巴西政府公布個人數據保護法草案
巴西政府於2015年1月28日公布個人資料保護法草案(Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection),該草案適用於個人和通過自動化方式處理個人資料的公司,惟前提是(1)處理行為發生在巴西或(2)蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料,包括資料保護義務和要求:
一、企業必須使資料當事人能夠自由的、直接的,具體的使當事人知悉並取得人同意以處理個人資料。
二、除了在有限的例外情況下,禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險,並有具體的同意。敏感的個人資料包括,種族和民族淵源,宗教,哲學或道德信仰,政治觀點,健康和性取向資料,以及遺傳數據。
三、資料外洩時有義務立即報告主管機關。
四、當個人資料是不完整,不準確或已經過期時,允許資料當事人查詢他們的個人資料並更正之。
五、不得提供個人資料給資料保護水平不相似的國家。
六、有義務依比例原則採取安全保障措施以處理個人數據,防止未經授權的訪問,破壞,丟失,篡改,通訊或傳播資料。
蕭崴仁
法律研究員 編譯整理
Brazil Releases Draft Personal Data Protection Bill, available at https://www.huntonprivacyblog.com/2015/02/articles/brazil-releases-draft-personal-data-protection-bill/ (last visited Feb. 16, 2015).
Brazil: Public Consultation - Regulation of the Brazilian Internet Act and Bill of Law on Personal Data Protection, available at http://www.tozzinifreire.com.br/en/news/intellectual-property-ittelecom-news/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=View-Original (last visited Feb. 16, 2015).
德國聯合內閣最近就研議中的風險資本參與法(Wagniskapitalbeteiligungsgesetzes, WBG)之規範重點達成共識;聯邦經濟及技術部部長隨即對外表示,本法對於德國年輕的創新型企業意義非凡,蓋風險資本乃是創新與科技公司籌資的重要管道,WBG之制定是希望能創設成一個可以吸引國際風險資本在德國投資的法規環境。 根據協議內容,WBG以資本額在2千萬歐元以下、設立年限十年以下的公司為適用對象,據此,不僅是設立初期的公司可以籌募到風險資本,處在成長期需要大量資金的公司亦將可以獲得風險資本的挹注。此外,WBG也將規定,提供風險資本的創投公司(Wagniskapitalgesellschaften)未來將被視為資產管理者,其對於創投基金(Beteiligungsfond)提供資產管理服務之行為,將不會被課徵營業稅。 根據德國政府規劃,從法制面鼓勵創新與科技公司之設立,應採三軌並行:首先是創設吸引國際風險資金的投資環境,使創新與科技公司更容易取得所需資金,此即WBG之立法目的所在;其次,未來將進一步藉由開放投資管道,確保中小企業籌資之機會,因此有必要修正現行之投資企業法(Gesetz über Unternehmensbeteiligungsgesellschaften);最後將進一步制定投資風險規制法(Gesetzes zur Begrenzung der mit Finanzinvestitionen verbundenen Risiken),管控投資風險。透過上述措施,可望為創新與科技公司之設立奠定良善之基礎,增加此類型公司設立的數目。 德國內閣預計將在今(2007年)夏正式提出WBG之草案,與此同時,也將配套提出投資風險規制法之規範重點,並一併修正投資企業法,若WBG可順利經國會審議通過,最快將可自明(2008)年1月1日起生效適用。
歐盟佐審官建議修正與加拿大之「航空乘客個人資料共享協議(草案)」,以維護人權歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見,認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案,檢視與歐盟憲章有關規範之一致性。 [背景] PNR協議草案於2010年5月開始協商,2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外,歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題,歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 佐審官認為,協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊,未違反歐盟憲章;然PNR協議草案仍有部分內容違反歐盟憲章:即草案允許歐盟、加拿大主管機關使用乘客姓名等數據,已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案,隨後雖起草隱私保護協議(Privacy Shield),但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出,可窺歐盟關於隱私保護之立場。
技術移民範圍放寬未來我國的技術移民政策,將放寬不再侷限於以往所重視的「高科技人才」者。內政部戶政司表示,該政策目的之改變,乃是參照了美國 、加拿大、澳洲及紐西蘭等國為促進該國經濟發展,創造就業機會,分別訂有投資移民的相關規定,供有意移民該國之外籍人士申請。 修正條文第25條第3項:外國人有下列情形之一者,亦得以向入出國及移民署申請永久居留:一 、對我國有特殊貢獻;二、為我國所需之高級專業人才。第4項:外國人得向入出國及移民署申請在我國投資移民,經審核許可且實行投資者,同意其永久居留。 因此,為了趨近國際化的趨勢,在本次的「入出國及移民法修正草案」中,將過去偏重於「高科技人才」的引入,擴大為「高級專業人才」;並且新增「投資移民」之外國人得以直接申請永久居留,以滿足多元化的經濟與社會需要。至於「大陸技術人才」亦視為外籍技術人士看待。
歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。 個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。 此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。