法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
日前有新聞報導,google將推出「+1」按鈕功能,用戶可以點擊該按鈕,向好友推薦特定的搜尋結果,市場上普遍預測google新增此「+1」按鈕功能,主要是用來跟facebook「讚」按鈕(Like Button)競爭。facebook「讚」按鈕功能已成為時下潮流新用語,諸如「給你一個讚」;而且還可以將facebook「讚」按鈕安裝在個人的部落格網頁、文章中。惟facebook的這項功能,一直以來也存在著侵害用戶個人隱私之疑慮。 德國柏林地方法院於今年(2011)03月14日針對facebook「讚」按鈕功能作出一則判決(LG Berlin, Beschluss vom 14.03.2011 - 91 O 25/11)。本案被告經營一項與原告相同的電子商務業務,並在其線上商店網頁中,安裝facebook「讚」按鈕(Gefällt-mir-Button)功能。判決中指出,安裝facebook「讚」按鈕,須運用facebook內建框架(iframe)語法,一旦安裝後,只要是登錄facebook的用戶,同時瀏覽被告網頁時,即使未點擊被告網頁上的「讚」按鈕,用戶的使用記錄都會回傳至facebook。但被告網頁上並未刊登任何有關提醒用戶注意該項資料蒐集、回傳之訊息。 原告因而主張,被告未盡到告知用戶有關個人資料蒐集、加工資訊之義務,已經違反電信服務法(Telemediengesetz,以下簡稱TMG)第13條規定,因而構成不正競爭防止法(Gesetz gegen den unlauteren Wettbewerb,以下簡稱UWG)第4條第11款規定之不允許交易行為。UWG第4條第11款規定「違反本質上涉及交易相對人(Marktteilnehmer)之利益的市場行為(Marktverhalten)有關之法律規定,亦屬於不允許的交易行為(unlautere geschäftliche Handlungen)。」 柏林地方法院認為,TMG第13條本質上係與個人資料保護有關之規定,與涉及交易相對人之利益的市場行為無關,故本案無UWG第4條第11款規定之情形,與不正競爭行為無關,原告之主張因欠缺請求權基礎而敗訴。 然而,值得注意的是,本案法院並未進一步針對被告行為是否違反TMG第13條「有關個人資料保護」之規定提出其見解。TMG第13條係依據「歐盟1995年個人資料保護指令」轉換而來,TMG第13條規定,若網站涉及個人資料的蒐集、加工行為,電信服務提供者(Diensteanbieter)有義務明確告知用戶相關訊息(包括明確告知用戶其可隨時撤回許可相關資料蒐集之表示等)。 爰此,被告於個人網頁安裝facebook「讚」按鈕功能,卻未告知用戶個人資料蒐集、加工之相關訊息,是否違反TMG第13條規定之告知義務,尚有待上級審加以定奪。而判決出爐後,也有專家建議,為避免有侵害個人資料之虞,在社群網站安裝facebook「讚」按鈕時,宜加註個人資料處理、保護之相關聲明。
日本針對遠距醫療新增「線上診療費」等診療給付項目,提高給付內容與標準日本厚生勞動省於2月7日公布2018年度健康保險診療報酬改訂內容,本次改訂項目中,最受矚目者為增訂線上診療之報酬給付。此種活用網路或智慧手機等資通訊網路(ICT)設施所為之診療,在2月7日中央社會保險醫療協議會總會中審議通過,公布個別改訂項目及診療報酬點數。 所謂的「線上診療」係指使用智慧手機之影像電話機能等,使醫師與病患以網路為連結所進行之診療。新設之診療報酬規定,係以具備「使用線上系統等通信技術,得為同步(real time)溝通,為診療與醫學管理。換言之,使用資通訊機器,以影像通話,透過同步影像有溝通可能性係為必要要件。 此一改訂自本年4月1日起適用,醫師診療原則上以面對面診療為原則,在包含有效性、安全性之考量下,且符合一定要件前提而為線上診療時,以「線上診療費」、「線上醫學管理費」等給付項目為給付。 因應此一改訂,厚生勞動省於本年3月30日發布並下達「線上診療適切實施指針」(醫政發0330第46號),本指針係從醫師法第20條禁止無診察診療及個人資料保護法,與線上診療之關係為出發,就到目前為止厚生勞動省發出的通知或事務聯絡等之解釋為正式整理及明確化。項目有:1.關於提供線上診療之事項;2.提供線上診療應具備之體制事項;3.其他線上診療關連事項。各自訂出「最低限度遵守事項」、「建議及獎勵事項」等,最低限度遵守事項之遵守範圍係為了明確不違反醫師法第20條規定所必要。
美國眾議院通過綠色化學研發法案美國眾議院本(9)月通過「2007年綠色化學研究發展法案」(The Green Chemistry Research and Development Act of 2007),其目的在要求總統建立「綠色化學研究發展計畫」(Green Chemistry Research and Development Program),統籌改善聯邦政府對於綠色化學研發、教育宣導及技術移轉等活動之資源投入,而綠色化學則是指那些依安全與有效生產程序製造高品質產品時、能減少使用或產生毒性化學物質之化學產品或製程技術。美國化學協會(American Chemical Society)讚許眾議院通過本法案是睿智的舉動,表示發展綠色化學最能證明經濟和環境得同時併進,發展綠色企業實務,改善藥學加工及本土營建產業以迎刃氣候變遷及能源危機等挑戰。 本法案並要求自明(2008)年起,編列經費由以下政府單位合作執行本計畫,即國家科學基金(National Science Foundation)、國家標準技術研究院(National Institute of Standards and Technology)、能源局(Department of Energy)及環保署(Environmental Protection Agency)。參議院在過去兩屆都通過類似的法案,尚等待參議院支持通過相同法案,以獲得生效。 為減低對石化原料的依賴、發展生物經濟,美國政府積極投入促進綠色科技、生質科技之研發活動,例如從農林廢棄物或副產品或其他來源開發再生性原物料供綠色化學使用。此外,美國政府亦資助建立了生質(biomass)能源及產品的網路圖書館(BioWeb);BioWeb所收錄的生質科技資訊、文獻,許多都是來自大學或國家實驗室著名研究人員,都會先經各領域專家進行嚴格的同儕審查(peer-review),再開給所有公眾瀏覽;BioWeb將會持續蒐羅各種基礎及應用科學知識,並擴充各種經濟及政策相關資訊。BioWeb的理想目標,是擴大規模成為最大最有價值的生質燃料、能源及產品公共資料庫。
歐盟執委會認可巴西資料保護能力,啟動適足性認定程序歐盟執委會(European Commission)於2025年9月4日提出對於巴西的適足性認定草案,並且開始啟動相關程序。根據《一般資料保護規則》第45條規定,如歐盟境內之個人資料將傳輸至第三國或國際組織時,須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同,使得為之。該認定即為「適足性認定」,目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中,審酌了巴西《一般資料保護法》(Lei Geral de Proteção de Dados, LGPD)當中的目的限制、必要性、透明性、安全性及問責機制等原則,以及個資監管與執法之獨立機構「巴西資料保護局」(Autoridade Nacional de Proteção de Dados, ANPD)之角色,認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外,ANPD於2024年發布,旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則,ANPS正依照該規則進行對歐盟進行法律評估,認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估,將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案,後續須經由歐洲資料保護委員會(European Data Protection Board, EDPB)審查並提出意見,並經過成員國代表參酌EDPB提出之意見並審查批准後,始得由歐盟執委會通過適足性認定。通過適足性認定後,將促進國際資料流動,並加強巴西與歐盟之間資料保護與監管領域方面的合作。