韓國通過最新個人資料保護法修正案

　　英國政府於2020年2月13日發布了《藥品和醫療器材法》（Medicines and Medical Devices Bill）草案。根據英國國民保健署（NHS）的聲明，新法草案修改以及補充了現有的英國藥品、醫療器材、臨床試驗監管框架，確保英國能夠開發具有開拓性的醫療技術。 　　本次草案的提出原因之一為英國計劃自2020年12月31日起退出歐盟，過去英國藥品與醫療器材法律乃援引歐盟相關指令與規則（例如：歐盟醫療器材法規，Medical Device Regulation, (EU) 2017/745），一旦脫歐過渡期結束，英國將無法再透過1972年《歐洲共同體法》（ECA 1972）援用歐盟的規定來規範與更新藥品、醫療器材與臨床試驗法律。 　　本次法案另有幾項新增重點： 醫療器材主管機關英國藥品和醫療產品監管署（Medicines and Healthcare Products Regulatory Agency）成為唯一有權簽發執行通知書（enforcement notices）的機關。 草案第23條明確指出哪些違反英國《2002年醫療器材法規》（Medical Devices Regulations 2002）的行為可能導致刑事犯罪。 草案第26條針對違反英國《2002年醫療器材法規》的人有新的民事制裁（civil sanctions）規範框架。例如在本法草案附表1（Schedule 1）中提及將賦予內閣大臣權力，得對違反《2002年醫療器材法規》之個人處以罰款（monetary penalty）。 草案第34條賦予內閣大臣權力向公眾分享有關醫療器材的資訊，例如受個資法保護或屬商業機密的醫療器材安全的資訊。 目前法案草案在國會二讀階段。

　　歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日，針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫，基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過，該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 　　根據EDPS首長Peter Hustinx表示，由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料，因此儘管設立單一之作業管理機構，可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題，但如此一機構欲取得合法性，其活動範圍及相關責任即必須在立法中獲得明確界定，否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析，Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 　　此外，針對後續立法進程，EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ，亦或僅限於邊境檢查及難民與移民事務；執委會與該機構之關聯性與責任等重要問題外，是否可在缺乏相關經驗及實證評估下，即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄，顯然亦有商榷餘地。EDPS就此認為，透過立法界定「大型資訊系統」之範圍，並且採取資料庫分次進入該管理機構責任範圍之方式，應係日後執委會可以努力之方向。

　　日本內閣府2015年12月10日於「綜合科學技術創新會議」上公布最新「科學技術基本計畫」草案，預計將投入26兆日圓，約占GDP1%的資金。該計畫之法源基礎係1995年公布之《科學技術基本法》第9條第1項，要求政府自1996年開始制定以五年為期，整體、宏觀且跨部會之科技發展計畫，目前最新之「第五期科學技術基本計畫」將於2016年開始施行。 　　「第五期科學技術基本計畫」共計七章，作為本期計畫核心之第二至第五章，揭櫫四大原則及相應規畫： 一、 以未來產業創新及社會變革為方向創造新價值(第二章) 　　旨在發展對未來產業創新及社經變遷具有前瞻性之技術及服務，如智慧聯網、巨量資料、人工智慧等，並以此為基礎實現領先世界之「超智能社會」。 二、 因應經濟社會新課題(第三章) 1. 確保能源、資源及糧食供應穩定。 2. 因應超高齡化、人口減少等問題，打造永續發展的社會。 3. 提高產業競爭力及地區活力。 4. 確保國家安全及國民安全。 5. 因應全球範圍內發生的社經問題，並對世界發展做出具體貢獻。 三、 強化科技創新基礎能力(第四章) 　　企圖打破產官學界間障壁，加速人才流動及人才多樣化，對造成障礙之制度進行改革，此外，將增加青年及女性研究者比例，及提升學術論文品質。 四、 構築人才、知識、資金三要素的良性循環制度以朝向創新發展(第五章) 　　將透過產官學界合作，打造創新人才培育及適其發展之環境，強化國際知識產權及標準化之運用，並依國內各區域特性推動相關創新措施。 　　在這當中，「實現超智能社會」為本期計畫最重要之發展目標，由於資通訊技術高度發展帶動生產、交通、醫療、金融、公共服務等各方面之巨大變革，創造出新產品、新服務，卻也相應帶來新挑戰及社會問題，日本政府計畫打造「智慧聯網服務平台」(IoTサービスプラットフォーム)，將內閣府2015年6月19發布之「科學技術創新綜合戰略2015」中所列舉的11個系統分階段完成串連整合，以推動跨系統間之數據應用，達成各科學領域巨量資料之流通使用，同時兼顧資訊安全保障的「超智能社會」。

2024年3月6日，南韓個資保護委員會（Personal Information Protection Commission, PIPC）宣布通過個人資料保護法施行法（Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree）修正案，並於2024年3月15日正式實行。 本次修法重點如下： 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策，個資主體（即，個人）有權要求解釋決策過程並進行審查，尤其當決策結果對個資主體權益有重大影響時（例如：不通過其社福補助申請），個資主體可拒絕自動化決策結果，並要求改為人為決策及告知重新決策結果。另為確保透明、公平，自動化決策依據的標準與程序亦須公開，並於必要時向公眾說明決策過程。 2.確立隱私長（Chief Privacy Officers, CPOs）的資格要求及適用範圍 為確保CPO能順利開展個資保護工作，要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗，且個資經驗至少2年。適用機關包括：年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者；學生超過2萬人的大學；處理大量特種個資的教學醫院或大型私人醫院等；疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定，PIPC每年需對公共機構（如：中央行政機關及其所屬機關、地方政府及總統令規定者）進行個資保護程度評估，而為使評估作業有所依循，本次新增評估標準及相關程序包括：政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任，將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時，調整適用門檻，將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人，以減輕小型企業負擔。另亦明訂可豁免責任的對象包括：不符合CPO資格的公共機構，公益法人或非營利組織，及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案，內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等，並舉行說明會來收集回饋意見。