歐盟支付服務指令修正案(PSD2)於2016年1月12日生效
2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」,並進行廣泛的公眾意見徵詢,舉辦公聽會,最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出,2015年10月歐洲議會通過,今年1月12日生效,預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎,因為本次修正將會大幅提升支付創新應用的發展可能,尤其是行動支付。
PSD2之重大修正包含針對支付服務的內容作出修正,新增第三方支付服務提供人(third party payment service provider,簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取,提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定,TPP服務提供者具備下列義務:
1.確保支付服務使用者的個人化安全資訊不會被其它人取得。
2.以明確的方式向帳戶之支付服務提供者認證自己的身分。
3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。
除此之外,PSD2明確將純粹的技術服務提供者排除於支付機構之範圍,無需適用支付服務指令。
PSD2亦授權EBA發布相關規定制定技術門檻,包含強力的客戶身分認證以及通訊資訊標準。
謝孟珊
資深法律研究員 編譯整理
European Parliament adopts European Commission proposal to create safer and more innovative European payments, http://europa.eu/rapid/press-release_IP-15-5792_en.htm?locale=en
FinTech Focus: New European Directive on Payment Services (PSD2) Comes into Force, http://www.mofo.com/~/media/Files/ClientAlert/2016/01/160129FinTechFocus.pdf
澳洲隱私保護辦公室(Office of the Australian Information Commissioner,OAIC)在2019年11月發布的「2018-2019年度健康數位資料報告」(Annual Report of the Australian Information Commissioner’s activities in relation to digital health 2018–19),主要說明澳洲政府實施「選擇退出機制」(opt-out)後,對「我的健康紀錄系統」(My Health Record System)(下稱系統)發生的影響,以及有將近1成的國民大量選擇退出系統,造成系統的醫療健康資料統計困難之檢討。 OAIC認為會發生國民大量選擇退出系統的原因,主要是不信任政府對系統資料保護及不清楚系統使用功能有關,因此提出年度報告,內容如下: 一、改善民眾對醫療資料保護的不信任,例如對醫療業者,開發保護病患隱私的指導教材,防止、外洩即時處理的能力。 二、加強宣傳,例如開發線上資源、影音等,讓民眾在使用系統時能有更清楚認識,且對選擇退出有更明確的認知。 三、改進系統設計,讓民眾能更清楚的看見使用說明,也能隨時掌握在系統上的資訊、設置警報提醒來防止他人侵入、也增加取消功能使資料達到永久刪除的效果。 建置該系統之目的,是因為國家有蒐集與使用國民的醫療健康資料需求,國民也能使用系統查看醫療紀錄、藥物過敏紀錄、曾使用與正在使用的藥物、血液檢查等;醫療人員也能透過醫療資料之電子化,減少重複及不必要的醫療檢查、對症下藥、避免因過敏引起的反應等,將醫療資源做有效的運用。 系統建置是依據「我的健康紀錄法」(My Health Records Act 2012)第三章第一節註冊規定,要將國民的醫療健康資料納入系統,但不願意加入者,得選擇退出系統。而澳洲政府依據此法訂定選擇退出機制,2018年7月正式實施,要求全民強制加入系統,同時開放選擇退出機制,讓不願意加入系統的國民能選擇退出系統;選擇退出機制截止日期原先在2018年10月中旬,但在國民大量反應下,澳洲政府決定延至2019年1月底;在選擇退出機制的實施截止後,OAIC在2019年11月對選擇退出機制做出檢討報告,期望能透過檢討報告提出的建議來增強民眾對系統的信任與促進系統使用率。
韓國通過個人資料保護法修法並對其執行命令指引提出修正草案2023年9月27日,韓國個人資訊保護委員會(Personal Information Protection Commission, PIPC)就《個人資料保護法》(Personal Information Protection Act, PIPA)執行命令之指引修正(Enforcement Decree Amendment Guide)草案展開諮詢,諮詢將持續至2023年11月30日為止。韓國於2023年3月修正個人資料保護法,該修正於2023年9月15日生效,而指引修正之目的即是協助各界能夠遵循新修法後的義務,因此該指引草案詳細說明了修法後有關資料蒐集、獲得當事人同意之條件、使用和提供存取要求等內容。最終版的指引預計將於2023年12月發布。 韓國個人資料保護法於2023年的修訂範圍廣泛,特別是關於跨領域和行業個人資料處理標準等,使得公私部門中的資料處理人員和資料隱私人員必須深入瞭解此些變化,以確保能遵守最新的法律規定。 修訂後的韓國個人資料保護法強調實際保障資料主體的權利,並調整網路和實體業務之間不一致的資料處理標準,藉以迎接全面的數位轉型。此次韓國個人資料保護法修正重點如下: 1.強調確保資料主體的權利,即使在緊急情況下蒐集或處理個人資料時仍須提供足夠的保護措施。 2.釐清並調整網路和實體業務的不明確或不一致的法規,例如資料外洩的報告和通知時限、蒐集和利用14歲以下兒童個人資料需要獲得法定監護人同意的要求,以及對違規行為實施行政處罰的標準等。 3.要求處理大量個人資料的公共機構需強化保護措施,包括應分析和檢查存取記錄、指定負責每個系統的管理員,以及通知使用公共系統未經授權存取個人資料的事件等。 4.跨境資料傳輸條件調整為可傳輸至保護程度與韓國相當的國家或地區;並調整處罰金額,防止處罰金額過高超出責任範圍。。 韓國PIPC主委表示,此次對韓國個人資料保護法的修訂,反映了對資料主體權利更強大保護的需求。同時,考慮到此次修法的變動較大,建議各領域從業人員皆須仔細確認相關法遵內容,PIPC將針對不同領域需求來量身定制說明活動,積極提高大眾對修訂後的《PIPA》內容的理解程度,以確保韓國個人資料保護法修正後的實施。
因應綠色採購 環保標章實驗室認證問題有待解決近年來,國際企業強調「綠色商機」,綠色競爭力更成為台灣企業進軍國際市場的指標之一。政府配合綠色風潮,鼓勵國內綠色生產及綠色消費,在政府採購法增列綠色採購條款,並通過「機關優先採購環境保護產品辦法」。然而這些美意,卻可能因為環保標章實驗室認證問題,大打折扣。 造成上述結果的主要原因是,我國因相關環保法令不周全,環保管理、監督單位權責不一,形成三不管局面,影響廠商競爭力。舉例而言,現在環保署嚴格把關環保標章實驗室,檢查近 20 家實驗室,最後只認定三家有合格檢測能力,廠商要取得環保標章,一定要找這三家業者,形成供需嚴重失衡局面,廠商耗時、浪費金錢,還是拿不到環保標章。 另外,環保標章實驗室的管理單位,應該是環保署還是經濟部標準檢驗局;發生爭議事件,環保署和標準局各有說詞。環保標章是環保署核發,但實驗室檢測、管理則由標檢局負責,故而出現三不管的局面。 今年 7 月 1 日 ,歐盟全面執行 RoHS (無鉛製程)環保措施,明年,歐盟開始執行 WEEE (廢棄電機電子產品回收)環保措施,由於台灣資訊大廠 98% 為出口導向,這兩個規定使我國資訊廠商不得不審慎因應之,然而, RoHS 及 WEEE 僅是一個開端,未來歐盟一旦通過 REACH 規則,因環保要求而受影響的產業將更多,可見環保標章實驗室認證問題,必須嚴格看待並儘速解決。
日本創設搭載遠距型系統自駕車基準緩和認定制度日本國土交通省於2017年2月修正《道路運輸車輛安全基準》第55條第1項、第56條第1項及第57條第1項規定之告示,放寬車輛安全基準規定,期望自動駕駛實驗能順利展開。惟在各種自動駕駛實驗中,遠距型自動駕駛系統是透過電信通訊技術,從遠距離外操作車輛行駛,儘管修法後已放寬安全基準規定,但其仍與現行以車內有駕駛為前提而訂定之《道路運輸車輛安全基準》相距甚遠,想一律判斷其符合安全基準有所困難。據此,為使遠距型自駕系統道路實驗能夠順利進行,國土交通省於2018年3月30日創設「搭載遠距型系統自駕車基準緩和認定制度」,明確規定遠距型自駕系統實施道路實驗所需各項手續。 「搭載遠距型系統自駕車基準緩和認定制度」規定項目包括︰申請放寬基準之對象、申請者、申請書及繳交文件、審查項目、條件及限制、基準放寬之認定、車體標示、行政處分等。