歐盟理事會將嚴格執行資料保護基本權
歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。
是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。
依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰:
(1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。
(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。
(3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。
(4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。
六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。
- Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such
- Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document
- Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected
林其樺
專案經理 編譯整理
Paul Van den Bulck, EU Council Confirms the Forthcoming Strong Enforcement of Fundamental Right to Data Protection, Password Protected, http://www.passwordprotectedlaw.com/2015/05/strong_eucouncil_enforcement/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=View-Original (last visited May 29, 2015 )
Out-Law, Three-tiered system of data protection fines being considered by EU law makers, says leaked document, http://www.out-law.com/en/articles/2015/may/three-tiered-system-of-data-protection-fines-being-considered-by-eu-law-makers-says-leaked-document/ (last visited May 29, 2015)
Council of EU, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Chapter VIII, COM/2012/011, available at http://www.statewatch.org/news/2015/may/eu-council-dp-reg-chap-VIII-8371-15.pdf (last visited May29, 2015)
加拿大交通部(Department of Transport Canada)於2019年1月發布「加拿大自駕系統安全評估(Safety Assessment for Automated Driving Systems in Canada)」文件,該文件將協助加拿大企業評估其發展高級(SAE第三級至第五級)自駕層級車輛之安全性,並可與美國相關政策進行整合。該文件指出,因相關技術尚在發展之中,不適合使用強制性規範進行管制,因此將利用引導性之政策措施來協助相關駕駛系統安全發展。加拿大交通部於文件中指出可用於評估目前自駕車輛研發成果之13種面向,並將其分類為三個領域: 自駕技術能力、設計與驗證:包含檢視車輛設計應屬何種自駕層級與使用目的、操作設計適用範圍、物件及事件偵測與反應、國際標準、測試與驗證等。 以使用者為核心之安全性:包含安全系統、人車界面與控制權的可取得性、駕駛/使用人能力與意識教育、撞擊或系統失靈時的運作等。 網路安全與資料管理:包含管理網路安全風險策略、售後車輛安全功能運作與更新、隱私與個資保障、車輛與政府分享之資訊等。 加拿大交通部鼓勵企業利用該文件提出安全評估報告並向公眾公開以增進消費者意識,另一方面,該安全評估報告內容也可協助加拿大政府發展相關安全政策與規範。
歐洲藥物管理局修正發布「藥品交互作用試驗指針」提升用藥安全與效用歐洲藥物管理局(European Medicines Agency, EMA)今(2012)年7月6日修正發布「藥品交互作用試驗指針」(Guideline on the Investigation of Drug Interactions),EMA表示這是該指針自1997年發布以來最大的修正,內容包括藥廠如何進行新藥與已經流通使用的藥品的潛在交互作用研究,以及新藥與食品的交互作用研究。 「藥品交互作用試驗指針」內容包括用藥建議方案,其乃基於臨床相關交互作用以及調整用藥劑量、監控病人用藥情形之可行性研究為基礎。同時,有關草藥使用的建議方案也包括在內。 EMA表示,新的修正內容使「藥品交互作用試驗指針」與藥品交互作用研究科學之發展現況趨於一致,例如現已能透過少數的精密設計研究,即可預測臨床相關藥品交互作用的結果,以及在了解近年酵素觸發技術(enzyme induction)與藥物載體(drug-transporter)間的交互作用上的科學進展。 藥物交互作用對於用藥的安全與效用極為重要,許多病人,尤其是年長者經常需要同時服用多種藥物,因多種藥物交互作用而產生的負作用(adverse effects)是患者反覆就醫的重要因素之一,且可能減低個別藥物原有的療效。 「藥品交互作用試驗指針」新修正內容將於2013年1月1日生效,全文共計七部分,主要重點在第五部分的藥物動力學(Pharmacokinetic)交互作用研究,內容包括:從研究進行方式即藥品的吸收、分布、代謝、移轉到人體試驗設計、草藥與特殊食品產品、以及產品特性標示事項等都有建議規範,其全文可至EMA官方網站下載。
美國聯邦巡迴上訴法院就Myriad案判決人體基因具可專利性2011年7月29日美國聯邦巡迴上訴法院針對Myriad Genetics公司之單離去氧核糖核酸(isolated DNA)專利無效上訴案作出判決,認定人體基因具有可專利性。 本案緣起於Myriad Genetics公司利用單離DNA BRCA1及BRCA2兩項基因,發展出一套乳癌風險檢測技術,並成功取得7項專利。未料2009年時,美國公民自由聯盟(American Civil Liberties Union,ACLU)及美國公共專利基金會(Public Patent Foundation,PUBPAT)以「授予單離DNA專利權係違反專利法第101條規定」為由,向紐約南區聯邦地方法院提起確認專利無效之訴,並獲致勝訴判決後,全案便上訴至聯邦巡迴法院。 美國專利法第101條(35 U.S.C §101)雖規定:「任何人發明或發現新而有用的方法、設備、製品或物之組合,或新而有用的改良,皆可依本法所定條件取得專利。」但標的若屬自然產物(product of nature)者,則不應授予專利。因此,本案關鍵問題在於:單離DNA是否屬於自然產物? 針對此一問題,巡迴法院以1887年聯邦最高法院於Hartranft v. Wiegmann案中所闡明的「人為介入(human intervention)是否已賦予發明物與自然產物明顯不同的特質」原則為判斷標準,認定單離DNA雖取自於原生DNA(native DNA),但其經化學處理後可釋放出特定分子,已與人體內之原生DNA有顯著不同,故具有可專利性。此外,法院更指出,美國專利局(The US Patent and Trademark Office,USPTO)自80年代迄今已釋出40,000件以上與DNA分子相關之專利,其中有20%為人類基因,此種長年行政慣例即便有誤,亦應由國會加以變更,而非法院。 本案受矚目之處,在於Myriad公司上訴時,美國司法部即透過法庭之友建議書(friend of the court briefs),向巡迴法院表明其否認人類基因具有可專利性的立場,因此本案判決結果等同於對司法部見解之否決。美國生技業者則認為單離基因專利(isolated gene patent)是生技產業的基石,此判決結果符合專利局一貫的專利政策,而此政策正是過去催生美國生技產業的推手;惟外界預料本案極可能再上訴至聯邦最高法院,屆時將對美國生技產業造成何種影響,值得持續觀察。
由Meta案看數位資料商業化面臨之跨國問題於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。 針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。 2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。 目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)