日本個人資料保護法修正案允許變更利用目的引發各界議論
日本國會於本會期(2015年1月)中,進行個人資料保護法修正草案(個人情報保護法の改正案)的審議。修正草案研擬之際,歷經多次討論,IT總合戰略本部終於在2014年6月公布修正大綱,後於同年12月公布其架構核心。
本次修正,主要目標之一,是使日本成為歐盟(EU)所認可之個人資料保護程度充足的國家,進而成為歐盟所承認得為國際傳輸個人資料的對象國;為此,此次修正新增若干強化措施,包含(1)設立「個人資料保護委員會」;(2)明訂敏感資料(包含種族、病歷、犯罪前科等)應予以嚴格處理;(3)明訂資料當事人就其個人資料得行使查詢或請求閱覽等權利。
本次修正的另一個目標,則是促進個人資料利用及活用的可能性。2014年中,日本內閣府提出「有關個人資料利活用制度修正大綱」,提倡利用、活用個人資料所帶來的公共利益,並指出,過往的法規僅建構於避免個人資料被濫用的基礎,已不符合當今需求,且易造成適用上的灰色地帶,應透過修法予以去除;未來應推動資料的利用與活用相關制度,來提升資料當事人及公眾的利益。本次修正因此配合鬆綁,允許符合下述法定條件下,得變更個人資料之利用目的:(1)於個人資料之蒐集時,即把未來可能變更利用目的之意旨通知資料當事人;(2)依個人資料保護委員會所訂規則,將變更後的利用目的、個人資料項目、及資料當事人於變更利用目的後請求停止利用的管道等,預先通知本人;(3)須使資料當事人容易知悉變更利用目的等內容;(4)須向個人資料保護委員會申請。
目標間的兩相衝突,使得該案提送國會審議時,引發諸多爭議。論者指出:允許在特定條件上變更個人資料的利用目的,雖顧全資料利用的價值,但似不符合歐盟個人資料保護指令對於個人資料保護的基準,恐使日本無法獲得歐盟認可成為資料保護程度充足的國家,亦徹底喪失此次修正的最重要意義。
本文為「經濟部產業技術司科技專案成果」
張乃文
主任 編譯整理
NIKKEIそんな個人情報保護法改正で大丈夫か? パーソナルデータ検討会(2015年1月22日),http://trendy.nikkeibp.co.jp/article/pickup/20150116/1062189/?rt=nocnt(最後瀏覽日: 2015年2月15日)
ロテレNEWS, 波紋呼ぶ個人情報保護法改正案(2015年2月6日), http://www.news24.jp/articles/2015/02/06/07268775.html(最後瀏覽日:2015年2月15日)。
雖然美國政府明文規定禁止聯邦政府機關使用長期性“Cookies”,但國家安全局(The National Security Agency, NSA)近日卻被發現將永久性“Cookies”放置於造訪該網站民眾之電腦之情形,且保存期限長達30年(直到2035年)。 所謂“Cookies”,指於使用者端紀錄該用戶造訪某一網站的過程與從事之活動,以使得下次進行相同網路瀏覽更為容易之工具。例如,透過Cookies紀錄的功能,使用者就可以將帳號與密碼記載於電腦中,再次造訪時即不用再次輸入帳號密碼以提供認證。 根據預算管理(Office of Management and Budget, OMB)於2000年公布之備忘錄Memorandum for the Heads of Executive Departments and Agencies(M-00-13)指出,聯邦政府機關除在於「必要需求」(Compelling need)下,不得使用長期性的“Cookies”。所有留在造訪民眾端的“Cookies”,必需隨著用戶關閉視窗而被消除。 NSA發言人Don Weber表示,NSA網站過去所使用的“Cookies”都是會隨者造訪者關閉網頁即刪除的暫時性“Cookies”,而這次之所以會產生長期性的“Cookies”留存在造訪者端,完全是因為NSA電腦系統更新不小心產生的,並非刻意用來作為監視使用者之工具。但民間團體則表示,這顯示了聯邦政府機關缺乏對於隱私權規範之認知,違反了國家最基本的隱私保護規範還不自知。 目前NSA已修正該程式,並清除了這些長期性的“Cookies”。
歐美貿易與技術理事會發表第6次聯合聲明,確保雙方於新興技術及數位環境之領導地位歐美貿易與技術理事會(EU-U.S. Trade and Technology Council,TTC) 2024年4月4日至5日在比利時魯汶舉行第6屆部長會議,依據會後聯合聲明,雙方針對數位轉型所帶來的機遇與挑戰,同意在新興技術和數位環境等面向促進雙邊貿易和投資、進行經濟安全合作,並捍衛人權價值。未來雙方將針對AI、半導體、量子技術和6G無線通訊系統等制定互通機制及標準,簡述如下: (1) AI技術:採取「風險基礎方法」(risk-based approach)實施「可信任人工智慧和風險管理聯合路徑圖(Joint Roadmap for Trustworthy AI and Risk Management),提高透明度以降低公民及社會使用AI的風險;更新關鍵AI術語清單(a list of key AI terms),減少雙方於概念認知上的誤差;承諾建立對話機制,以深化雙邊合作。 (2) 半導體:為促進半導體供應鏈韌性(resilience)與協調(coordination),將延長實施「供應鏈早期預警機制」(joint early warning mechanism)及「透明機制」(transparency mechanism)兩項行政安排,共同解決半導體產業市場扭曲、供應鏈過度依賴特定國家等挑戰。 (3) 量子技術:雙方將成立量子工作小組(Quantum Task Force),以制定統一量子技術標準,加速技術研發。 (4) 6G技術:雙方通過「6G願景」(6G vision),並對於未來研究合作簽署行政安排(administration arrangement),建立6G技術開發共同原則。 歐美雙方期望透過上述作法,促進半導體和關鍵技術研發和供應鏈多元化,以確保經濟安全及落實數位轉型,確保歐美於新興技術和數位環境之領導地位。
任意丟棄客戶資料 英國銀行因而違法有鑑於英國14家銀行及金融公司被發現有任意丟棄客戶個人資料而違反「資料保護法」(Dada Protection Act)的情形,英國資訊官辦公室(Information Commissioner´s Office,ICO)於2007年3月17日要求其中11家銀行及金融公司簽署一份承諾書,保證其將來在處理客戶資料時必當遵守資料保護法的規定。 資訊官辦公室次長表示,銀行及金融公司應該以嚴肅的態度來處理客戶資料安全性的問題,否則,他們不但要接受資訊官辦公室更進一步的資訊安全審核,而且還會失去客戶對其之信賴。再者,若這些組織仍不遵守其簽署的承諾書,除了可能對遭到行政罰外,甚至還可能需要負擔違反資料保護法的刑事責任。 除了資訊官辦公室,英國的金融服務局(Financial Services Authority,FSA)亦有權針對違反資料保護法規定之金融公司加以執法。今年2月,英國房屋抵押貸款協會(Nationwide Building Society)便在金融服務局的資訊安全審核中,因為其使客戶資料暴露在可能遭竊的風險下而被處以1百萬鎊的罰金。
何謂「國立研究開發法人」?國立研究開發法人為日本法制度下三種獨立行政法人類型的其中之一(其餘兩種為中期目標管理法人、與行政執行法人),任務乃是獨立於國家,發揮一定程度之自主性與自律性,從事在國民生活或社會經濟安定性等公益目的上所必要,但不須由國家為主體來執行的科學技術之實驗、研究與開發,並且這些科技研發業務,係基於具備一定中長期政策目標之計畫而進行,目的在於最大限度地確保得以提升國家科技水準、同時攸關經濟健全發展及其他公益的研發成果,並被期待產出得參與國際競爭的世界頂尖水準之新創科技,作為國家戰略的一環,同時專注於基礎科學與國家核心技術的研發。但在國立研究開發法人中,其所屬職員的身分並非公務員。 現在日本共有將近30個獨立研究開發法人,如日本醫療研究開發機構、森林研究‧整備機構‧新能源‧產業技術總合開發機構(NEDO)、國立環境研究所等。