法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
美國於2011年2月份啟動「更佳建築倡議」(Better Building Initiative)計劃,期在2020年達成降低工業和商業之能源密集度百分之二十的目標。展望2013年,美國能源部於2012年底發布該倡議之進度報告(Progress Report)。報告開宗明義指出若干有礙建築能源效率之投資障礙,擬如下: (1) 尚缺少能源效率投資成本節省之實證數據 (2) 尚缺少潛在市場和技術解決方案之相關資訊 (3) 能源效率作為商業最佳實踐尚未普遍被接受。基此,能源部致力於發展以下策略: (1) 創新產業研發 (2)促進能源效率投資 (3) 培育清潔能源之技術人員 (4) 強化聯邦公部門示範作用。 在創新產業研發面向,能源部成立「更佳建築聯盟」(Better Buildings Alliance),此乃結合零售、食品、商業房地產、醫療照護、高等教育產業,預計於2013年將擴大到州和地方層級;聯盟成員將承諾設定節能目標,擇定高效率之建築科技進行採購。其次,在促進能源效率投資上,報告指出,因市場尚缺乏相關數據資訊(data information),難就能源效率之市場價值(value)進行驗證;將建立起相關機制,作為未來融資和建築物改善的基礎。最後,在強化公部門示範作用上,透過聯邦能源管理計畫(Federal Energy Management Program, FEMP)和節能績效契約(Energy Savings Performance Contract, ESPC),持續強化能源技術服務公司(Energy Service Companies, ESCO)進行聯邦建築物節能效益之提升和擔保。 綜上,可得知建築能源效率數據資訊之欠缺乃目前美國能源部在推展「更佳建築倡議」面臨的最大問題。查美國國會於2012年12月初通過「美國製造業能源技術修正法案」(American Energy Manufacturing Technical Corrections Act),就前述聯邦能源管理計畫(FEMP)和資料蒐集標準(Data Collection)進行規範,相關法制政策趨勢殊值注意。
美國推動創新研究獎勵方案,鼓勵中小企業投入潔淨能源研發美國能源部今(2012)年5月宣布1千1百萬美元的預算,獎勵小型企業發展潔淨能源創新研究與科技。美國的小型企業並非以營運的領域來區分,而且必須合於美國聯邦法規(13 CFR 121)中對於小型企業的規範,另外,美國小型企業管理局(U.S. Small Business Administration,SBA)對於各種營利活動亦建立有大小區分的標準,依照不同的行業別,就員工人數或營業額的數目訂立區分標準。因為企業大小的區分,在美國政府採購契約發包的程序上極為重要,因為他們確保,為大小不等的小企業之間提供公平的競爭基準,而這些區分標準同時也適用在SBA的貸款/補助計畫以及能源部小型企業創新研究計畫(Small Business Innovation Research ,SBIR)與小型企業技術移轉計畫(Small Business Technology Transfer ,STTR)上。 能源部此次小型企業創新研究計畫是歐巴馬政府為扶持小型企業,增加美國就業機會政策的一部分,計畫內容在於,給予每個小型企業最高15萬美元的補助金,只要企業的業務致力於發展創新能源技術,製造新的工作機會,以提高美國在世界的經濟競爭力,這些獲選企業在未來兩年內,可以參加第二階段的競賽,並將有機會獲得高達2百萬美元的獎勵金,目前已有67個小型企業,總共75項創新研究計畫,包括風力渦輪機、燃料電池技術以及煤炭能源等的相關研究工作,這些獲選的小型企業遍佈全美各州。 美國政府認為,小型企業為其經濟體的主幹,提供全美二分之一的工作機會,並且在國內持續製造三分之二的新就業機會,重要的是,這些企業正在幫助美國減輕對進口石油的依賴,保護美國的環境,降低環境污染。而為了支持這些小型企業在國內經濟體所扮演的重要角色, 在能源部主責進行的SBIR計劃和STTR計劃中,持續支持科學卓越和技術創新,以達強化國家經濟的目標。
歐洲藥物管理局(EMA)加強與歐洲毒品與毒癮監控中心(EMCDDA)於精神性影響藥物和藥物濫用上的資訊交換合作2010年藥物主動監視法規(pharmacovigilance legislation)要求EMA和EMCDDA必須加強在藥物產品濫用(包含不合法藥品)的資訊交換合作關係,是以,EMA和EMCDDA於今年九月初於葡萄牙里斯本相互簽署了修訂工作協議(amended working arrangement),約定在新型精神性影響藥物與藥物濫用的面向上,加強相互間的資訊交流合作。 於EMA和EMCDDA所簽訂的修正工作協議中,雙方約定就下列領域深化資訊交換: 1.雙方需各自依照歐盟執委會2005/387/JHA決議和歐盟1235/2010號法規第28c(2)條,對於所擁有之新型精神性影響藥物與藥物濫用(包含不合法藥品)資訊進行交換合作; 2.資訊交換需透過通常基準的報告形式由EMCDDA送至EMA,並含括有關於藥物產品濫用、不合法藥物,以及新型精神性影響物質等相關資訊; 3.EMA必須通知EMCDDA有關於藥物產品濫用的有效導因(validated signals),同時,EMA必須提供EMCDDA有關於藥物產品濫用和新型精神性影響藥品市場核准狀況的細部資訊; 4.EMA對於選定藥物產品之風險管理計畫的界定,可考量是否需先行與EMCDDA作諮詢意見交換; 5.EMA和EMCDDA在歐盟執委會2005/387/JHA決議和歐盟1235/2010號法規第28c(2)條所設基礎的合作模式下,必須要特別注意確保人類或動物健康照護並無惡化的情事,同時應確保科學建議之潛在衝突於前階段將會被界定與管理; 6.EMA和EMCDDA兩者間諮詢的進行,必須避免非關於新型精神性影響物質風險評估之科學建議的潛在衝突; 7.對於任何額外合作計畫的執行,必須考量EMA和EMCDDA兩者的例行性工作規劃; 8.對於特定計畫需要額外資源時,必須經由EMA和EMCDDA共同同意,並將同意文件附於現階段的工作協議中; 9.EMA和EMCDDA可就其各自舉辦的會議相互邀請對方,並邀請對該會議有興趣的其他團體參與; 10.對於EMA和EMCDDA間實際的合作面向,將在工作協議既定架構下繼續發展。 除了前述的適用範圍外,EMA和EMCDDA的修訂工作協議,亦有就相互諮詢和秘密資訊等領域作出約定,以確保資訊交換係在符合雙方需求與不侵害個人基本權利的情況下進行。有鑑於EMA和EMCDDA希冀藉由資源互補的強化約定,來彌補自身於精神性影響藥物和藥物濫用領域的資訊不足缺陷,是否我國在相關醫療、藥品管制或是藥品商業化資訊需有跨機關的整合機制,以促使我國在醫療、醫藥資訊交換與流通,在不侵害個人基本權利的情況下,能夠發揮互益效用,則是我國有關單位必須審慎思考的問題。
歐盟發布新人工智慧規範,以風險程度判斷防止科技濫用歐盟執委會於2021年4月21日提出「人工智慧規則」(AI regulation)草案,成為第一個結合人工智慧法律架構及「歐盟人工智慧協調計畫」(Coordinated Plan on AI)的法律規範。規範主要係延續其2020年提出的「人工智慧白皮書」(White Paper on Artificial Intelligence)及「歐盟資料策略」(European Data Strategy),達到為避免人工智慧科技對人民基本權產生侵害,而提出此保護規範。 「人工智慧規則」也依原白皮書中所設的風險程度判斷法(risk-based approach)為標準,將科技運用依風險程度區分為:不可被接受風險(Unacceptable risk)、高風險(High-risk)、有限風險(Limited risk)及最小風險(Minimal risk)。 「不可被接受的風險」中全面禁止科技運用在任何違反歐盟價值及基本人權,或對歐盟人民有造成明顯隱私風險侵害上。如政府對人民進行「社會評分」制度或鼓勵兒童為危險行為的語音系統玩具等都屬於其範疇。 在「高風險」運用上,除了作為安全設備的系統及附件中所提出型態外,另將所有的「遠端生物辨識系統」(remote biometric identification systems)列入其中。規定原則上禁止執法機構於公眾場合使用相關的生物辨識系統,例外僅在有目的必要性時,才得使用,像尋找失蹤兒童、防止恐怖攻擊等。 而在為資料蒐集行為時,除對蒐集、分析行為有告知義務外,也應告知系統資料的準確性、安全性等,要求高度透明化(Transparency obligations)。不只是前述的不可被接受風險及高風險適用外,有限風險運用中的人工智慧聊天系統也需要在實際和系統互動前有充足的告知行為,以確保資料主體對資料蒐集及利用之情事有充足的認知。 在此新人工智慧規範中仍有許多部份需要加強與討論,但仍期望在2022年能發展到生效階段,以對人工智慧科技的應用多一層保障。