歐盟理事會將嚴格執行資料保護基本權
歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。
是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。
依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰:
(1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。
(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。
(3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。
(4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。
六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。
- Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such
- Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document
- Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected
林其樺
專案經理 編譯整理
Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected, http://www.passwordprotectedlaw.com/2015/05/strong_eucouncil_enforcement/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=View-Original (last visited May 29, 2015 )
Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document, http://www.out-law.com/en/articles/2015/may/three-tiered-system-of-data-protection-fines-being-considered-by-eu-law-makers-says-leaked-document/ (last visited May 29, 2015)
Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter VIII, COM/2012/011, available at http://www.statewatch.org/news/2015/may/eu-council-dp-reg-chap-VIII-8371-15.pdf (last visited May29, 2015)
加拿大的身份盜用問題嚴重,根據Canadian Council of Better Business Bureaus估計,每年因身份盜用所造成的經濟整體損失超過二十億加幣。此外,去年十一月Ipsos-Reid的調查顯示,73%的加拿大人擔心身份盜用問題,且28%的加拿大人曾親身遭遇、或是有周遭認識之人因此受害。 然而,與身份盜用猖獗的現況相較,加拿大個人資料和隱私保護法制一直飽受批評,被認為無法遏止此一問題擴散。加拿大資料安全之基礎規範為「個人資訊保護與電子文件法」(Personal Information Protection and Electronic Documents Act),但以具有重要嚇阻效果的刑法而言,卻只處罰濫用他人身份資訊,如身份詐欺、冒用、偽造等行為,但對於初步蒐集、處理和盜賣身份資訊之行為,卻難以透過現行刑法規範。 身份盜用可能造成的影響層面相當廣泛,例如個人的財務和信用損失、商業或財金產業的損失,甚至是整體納稅人的傷害。 職是之故,加拿大勞工部、魁北克經濟發展部等政府首長乃宣布,聯邦政府有意推動刑法之修改,使檢警對於先期身份盜用(或違法資料蒐集)之行為,有更大的調查和追訴空間,並希望此一政策方向能獲得國會的後續支持。
美國食品藥物管理局發布《人類細胞及基因製劑生產變化及可比性試驗》指引草案—建構再生醫療產品品質要求美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)綜整近20年產官學研的建議,今年7月發布《人類細胞及基因製劑生產變化及可比性試驗》(Manufacturing Changes and Comparability for Human Cellular and Gene Therapy Products)指引草案,提供細胞及基因製劑(含組織工程產品)製造商執行可比性試驗依循的標準,做為實際運作上的參考。US FDA並強調若臨床開發與製程開發同步,將會使產品品質提升、產品供應增加或製造效率提高,讓國內外申請商申請新藥臨床試驗(Investigational New Drug, IND)及上市許可有明確的遵循方向。 之所以會需要有此指引的提出,乃是因為現今全球評估生物製劑原料藥或成品在製造品質變更前後的比較,需提供可比性試驗報告,做法上都是參考2004年國際醫藥法規協和會(International Council for Harmonisation of Technical Requirements for Pharmaceuticals for Human Use, ICH)公布「生物製劑可比性試驗」(ICH Q5E Biotechnological/biological products subject to changes in their manufacturing process: comparability of biotechnological/biological products)指引,但主要適用對象為蛋白質藥品及其衍生物,並不完全適用細胞及基因製劑。 可比性試驗的目的是確保化學製造管制(Chemistry, Manufacturing, and Controls, CMC)變更前後的原料藥或成品,品質需具有高度相似性,才可引用之前的CMC或IND的資料;如果使用的細胞種類、病毒載體及組織工程產品等重大改變,已嚴重影響原料藥或成品的品質,不適用目前的可比性試驗,需重新申請IND或上市許可,將造成申請商需要投入更多的成本,影響產品上市時程。 細胞及基因製劑屬於新興療法,其可比性試驗的審查迄今全球並沒有明確的規範,都是參考ICH Q5E建議,而FDA發布本指引草案正向表列細胞及基因製劑,其驗證確校、安定性及批次變更的可比性依據。讓業者可依循本指引草案,加速細胞及基因製劑的開發、IND申請及產品上市,提升生醫產業的發展。 「本文同步刊載於 stli生醫未來式 網站(https://www.biotechlaw.org.tw)」
新加坡正式推動金融服務與市場法案,加強對新型態金融服務產業之監管力度新加坡為全球性商務金融重鎮,影響全球金融市場甚鉅,其法制變革具有指標性意義,近年來新加坡政府針對電子支付、數位代幣領域加強監管,於2017年新加坡金管局(Monetary Authority of Singapore, MAS)發布「數位代幣發行指引」;2019年通過「支付服務法」(Payment Service Act),規定從事付款業務之單位,皆須先取得許可執照。新加坡國會更於2022年4月5日三讀通過「金融服務與市場法」 (Financial Services and Markets Act),旨在促使金管局得更有效率因應、監管當今變化快速、逐漸數位化之金融市場。 該法規主要著眼於金管局對於金融業中數位代幣及加密貨幣業者之控管,並使合法之加密貨幣業者更具競爭優勢。首先明定受規範之相關金融機構或特定個人,若其具違法情事,金管局得對其發布禁制令(Prohibition Order);對於得受禁制令之主體及其涵蓋範圍,相較於過去其他法案更為擴張。 在主體方面納入「數位代幣服務供應商」(Digital Token Service Providers),以防止洗錢、進行資助恐怖主義之活動或其他金融犯罪行為,禁制令可視違法者之情節嚴重程度,而區分禁制期間為特定時間或至永久。此外,金管局亦得於特定情形下,評估要求相關金融機構進行強制股份轉讓或重組。 綜上,可以知悉新加坡當局有意對新興型態之金融模式進行有效監管,雖可能被認定與過去寬鬆、開放市場之控管機制背道而馳,惟面臨如此多元且發展快速之金融市場,著實有不斷將法規進行修正,以靈活配合當下金融趨勢及發展之必要性。
世界經濟合作暨發展組織(OECD)修正「隱私保護及個人資料之國傳輸指導指引」1980年09月發布的「隱私保護及個人資料之國傳輸指導指引」,當中的8大原則對個人資料保護的法制產生深遠的影響,但隨技術發展,資料傳遞所產生的風險遠較於1980年代來得複雜。2013年所發布的內容,風險管理及為全球資料流通的互動性為兩大主軸,因此,在指引中納入新的概念,包含1.國家隱私策略:有效的隱私法制是不可或缺的,但在今日國家應該將隱私保護放在更高的戰略位置、2.隱私管理程序:(以個人資料)為核心服務的機制應系統化的保護隱私、3.資料安全漏洞通知:涵蓋有權者及各別個體的通知。 在指引第一章附件的第三部份-責任的履行,增加資料控制者(data controller),應有管理程序以符合上述的原則,該管理程序需包含資料風險的評估、內部監控、通知主管機關等要求;第五個部份-國家實施則新增加隱私主管機關的設立、考量不同角色(如:資料控制者)所應遵循的行為、考量其它的配套措施,如技術、教育訓練等。 在OECD的成員國,如:日本,已開始向該國國內說明2013年版的指引,但亦有部分會員國,如:加拿大,由於指引涵蓋公部門及私部門,加拿大亦討論如何與該國的資訊近用法(Access to Information Act) 及隱私權法 (Privacy Act)建構一個完善的適用模式。指引對於未來國際資料傳輸及管理程序的建置,必然產生結構性的影響,值得持續關注。