英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響
英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國,英國仍需要明確有效的資料保護法,而關於公投退出歐盟(Brexit)結果,ICO發言人表示:「資料保護法是屬地的,不問公投結果為何,若英國不再是歐盟的成員國,即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易,我們必須證明資料保護是充足的,亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言,遵循資料保護法律與歐盟一致性規範,既是企業組織,亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作,而且未來亦是如此。目前明確的法律保護相當重要,且考量到經濟發展,ICO會向政府提出建議,英國相關法規之改革仍屬必要。」
Brexit後,英國企業資料仍需傳輸至第三國,因此英國可能需爭取類似於瑞士、加拿大等,由歐盟執委會認定資料保護符合充足保護水準之模式;或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性,而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses),或英國授權有約束力的企業自我拘束規則(Binding Corporate rules),然而目前英國退出歐盟程序進行中,相關資料保護傳輸之法規範,仍待後續密切觀察。
- 1.Information Commissioner
- 2.Information Commissioner
- 3.European Commission, Commission decisions on the adequacy of the protection of personal data in third countries
- 4.Data Protection Act 1998
- 5.European Commission, Model Contracts for the transfer of personal data to third countries
- 6.European Commission, Overview on Binding Corporate rules
- 7.John E Dunn, Brexit and the GDPR - why leaving the EU will make life harder for enterprises
- 8.Alan Charles Raul, William RM Long and Cameron F. Kerry, Amid news of Brexit, UK ICO seeks to provide reassurance
- 9.Liz Fitzsimons and Rebecca Sherry, Brexit: the impact on General Data Protection Regulation
孫鈺婷
專案經理 編譯整理
1.Information Commissioner's Office, Referendum result response, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/06/referendum-result-response/ (last visited June 29, 2016).
2.Information Commissioner's Office, Statement on the implications of Brexit for data protection, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/ (last visited June 29, 2016).
3.European Commission, Commission decisions on the adequacy of the protection of personal data in third countries, http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm (last visited June 29, 2016).
4.Data Protection Act 1998, http://www.legislation.gov.uk/ukpga/1998/29/contents (last visited June 29, 2016).
5.European Commission, Model Contracts for the transfer of personal data to third countries,http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm (last visited June 29, 2016).
6.European Commission, Overview on Binding Corporate rules, http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm (last visited June 29, 2016).
7.John E Dunn, Brexit and the GDPR - why leaving the EU will make life harder for enterprises, http://www.computerworlduk.com/security/brexit-gdpr-why-leaving-eu-will-make-life-harder-for-enterprises-3641825/ (last visited June 29, 2016).
8.Alan Charles Raul, William RM Long and Cameron F. Kerry, Amid news of Brexit, UK ICO seeks to provide reassurance, https://www.lexology.com/library/detail.aspx?g=2818ea08-7eb3-4ab0-9919-0d43864f4a57 (last visited June 29, 2016).
9.Liz Fitzsimons and Rebecca Sherry, Brexit: the impact on General Data Protection Regulation, http://www.lexology.com/library/detail.aspx?g=f14861a6-7338-458a-b32c-cedd05c6facf(last visited June 29, 2016).
英國2011年10月女皇正式批准(Royal Assent)同年9月經上議院(The House of Lords)所審議通過之「2011能源法(Energy Act 2011)」,其主要規範內容係為規劃擴編英國「綠色新政(Green Deal)」規模,及其投入財務協助之適用領域,並且對於家庭及商業部門之能源效率,訂定強制規範以加強提昇執行績效,共同推動英國達成低碳能源國家之政策目標。 關於推動家庭及商業部門之能源效率部分,「2011能源法」對於「私部門租賃建物(Private rented sector)」部分,特別訂定強制規範,要求自2016年4月起,私有建物擁有者(Private Residential Landlords)將不能拒絕租賃者所提出之「能源效率改善方案(Energy Efficiency Improvements)」,並且政府將提供各項財務金融協助(如綠色新政資金)。 並且,「2011能源法」對於私有建物能源效率等級(Energy Efficiency Standard)之標示,積極賦予法律推動效力,要求自2018年4月起,英國境內私有建物倘若未達能源效率標示等級E以上者,將限制其對外(居住使用及商業使用)出租之權利。 「2011能源法」為協助英國達成2020年國家節能減碳政策目標(減少碳排放20%以上,能源效率改善達20%以上)之重要立法,並且對於加強推動能源效率、擴編綠色新政規模、民間部門強制義務等,制定相關規範並設立推動時程,未來推動上可持續觀察其落實成效。
日本擬讓司法機關偵查時利用GPS定位取得位置資訊無須事先告知,僅須取得法院令狀日本電信事業個人資料保護指針(電気通信事業における個人情報保護に関するガイドライン)自2011年修訂後至今即未有任何改變。然而,隨著現代行動通信軟硬設備技術的進步,智慧型手機中已有許多應用程式可透過GPS衛星定位功能準確獲取使用者之位置資訊,倘若司法機關也能於搜查辦案過程即時取得此定位資訊,將可提高偵查效率並縮短破案時程。 為此,日本總務省擬將原先須事先通知行動設備使用人與獲得法院令狀後,方得利用GPS衛星定位獲取位置資訊之電信事業個人資料保護指針第26條修訂為司法機關取得法院令狀後,即可利用GPS衛星定位獲取行動設備使用人位置訊息。 然此項修訂除將可能造成行動通訊業者營運上的額外負擔之外,亦有侵害設備使用者之個人隱私與個人資料疑慮。因此,為了抑止濫為偵查,法院令狀之發出須有其必要性,搜查機關亦必須向行動通訊業者為必要性之說明。 再者,此項利用GPS衛星定位獲取位置訊息之方式也僅限於使用Android系統設備且將定位功能開啟之使用者,對於使用Apple iOS系統設備之使用者則不但須使用者開啟定位功能,還須經過美商蘋果公司同意方能取得亦是一項難題。 日本總務省已於2015年4月17日發布此項法令修訂訊息並徵詢公眾意見,預計於6月完成修法並公布之。
美國公布TPP官方版本確認智慧財產權及資料專屬權條款美國貿易代表辦公室(the Office of the United States Trade Representative,簡稱USTR)於11月5日公布泛太平洋夥伴協議官方版本,並待各成員國國會同意。其中第18章是有關智慧財產權受到爭議較多。其涉及層面包括商標、地理標示、著作權及相關權利、網路服務提供者、資料專屬保護、專利連結、發明專利、工業設計、智慧財產權執行等等。其重點如下: (1)商標:TPP規定不得以視覺可感知的標識作為申請商標註冊的要件。 (2)地理標示:TPP要求提供適當及公開的程序來保護地理標示。 (3)著作權及相關權利:其中最重要者為將著作、表演或錄音物的著作權保護期間,延長至70年。 (4)網路服務提供者:TPP要求對ISP業者提供法律誘因,免除其可能擔負的共同侵權責任,鼓勵其與著作權人合作,共同遏止網路侵權。 (5)資料專屬保護:TPP要求對農藥或醫藥品提供資料專屬保護,保護期間為新化學性農藥至少10年;新成分新藥至少5年;已知藥品之新適應症、新複方或新投藥方法之臨床資料至少3年;新生物藥品至少8年或5年(併同其他有效保護市場機制)。 (6)專利連結:TPP要求建立專利連結制度。 (7)發明專利制度:其中較為重要者為TPP規定優惠期期間為本國申請案申請日前1年,且不限制公開的行為態樣。對於審查不合理遲延者,應補償其專利期限。 (8)工業設計:TPP要求應提供物品部分設計之保護。 (9)智慧財產權保護的執行:TPP規定法院有權判決敗訴方負擔訴訟及律師費用費用;透過行政、司法及海關等層面採取迅速保全措施等等。
德國資料保護會議通過「哈姆巴爾宣言」,針對人工智慧之運用提出七大個資保護要求德國聯邦及各邦獨立資料保護監督機關(unabhängige Datenschutzaufsichtsbehörden)共同於2019年4月3日,召開第97屆資料保護會議通過哈姆巴爾宣言(Hambacher Erklärung,以下簡稱「Hambacher宣言」)。該宣言指出人工智慧雖然為人類帶來福祉,但同時對法律秩序內自由及民主體制造成巨大的威脅,特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料,並且透過自動化的演算系統,干預個人的權利與自由。 諸如人工智慧系統被運用於判讀應徵者履歷,其篩選結果給予女性較不利的評價時,則暴露出人工智慧處理大量資料時所產生的性別歧視,且該歧視結果無法藉由修正資料予以去除,否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務,國家有義務使人工智慧的發展與應用,符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時,應符合歐盟一般資料保護規則(The General Data Protection Regulation,以下簡稱GDPR)第5條個人資料蒐集、處理與利用之原則,並基於該原則針對人工智慧提出以下七點個資保護之要求: (1)人工智慧不應使個人成為客體:依據德國基本法第1條第1項人性尊嚴之保障,資料主體得不受自動化利用後所做成,具有法律效果或類似重大不利影響之決策拘束。 (2)人工智慧應符合目的限制原則:透過人工智慧系統蒐集、處理與利用個人資料時,即使後續擴張利用亦應與原始目的具有一致性。 (3)人工智慧運用處理須透明、易於理解及具有可解釋性:人工智慧在蒐集、處理與利用個人資料時,其過程應保持透明且決策結果易於理解及可解釋,以利於追溯及識別決策流程與結果。 (4)人工智慧應避免產生歧視結果:人工智慧應避免蒐集資料不足或錯誤資料等原因,而產生具有歧視性之決策結果,控管者或處理者使用人工智慧前,應評估對人的權利或自由之風險並控管之。 (5)應遵循資料最少蒐集原則:人工智慧系統通常會蒐集大量資料,蒐集或處理個人資料應於必要範圍內為之,且不得逾越特定目的之必要範圍,並應檢查個人資料是否完全匿名化。 (6)人工智慧須設置問責機關進行監督:依據GDPR第12條、第32條及第35條規定,人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施,以確保蒐集、處理與利用個人資料之安全性。 (7)人工智慧應採取適當技術與組織上的措施管理之:為了符合GDPR第24條及第25條規定,聯邦資料保護監督機關應確認,控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 綜上所述,Hambacher宣言內容旨在要求,人工智慧在蒐集、處理及利用個人資料時,除遵守歐盟一般資料保護規則之規範外,亦應遵守上述提出之七點原則,以避免其運用結果干預資料主體之基本權利。