法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
新加坡生物道德諮詢委員會五日發表基因檢驗與研究道德準則草案,草案建議政府禁止基因研究者在未獲得同意之下取得基因進行測試與研究,同時也禁止採用基因檢驗來選擇胎兒的性別。新加坡生物道德諮詢委員公布基因檢驗與研究道德準則草案,共提出二十四項建議,希望能在研究人員從事基因研究時,保障人權。 草案建議政府,任何基因測試除非獲得基因所有人同意,否則不得進行。,產前基因篩檢只能限於確保孩子的健康,不要把先天性疾病遺傳給下一代,但不能用在選擇生男或生女。草案規範,研究員或醫生不能把基因研究結果透露給第三者,包括雇主和保險公司知道,以保障個人隱私。 委員會已經把草案公布在網站上供民眾查閱,並分送給一百一十四個機構,徵詢公眾和機構的看法;委員會將在年底向星國生命科學部長級會議提出報告。
加州新修正法規要求公司董事會必須包括女性加利福尼亞州(下簡稱加州)州長Jerry Brown於2018年9月30日簽署了一項新法案,規定在加州註冊成立的上市公司以及總部位於加州並在美國證交所上市的外國公司(如德拉瓦州公司),都必須在2019年底之前,於其董事會安排至少一位女性擔任董事,否則將面臨處罰;而此項新規定,亦使加州成為美國第一個要求上市公司將女性納入董事會的州。 此項規定並規定,在2021年年底前,若董事會的規模為6名以上,至少需有3名女性董事,若董事會的規模為5名成員,則至少需有2名女性董事,若董事會規模為4名以下董事,則至少需有1名女性董事。違反此項規定,將受到以下處罰:(1)首次違反處以10萬美元的罰款;(2)再度違反處以30萬美元的罰款,隨後再處以每次違反的罰款。 根據統計,日前在美國3000家最大的上市公司的董事會組成中,女性僅占其中18%,於2017年,更有624家上市公司的董事會中根本沒有女性。該法案表明,促進公司董事會性別平等不僅可以改善所有女性的職場機會,同時還能提高生產力,其依據是瑞士信貸(Credit Suisse)於2014年所作出的一項研究,該研究發現,擁有全男性董事會的公司,其平均股本回報率(Return on Equity, ROE)為10.1%,而擁有至少一名女性董事的公司,其平均股本回報率為12.2%。 根據彭博社(Bloomberg)於2019年的一項新分析,此項變革可為女性提供692個席次,並足以導致美國公司董事會整體性別平衡產生顯著的變化。此外,新紐澤西州(New Jersey)和馬薩諸塞州(Massachusetts)亦在考慮進行類似的立法,其他州也通過了不具拘束力的準則。根據統計,若其他州採用和加州相同立法,羅素3000(Russell 3000)中的公司需要在幾年內為女性開放3732個董事會席次,全國董事會的女性人數將增加近75%。 縱使該法案的反對者認為,這將增加企業改善種族和民族多樣性的難度,並質疑法案的適法性,然該法案的提出者仍認為,此一措施對於提升女性的代表權是必要的,相信當董事會組成多元化,女性的聲音能被聽到時,對整體勞動力的改善會是更好的。
美國《保護美國人免受外國對手應用程式侵害法案》生效,延長受規範主體出售持股之期限早在今年(2024年) 3月13日,美國眾議院曾正式表決通過《保護美國人免受外國對手應用程式侵害法案》(Protecting Americans from Foreign Adversary Controlled Applications Act),所有由「外國敵對勢力控制的應用程式」若對國內造成國安威脅,則必須在法案生效後的6個月內拆分在美國之業務及出售持股,且收購公司或新成立公司的營運必須完全獨立自主,不得與原事業有任何往來或合作關係,包括演算法或資料分享等。而相關收購案也須經過主管機關審查,確認其出售之後已完全脫離外國敵對勢力的控制,直到分拆業務為止,美國的虛擬主機服務提供者,始得為其架設網站;若超過期限而未出售,其將從應用程式商店和基於網路的託管服務中被關閉,永久被排除在美國的Google Play、Apple App Store等軟體商店之外。 攤開美國商務部所列的外國敵對勢力清單,中國大陸和香港、古巴、伊朗、北韓、俄國都在名單之列。然而,擁有1.7億美國使用者的短影音平臺TikTok在美國極為盛行,且盛傳TikTok似將所蒐集的美國使用者個人資料提供中國大陸北京政府,因而成為該法案首當其衝的頭號目標。故法案當中即點名TikTok,甚至強調其母公司字節跳動(ByteDance)未來推出的應用程式亦在禁止之列,故該法案又俗稱TikTok禁令。 於審議2024年度的國安補充撥款法案時遂提出將援外法案裂解成獨立法案的發想,而TikToK禁令則屬其他國安需求之類別而包裹在另外一個法案中進行單獨的審議及表決,為兩黨創造更多妥協空間,以便在個別議題上尋求最大公約數。4月20日下午,眾議院以360票贊成58票反對通過《透過力量實現21世紀和平法案》(21st Century Peace through Strength Act),爾後以四案合一的包裹方式送交參議院審議表決,於當地時間23日晚間美國參議院通過該單一修正案,24日再經美國總統拜登(Joe Biden)簽署後正式生效。該HR8038法案包含對以色列、烏克蘭、印太區域安全的3項援助法案,至於強制TikTok脫離中國大陸母公司字節跳動的措施則位在法案的D章節,此部分名為「保護美國人免受外國對手控制應用程式侵害」,實質上乃與眾議院上月通過的法案類同,僅在出售期限上與眾議院上月通過的版本不同,其理由在強調該法案首在以「撤資」為核心,故從原先6個月之限期展延至1年,而此1年期限包含法案生效後270天內讓受規範者脫售持有股份,如於出售期限屆期之際,倘在任何收購階段已取得進展或近乎完成撤資之目標,總統基於職權可額外授權給予90天寛限期以便完成交易程序。從而當前受第一波影響的TikTok得暫時在美國市場續命,惟若終局倘未能出售其在美資產及持股而達完全剝離母公司控制之進程,仍舊得面臨業務全面下架並禁止在美國境內運營的結果。 從HR8038法案的通過可透析兩個重要資訊: 1.為美方體認到社群媒體強大的認知影響力:此前有關數位平臺演算法如何推薦特定內容的曝光不易由法律監管,任何措施皆須在美國憲法第一修正案的框架下進行,避免任何人對言論自由和獲取資訊施加限制,因而法案改以不公平競爭之角度為外衣,迫使敵國之外國企業出售技術和資產,防免其透過不透明的演算法操縱美國人民的行為判斷。 2.從法案的性質上綱到國家安全層次觀察:可探知該法案為美中在科技領域角力下之產物,阻止中國大陸將數據資料武器化,由於中國從2017年起,陸續通過《國家情報法》、《網絡安全法》和《數據安全法》等國安法規,明文規定如為維護國家安全或調查犯罪,有關單位可以調取數據,而握有數據的私人企業或個人只能依法配合,同時中國大陸北京政府也大力整頓網路科技業者,目的之一就是提高國家對企業蒐集資料的控制,產生干預美國內政之風險。 惟TikToK借鑒在蒙大拿州之經驗,表示將同樣基於違反美國憲法第一修正案所保障之言論自由採取法律行動,擬透過司法救濟途徑爭取其在市場上繼續運營的空間。若期間法院未作成任何決定,自法案生效日(2024年4月24日)起算270天,正值落在下一任總統就職前一天,即2025年1月19日之前,字節跳動公司必須出售TikTok在美之業務及資產,屆期未出售則將從Apple App Store或Google Play等應用程式商店全面下架TikTok及其更新版,否則應用程式商店將面臨依使用者數量計算的等比例罰款,另外其他網路服務供應商也將封鎖TikTok進行網路存取。
歐盟正式通過資料治理法(DGA),歐盟資料共享發展跨出一大步歐盟理事會(Council of the European Union)於2022年5月16日正式通過了資料治理法(Data Governance Act, 簡稱DGA),本法是歐盟執委會(European Commission)於2020年11月提案,經過一年多的意見徵詢與協商,歐盟議會(European Parliament)於今(2022)年4月6日以501票贊成通過,隨後由歐盟理事會通過公布,本法預計將於2023年8月正式生效。 DGA包含幾大面向,除了針對資料中介服務(data intermediation)、資料利他主義(data altruism)、歐盟資料創新委員會(European Data Innovation Board)等機制建立的規定外,在第二章特別針對公部門所持有之特定類別資料的再利用(reuse)進行規定。當公部門持有的資料涉及第三方受特定法律保護的權利時(如涉及第三方之商業機密、智慧財產、個資等),本法規定公部門只要符合特定條件下可將此類資料提供外界申請利用;若為提供符合歐盟整體利益的服務且具有正當理由和必要性的例外情況下,得授予申請對象專有權(exclusive rights),但授權期間不得超過12個月;歐盟應以相關技術確保所提供資料之隱私和機密性。 再者,各會員國應指定現有機構或創建一個新機構擔任提供上述資料類型的單一資訊點(Single Information Point, SIP),以電子方式公開透明地提供資料清單,包含可申請利用之資料的來源及相關描述(至少包含資料格式、檔案大小、再利用的條件等),以提供中小企業、新創企業便利、可信的資料查詢管道。此外,歐盟執委會應建立一個單一近用點(Single Access Point, SAP),提供一個可搜尋公部門資料的電子登記機制(a searchable electronic register of public-sector data),讓使用者得直接搜尋各會員國單一資訊點(SIP)中所提供的資料及相關資訊。 DGA是歐盟2020年2月發布歐盟資料戰略(European Data Strategy)後的第一個立法,歐盟希望透過本法建立一套能提升資料可利用性和促進公私部門間資料共享的機制,以創造歐盟數位經濟的更高價值。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」