歐盟提出現行個資保護指令規範之修正草案

歐盟提出現行個資保護指令規範之修正草案

科技法律研究所
2013年10月07日

壹、事件摘要

  歐盟於1995年所制定之「個人資料保護指令」(Data Protection Directive,95/46/EC,下稱個資保護指令),其基本原則確保了歐盟會員國個人資料基本權利之保障,後續也成為國際相關立法時之參考依據。但由於個資保護指令制定時為框架式立法模式,歐盟各會員國仍須將相關規定內國法化,導致各會員國間對於個人資料保護標準產生差距。

貳、重點說明

一、立法緣起
  歐盟現行之「個資保護指令」是第一部解決關於個人資料處理與自由流通保護之指令,主要在於提供歐盟境內關於個人資料及隱私權保護之規定。但由於該指令使各會員國之規範不具統一性,且制定之時科技尚屬發展階段。為解決科技發展與各國形成之保護差距,歐盟執委會(European Commission)在2012年1 月25 日,向歐洲理事會(European Commission)及歐洲議會(European Parliament)正式提出「一般個人資料保護規則」(General Data Protection Regulation)草案共91 條。預計於2015年施行,並取代現行個資保護指令,全面並一致性適用於各會員國。

二、關鍵改變
  本次一般個人資料保護規則草案相較於現行個資保護指令,主要有資料當事人權利行使新增與強化、當事人同意要件標準提高、適用主體擴大、申訴權力強化、資料管理人資料保護責任之加重、損害賠償與相關罰則之規定等,並將各項規定更加明確化,以解決長期以來歐盟會員國間因保護水準不一所形成之衝突現象。

參、事件評析

  一般個人資料規則草案提出後,歐盟與英國分別針對新規則草案進行評估。歐盟執委會認為,新規則可協助歐盟境內解決長期以來因個資法保護水準不一所形成之衝突,進而為當地企業帶來約23億歐元之效益;但英國當地卻持反面見解,認為新法將使企業提高所需擔負之行政成本,且高規格之法遵要求也使資料管理人陷入難以遵守之情況,進而影響歐盟之競爭力。國際上激烈的討論聲浪與分歧之見解,也使得該規則草案自提出至今已一年多的時間,仍未正式拍板定案。

  歐盟於1995年制定之個資保護指令,自1998年生效之後,不僅在各會員國進行個資保護時扮演關鍵性角色,更為國際上個人資料保護或隱私保護之參考依據,其動向更為各國所專注與留意。而隨著時代轉變與科技演進,歐盟期許未來不只是在歐盟境內,更可將個人資料或隱私保護相關資訊與要求,擴及歐盟以外之國家,因而於2012年提出新規則草案,而後續相關發展,更值得我們持續留意跟進。

※ 歐盟提出現行個資保護指令規範之修正草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6343&no=64&tp=1 (最後瀏覽日:2026/07/06)
引註此篇文章
你可能還會想看
美國聯邦準備理事會、FDIC與OCC發布聯合聲明,提醒關於加密資產流動性風險

有鑑於加密資產(crypto-asset)投資交易潛在風險與市場波動性,美國聯邦準備理事會(Federal Reserve Board)、聯邦存款保險公司(Federal Deposit Insurance Corporation, FDIC)與通貨監理局(Office of the Comptroller of the Currency, OCC)於2023年2月23日發布聯合聲明,提出加密資產增加銀行流動性風險情境,例如穩定幣因市場狀況之變動,導致銀行擠兌使大量存款流出,由於存款流入和流出的規模與時間的不可預測性,加密資產相關資金恐造成流動性風險提高,提醒銀行機構應用現有的風險管理原則審慎因應。 依據聲明內容,有效風險管理作法包括:(1)了解加密資產相關實體存款潛在行為的直接和間接驅動因素,以及這些存款易受不可預測波動影響的程度;(2)銀行機構應積極監控加密資產資金來源存在的流動性風險,並建立有效的風險管理控制措施;(3)應與加密資產存款相關的流動性風險納入應變計劃(contingency funding planning),例如流動性壓力測試;(4)評估加密資產相關實體存款之間關聯性。該聲明並強調銀行機構應建立風險管理機制及維持適當有效之內部控制制度,以因應加密資產高流動性風險,確保經濟金融穩健發展。

新加坡國會於2020年11月通過個人資料保護法之修正案

  新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。   新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下: 透過組織問責制度,加強消費者之信任; 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率; 資料外洩時的強制性通知規定、責任(可參見26A條以下); 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下); 強化個人資料保護委員會的執法權限,提高執法效率; 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下); 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分) 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分) 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)

英國氣候過渡計畫小組公布氣候揭露報告框架的最終版本

英國氣候過渡計畫工作小組(Transition Plan Taskforce,以下稱TPT)於2023年10月9日公布其氣候揭露報告框架(TPT Disclosure Framework,下稱「框架」)最終版本及使用指引。TPT是英國財政部在2022年4月成立,負責建立氣候過渡計畫準則。TPT則於2022年11月提出框架草案,並開始徵詢產官學界意見,最後提出正式版本。 TPT框架建議企業以宏觀、有策略的方式制定氣候過渡計畫。TPT框架從企圖心、行動力和當責性三項原則出發,分別就五個必須揭露的事項說明如何在氣候揭露報告中呈現企業的氣候過渡計畫: 一、企圖心:說明企業的基礎事項,例如氣候戰略目標和商業模式。 二、行動力:說明過渡計畫的執行策略、以及擴大參與的策略。 三、當責性:說明將採用哪些指標與標的來監督計畫的執行、以及如何將過渡計畫融入企業的治理當中。 TPT也配合框架內容制定行業指引,目前已公布40個行業摘要(Sector Summary),簡述各行業可用的脫碳手段、指標與目標。未來還將公布針對銀行業、資產擁有者、資產管理者、電力公用事業和電力發電機、食品與飲料、金屬與礦業、石油和天然氣等7個行業的深度剖析(Sector Deep Dives)。 此外,TPT網站上也提供TPT框架與相關國際主流框架或準則之比較報告給各界參考,要使這套由英國自行開發、為英國內部量身打造的框架也能接軌國際,其未來實施成效值得繼續追踪觀察。

網路團結法:歐盟成員國針對加強因應網路安全能力達成共同倡議

歐盟成員國就《網路團結法》(Cyber Solidarity Act)草案於2024年3月達成臨時協議,目的是為了加強歐盟的團結以及偵測、準備和因應網路安全威脅事件的能力。 歐盟執委會(European Commission)提案的主要目標如下: (1)提供重大或大規模網路安全威脅事件的偵測和認識。 (2)強化準備、保護重要建設和必要服務。例如醫院和公共設施。 (3)加強歐盟的團結以及成員國之間有一致的危機管理與應變能力。 (4)最後,致力確保公民和企業皆有安全可靠的數位環境。 為了能快速且有效地偵測重大網路威脅,該法規草案建立了「網路安全警報系統」(cyber security alert system),這是一個由歐盟地區的國家和跨國界的網絡樞紐組成的泛歐洲基礎設施,將使用先進的資料分析技術以及時分享資訊,並警告有關跨境網路威脅的相關事件。 該草案亦建立網路緊急機制(cybersecurity emergency mechanism),以增強歐盟對網路安全事件應變的能力,它將包含: (1)準備行動:包含根據常見的危機情境和方法,測試高度關鍵部門(highly critical sectors)(醫療保健、運輸、能源等)的潛在漏洞。 (2)歐盟網路預備隊:係由經過認證且事先簽約的私人供應商所組成,在歐盟成員國及機構的請求下,對於發生大規模的網路安全事件進行干預及回應。 (3)財政互助:一成員國可以向另一個成員國提供援助。 最後,因應委員會及各國家當局的要求,研議中的法規建立了網路安全事件審查機制,事後對已發生的大規模網路安全事件進行審查、評估、汲取經驗,並提出一份建議報告,從而改善歐盟網路的態勢,以加強歐盟對此些事件的應變能力。 歐盟成員國此次的協議將進一步提高歐洲網路韌性,期能強化歐盟及其成員國在面對大規模網路威脅和攻擊時,能以更有效率的方式進行事前準備、預防以及提升事後從中恢復的能力。 網路安全事件是各國都會遇到的課題,《網路團結法》的發展與相關推動措施值得我們持續追蹤,以作為我國資通安全管理及網路資安事件應變機制之參考方向。

TOP