盟個人資料保護工作小組(the Article 29 Working Party,以下稱「工作小組」),就目的限制原則(purpose limitation principle)發表意見書,檢視歐盟資料保護指令(Data Protection Directive)第六條所規定的目的限制原則,包括(一)資料的蒐集必須具有特定、明確與合法之目的,以及(二)資料的處理或利用必須符合資料蒐集時之目的。
另一方面,工作小組亦檢視目的限制原則對巨量資料(big data)與開放資料(open data)可能會造成的潛在衝擊:
1.就巨量資料的部分而言,工作小組界定了二個應用情境,一是分析巨量資訊,以分析辨識趨勢或資訊間的相關性,另一是直接影響個人(例如,對當事人的行為進行追蹤、分析、側寫,並據此進行廣告與行銷)。對此,工作小組認為,應給予當事人選擇的權利,另外,組織應揭露關決策標準,並且提供當事人之側寫資料。
2.關於開放資料,工作小組強調匿名化以及資料保護衝擊分析的重要性,以確保必要的安全措施。
工作小組提出兩項修正意見,包括(一)個人資料保護規則(General Data Protection Regulation)草案的第五條宜針對目的限制原則為更明確之規定,以及(二)刪除個人資料保護規則草案第六條第四項之規定。
日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊(下稱《手冊》)》,旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」,藉此將資料價值最大化,並將資料風險最小化。 《手冊》指出,資料驅動著社會發展,資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產,並透過制定相應的政策與規則,確保資料的品質與安全性。同時,考量資料具備易於複製、竄改且流通難以控制的特性,建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎,則仰賴適當且有效的資料管理機制,亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而,資料管理本身要能發揮效益,仍須依賴組織具備足夠的資料成熟度,即具備正確處理與應用資料的整體能力,方能系統性的落實管理與治理工作。 根據《手冊》內容,透過資料治理,企業或組織將能確保資料品質、透明度及安全性,並基於可信任的資料進行決策,進而有效提升決策精準度,實現風險管理與法規遵循,進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制,可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,作為制度設計與實務推動之參考,以強化資料治理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟發佈關於監督金融業之數據保護準則歐洲數據保護監督組織(European Data Protection Supervipsor,EDPS)發表「關於在歐盟監督金融業之數據保護準則」(Guidelines on Data Protection for Financial Services Regulation),以作為確保歐盟的數據保護規範,將被整合進正在發展中的金融政策與相關規定之實用工具。該準則為金融市場監督機制的一部分,在金融業對個人資料的處理上,特別是透過監控、記錄保留、回報、以及資訊交換這些存有侵犯個人資料和隱私權風險的措施予以規範。 該準則包含10項步驟與建議,旨在協助歐盟後續金融監督政策的制定,其中一些重要的建議如下: (1)應評估資訊之處理是否可能妨礙隱私權。 (2)應為數據的處理建立法律基礎。 (3)評估適當的資訊保留期限並給予正當化依據。 (4)建立個人資料傳輸至歐盟外的正當法律依據。 (5)提供個人資料保護權利的適當保障。 (6)衡量適當的數據安全保護措施。 (7)應為數據處理的監督提供特定之程序。 有鑒於2008年金融危機的影響,該準則透過提供一個能確保個人資料被妥善保護的有效方法,期以重建金融市場的信心。Giovani Buttarelli,作為新任歐洲數據保護監督委員,在一份伴隨準則釋出的聲明稿當中表示:「個人資料的價值已經隨著數位經濟的成長不斷增加,確保各行業的個人資料得以受到保護也益顯重要。歐洲數據保護監督組織(EDPS)計畫對不同行業制定相關保護規範,此準則是第一個發佈的。」
巴西通過290號規範性指令,促進已獲外國監管機構註冊之醫療器材於國內快速上市巴西國家衛生監督局(Agência Nacional de Vigilância Sanitária, Anvisa)為強化國際監管機構間信任,並促進具有臨床效益的健康產品快速流通,於2022年8月通過第741號合議理事會決議(Resolução da Diretoria Colegiada - RDC N° 741),宣布若已透過等效外國監管機構(Autoridade Reguladora Estrangeira Equivalente, AREE)–即具有與 Anvisa一致之監管方式的外國監管機構–認定符合公認之品質、安全性和有效性標準之醫療產品,可利用AREE的註冊或授權證明相關文件,於巴西當地申請上市註冊的過程中,獲得簡化審查的優惠措施。在此框架下,Anvisa於2024年4月4日通過第290號規範性指令 (Instrução Normativa - N° 290),內文指出醫療器材及體外診斷醫材產品可於2024年6月3日起,於註冊上市的過程中提交AREE之證明文件以進入簡審程序。 第290號規範性指令明確指出,目前獲巴西政府認可之醫療器材AREE及對應之註冊或授權證明,包含以下機構:(1)美國食品及藥物管理局(U.S. Food and Drug Administration, FDA)之上市前批准(PMA)、510(k)或De Novo;(2)加拿大衛生部(Health Canada, HC) 之醫療器材許可證;(3)澳洲醫療用品管理局(Therapeutic Goods Administration, TGA)之澳洲治療用品登記冊 ;(4)日本厚生勞動省(Ministry of Health, Labour and Welfare, MHLW)之上市前批准。另外,欲適用簡化程序的註冊產品,則需與AREE頒發授權證明之產品具有「本質上相同性」(Dispositivo Médico Essencialmente Idêntico),具體包含產品之技術規格、適應症、預期用途、製造商、製造流程,以及安全與性能上的一致性。 此政策透過值得信賴的監管單位把關,不僅可促進國際間醫療器材之貿易流通,更可能有效減少巴西當局於審查過程的行政成本,進而提升國內的產品審查效率。然值得注意的是,在各國醫療器材監管法規與行政裁量基準不完全一致的現況下,各國政府對於醫療器材之分類、臨床數據及健康風險的解釋與判斷結果也不見得相同,Avisa未來在醫療器材上市審核的過程中,將如何看待及利用來自AREE之證明文件,有待未來持續觀察其實施成效。