法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)修正案,簡稱PSD2。最新消息指出,PSD2將無法在本屆歐洲議會審議完成,需於五月歐洲議會改選後,在新一屆的議會中再行審議。 PSD公布施行於2007年,該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度,活絡支付市場的競爭,提供消費者更多的選擇,並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 本次歐盟提出修正案,其修正目標包含: 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 實際做法,PSD2大致有以下修正重點: 一、因應科技發展及時代變遷,擴大適用範圍: (一)提出「第三方支付服務提供人(third party payment provider,簡稱TPP)」之名詞定義,並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義,第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易,而支付的進行也是透過電信或IT系統或網路營運人,而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞,對照於附件一(Annex I)第七款中,係指: 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務; 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接,從銀行帳戶扣款進行支付;或者是與信用卡界接,進行扣款。 依照PSD2,TPP為支付服務提供者(Payment service providers, 簡稱PSPs),因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付,如果單筆支付金額超過50歐元,或者是月支付金額超過200歐元,也應適用PSD2。 二、強化資安要求: (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security,簡稱NIS Directive)」,PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority,簡稱EBA)將與歐洲央行(ECB)密切合作,提出資訊安全指導原則(guidelines),以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護: (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者,PSD2則要求對於涉及第三國以及外幣之交易,只要有任一支付服務提供者是在歐盟境內,都要適用。 (二)只要支付未經授權,應立即退款給付款方。 (三)保障無條件退款權,但是如果商品或服務已經完成消費則不在此限,例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易),額度從原本的150歐元下調為50歐元。 對於客訴爭議,PSPs應於15個工作日內以書面回覆。
英國最高法院Unwired Planet v Huawei案認定英國法院有權決定FRAND全球專利組合授權條款英國最高法院於2020年8月26日,駁回華為與中興通訊在Unwired Planet v Huawei和Conversant v Huawei and ZTE案的上訴決定。美國公司Unwired Planet和Conversant控訴華為及其他智慧手機製造商,侵害其所擁有的英國專利技術,其中包含由國際標準制定組織(Standard Setting Organization, SSO)與歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)所制定的2G、3G及4G無線通訊標準必要專利(Standards Essential Patents, SEP)。依據ETSI智慧財產權政策(Intellectual Property Policy, IPR),SEP權利人必須以公平、合理和無歧視條款(Fair, Reasonable and Non-discriminatory, FRAND)向實施者進行授權。英國最高法院根據ETSI政策所制定的契約內容,應賦予英國法院管轄權,更能決定多國專利組合的全球授權條款。若華為拒絕支付法院認定的FRAND全球授權金,法院將會頒布禁制令,禁止華為在英國銷售侵權產品。 首先,關於本案管轄權爭議,最高法院認為,在沒有雙方協議管轄的情況下,英國法院具有本案管轄權,得發給禁制令並確定專利授權費率等授權條件。原則上,專利有效性與侵權爭議,應由授予專利的該國法院決定,然而本案依據ETSI智慧財產權政策所訂定的契約,已約定由英國法院管轄,並得決定包括外國專利在內的專利組合授權條款。 另外,本案關於FRAND無歧視爭議,係源於華為主張Unwired Planet先前給予Samsung較低的授權費率,對華為構成歧視性授權。最高法院認為,Unwired Planet未違反FRAND無歧視承諾,蓋依據ETSI智慧財產權政策,FRAND無歧視並非硬性(hard-edged)要求前後授權費率完全一致,而是指所有市場參與者,基於專利組合的市場價值,都能取得專利授權使用的合理權利金價格表,絕非強制SEP所有人對類似條件的被授權人提供相同的授權條件。本案法院也認同,基於經濟或商業實務上的習慣,調整個別授權金,並未違反ETSI智慧財產權政策的無歧視要求。
歐盟執委會呼籲採取更嚴厲的手段解決垃圾郵件問題歐盟執委會(European Commission)日前再次呼籲歐盟各國加強處理公眾線上隱私威脅的問題。歐盟執委會所公佈的一項報告指出,雖然近年來歐盟各國皆有相關措施,例如課予垃圾郵件發布者罰款、有期徒刑等,但各國法令仍有相當大的差異。這項報告也認為,各國相關法律在歐盟電信法的改革之下,應更為明確且一致,並加強跨國合作。 歐盟執委會電信委員Viviane Reding表示,雖然歐洲的反垃圾郵件相關立法已有七年,但大部分的歐盟民眾仍受垃圾郵件影響。根據該報告,歐盟從2002年即已立法禁止發佈垃圾郵件及使用偵察軟體,但目前仍有約65%的民眾飽受垃圾郵件騷擾。 歐盟執委會的報告指出 : 目前幾乎所有會員國皆已設有相關網站,方便民眾取得垃圾郵件及偵查軟體的資訊或申訴。 在分析來自22國的140個案例後,發現各國所課予的罰款落差懸殊。罰款最高的依序為荷蘭(100萬歐元)、義大利(57萬歐元)及西班牙(3萬歐元 );但在羅馬尼亞、愛爾蘭及拉脫維亞等國,罰款的範圍則多在數百至數千歐元之間。 各級政府機關(電信主管機關、資料及消費者保護機關與執法機關等)責任劃分應更為明確,並有相互合作的機制。 垃圾郵件為全球問題,除了在歐洲境內的各國合作外,與世界各國的合作亦為重要。根據調查數據,平均每六封垃圾郵件中,就有一封是由美國境內所發出,因此目前歐盟執委會正與美國協商,討論雙方執行相關保護法規的跨境合作問題。 歐盟各國應分配足夠的資源予國內機關,以利蒐集證據、進行調查及起訴。 由歐盟執委會提出的歐盟電信法改革中,新增一條規定,要求違反各國國內線上隱私法的罰責必須為有效、實際且符合比例。
日本發布網路安全相關法令問答集日本國家網路安全中心(内閣サイバーセキュリティセンター,或稱National Information Security Center, NISC)於2020年3月2日發布「網路安全相關法令問答集」(サイバーセキュリティ関係法令Q&Aハンドブック),以回應日本內閣在2017年7月27日通過的「網路安全戰略」(サイバーセキュリティ戦略)中所提及應整理相關法制,以利企業實施網路安全措施與對策之決定。因此,內閣網路安全戰略本部(サイバーセキュリティ戦略本部)普及啟發‧人才培育專門調查會(普及啓発・人材育成専門調査会)於同年10月10日成立工作小組,針對網路安全相關法令進行推動與調查工作。 本問答集內容涉及13項法律議題,包括議題如下: 說明網路安全基本法(サイバーセキュリティ基本法)網路安全之定義與概要; 以公司法為核心,從經營體制觀點說明董事義務,例如建立內部控制機制,以確保系統審核與資料揭露之適當性; 以個人資料保護法為核心,例如說明個人資料的安全管理措施; 以公平交易法(不正競争防止法)為核心,說明在營業秘密的保護範圍內,利用提供特定資料與技術手段,來實施迴避行為係屬無效; 以勞動法規為核心,說明企業採取網路安全措施之組織與人為對策; 以資通訊網路、電信業者等為中心,說明IoT相關法律問題; 以契約關係為中心,說明電子簽章、資料交易、系統開發、雲端應用服務等議題; 網路安全相關證照制度,例如資訊處理安全確保支援人員; 說明其他網路安全議題,例如逆向工程、加密、訊息共享等; 說明發生網路安全相關事故之因應措施,例如數位鑑識; 說明當網路安全糾紛有涉民事訴訟時應注意之程序; 說明涉及網路安全之刑法規範; 描述日本企業在實施網路安全措施時,應注意之相關國際規範,例如歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與資料在地化(Data Localization)等議題。 此外,隨著網路與現實空間的融合,各產業發展全球化,相關法規也日益增加,惟網路安全相關法規,在原無網路安全概念與相關法制的日本法上,卻鮮少有較為系統化的概括性彙編與解釋文件。因而盤點並釐清網路安全相關法令則成為首要任務,故研究小組著手進行調查研究,並將調查結果—「網路安全法律調查結果」(サイバーセキュリティ関係法令・ガイドライン調査結果)與「第四次關鍵基礎設施資訊安全措施行動計畫摘要表」(重要インフラの情報セキュリティ対策に係る第4次行動計画)作為本問答集之附錄文件以資參酌。最後,NISC期待透過本問答集,可作為企業實施具體網路安全對策之實務參考。