法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
2019年9月英國資訊委員辦公室(Information Commissioner's Office, ICO)啟動沙盒計畫(ICO Sandbox)測試階段(beta phase),由ICO所選10個測試專案,透過解決當今社會問題,例如如何減少暴力犯罪、大學如何促進學生的心理健康、新技術如何改善醫療保健等,期能促進公眾利益。 各專案在滿足創新性和可行性前提下,同時也面臨著複雜的資料保護議題,因此ICO持續與各專案溝通,提供其應用現有個資保護指引之建議,如歐盟一般資料保護規則之資料保護影響評估指導文件(Guide to the GDPR - Data protection impact assessment)、資料保護自我評估工具包(Data protection self-assessment toolkit)等。自2019年3月底開始(受理申請)迄今,ICO沙盒執行過程中所觀察到的關鍵議題如下: 公部門資料應用效益:部份參與者正在克服與公部門進行歷史資料共享,或是如何整合應用大數據等。個人資料與新技術應用,必須與資料主體的權利和自由進行權衡。 同意:確保各方對於「同意」(Consent)之理解,以弭平差異,同時向公眾提供透明資訊。 新技術的挑戰:應用語音生物辨識(voice biometrics)、臉部辨識技術(facial recognition technology, FRT)等,需要在適當基礎上處理特殊類別資料。 資料分析(Data analytics):以符合資料保護的方式進行資料分析,處理特殊類別資料的適法性,評估處理過程中的風險,並檢查可能用於資料分析的資料來源,確保符合目的之應用。 未來的6個月,ICO將持續與各專案合作,使其為有效的解決方案,為公眾提供創新合規之產品與服務,並成為未來結合資料保護和創新應用之規劃藍圖,以奠定隱私保護的基石。
奈米技術可能對健康與環境產生危害,專家呼籲應加強檢測與管制美國環境保護局(US Environmental Protection Agency)考慮對使用於殺菌或抑菌功效之奈米銀予以列管,這項決定與Samsung推出的洗衣機產品有關,這項新產品強調在洗衣的過程中,加入一種可以殺菌的奈米銀物質(nano-silver),不過這項物質卻被認為可能會釋放對人體及環境有害的物質,導致EPA決定加強管理。 奈米技術是有關極小化物質的創造與使用的技術,且極小化物質的尺寸僅比原子大一點,約在一奈米及一百奈米之間,一奈米等於是十億分之一尺,人類的頭髮大約是八萬奈米。除了洗衣殺菌的功能外,奈米銀已因為殺菌的功能而被廣泛用在諸多產品中,包括鞋、襪、儲存容器等等。目前政府與業界一般假設,以既有管理化學物與其他物質的法規來管理奈米物質,尚稱妥適。 就在EPA考慮對使用在殺蟲劑中之奈米銀予以列管之際,環境科學專家也呼籲政府及業界應正視奈米物質潛藏的危害,儘速制訂檢測及管制之法規。舉例而言,本(十二)月初在自然雜誌(Nature)所刊登的一篇有關奈米技術安全性挑戰的文章指出,雖然現今許多有關奈米毒性的探討都是基於學說假設,但這些學說其實具有高度的可信度。 新近有關奈米物質毒性的研究調查報告更顯示,從細胞培養物及動物體內可發現,奈米物質的大小、表面積、可溶性與其可能的形狀等,均可能與毒性之所以產生的原因有關。專家因此擔心,在研究人員積極推出奈米級產品的同時,恐怕對於奈米物質可能產生毒性的問題,未予以適度的重視。因此,EPA目前跨出的雖僅是管理奈米技術的一小步,但環境專家認為,對於公眾健康與環境安全的保障來說,這代表邁向正確方向的一大步。
美國網路安全暨基礎設施安全局(CISA)發布《工控資安基礎:適用於擁有者與營運者的資產清冊指引》美國網路安全暨基礎設施安全局(CISA)於2025年8月13日發布該機關與美國、澳洲、加拿大、德國、荷蘭、紐西蘭等國共計八個國安資安相關機構,合作訂定之《工控資安基礎:適用於擁有者與營運者的資產清冊指引》文件,旨在針對易受惡意網路行為攻擊且提供重要服務的能源、水務、製造業及其他領域關鍵基礎設施營運技術(Operational Technology,OT)系統,協助其資產擁有者與營運者建置與維護完整的OT資產清冊,並輔以OT分類體系(Taxonomy)。 OT資產清冊範圍涵蓋組織OT系統與相關軟、硬體,該指引主要說明OT資產擁有者與營運者建置與維護OT資產清冊的流程,包含: 1. 定義清冊範疇與目標(Define Scope and Objectives) 2. 辨識資產及蒐集屬性資料(Identify Assets and Collect Attributes) 3. 建立分類體系(Create a Taxonomy to Categorize Assets) 4. 管理與蒐集資料(Manage and Collect Data) 5. 實現資產全生命週期管理(Implement Life Cycle Management); 此外透過OT分類體系可幫助區分優先序、管理所有OT資產,有助於風險識別、漏洞管理,以及資安事件應變;有關如何建立OT分類體系,該指引亦提供流程建議如: 1. 根據功能及關鍵性執行資產分類(Classify Assets) 2. 對資產功能類型與其通訊路徑進行分類(Categorize (Organize) Assets and their Communications Pathways) 3. 建構體系架構與互動關係(Organize Structure and Relationships) 4. 驗證資產清冊資料準確度與圖像化(Validate and Visualize) 5. 定期檢查並更新(Periodically Review and Update) 該指引認為,建置OT資產清冊並輔以OT分類體系對期望建立現代化防禦架構的擁有者與營運者而言至關重要。透過上述作為,資產擁有者與營運者得以識別其環境中應加以防護及管控的關鍵資產,並據以調整防禦架構,建構相應的資安防禦措施,以降低資安事件對組織任務(Mission)與服務持續性(Service Continuity)的風險與影響。該指引亦強調關鍵基礎設施之OT與IT(資訊技術)部門間之跨部門協作,並鼓勵各產業組織參考指引步驟落實OT資產盤點與分類,以提升整體關鍵基礎設施資安韌性。
為打擊境外逃漏稅,國際間持續擴大稅務資訊自動交換經濟合作暨發展組織(簡稱經合組織、Organization for Economic Cooperation and Development,下稱 OECD)於今年6月30日表示「2019年已有近百個國家/地區進行了稅務資訊自動交換,使其稅務機關可以獲得其居民在海外所持有的8,400萬個金融帳戶的數據,涵蓋的總資產達10兆歐元。相較於2018年(交換了4,700萬個金融帳戶資訊,約5兆歐元)有了顯著增長。」且「共同申報準則(亦稱共同申報及盡職審查準則、Common Reporting Standard, 下稱CRS)要求各國和各司法管轄區每年自動交換其金融機構提供的非居民的金融帳戶資訊,以減少境外逃漏稅的可能性。許多發展中國家已加盟其中,預計未來幾年會有更多國家加入。」 OECD秘書長Angel Gurría亦表示「由OECD創建並由全球論壇管理的這種多邊交換制度,此刻正為世界各國(含發展中國家)提供大量的新資訊,使各國稅務管理部門能夠確保境外帳戶被正確申報。尤在目前COVID-19危機中,各國正籌集急需的收入,一個無處藏富的世界,此點遂至關重要。 事實上,我國財政部於2017年11月16日所發布(民國109年4月28日修正)之「金融機構執行共同申報及盡職審查作業辦法」(簡稱CRS作業辦法),正是為了使我國接軌OECD發布及主導的CRS,藉由提高金融帳戶資訊透明度,據此與其他國家/地區進行金融帳戶資訊自動交換,以利我國與各國稅捐機關能正確且完整地掌握其境外納稅義務人的金融帳戶資訊。值得注意的是,我國第一波稅務資訊自動交換將於本年度9月份與我國32個稅捐協定國進行。