德國因應歐盟一般資料保護規則(GDPR)之通過,即將進行該國資料保護法(BDSG)修正

  德國聯邦資訊技術,電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則(GDPR)內容為基礎,調整德國聯邦資料保護法(BDSG)之修法動向。

  德國政府正在緊鑼密鼓地調整德國的資料保護立法,使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿,但修正方向略有以下幾點:

  首先,德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防,調查,偵查等訴追刑事犯罪或執行刑事處罰目的,處理個人資料時的保護以及對資訊自由流通指令。

  其次,新法將遵循GDPR的結構,並利用一些除外規定,如:在資料處理時企業應指派九人以上資料保護官(DPO)的義務。某些如通知當事人的義務規定,亦有可能在存有更高的利益前提下,限縮其履行範圍。此意味某些通知義務有可能得不適用,例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。

  第三,聯邦法律將保留一些規定,如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款,以及在公眾開放地區使用電子光學裝置監視的條款等。

  最後,立法修正動向值得注意的重點尚有,(1)未來德國立法者將如何應對新的歐洲資料保護委員會(EDPB)中德國代表的地位(represe。由於EDPB將發布具有約束力的決定,針對爭議內容的決定意見,德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官(17個)經常提出不同的見解。此外,(2)還應該觀察聯邦資料保護監察官是否應該賦予權限,向法院提出對歐盟爭議決定或法律救濟,使案件進入德國法院,以爭執歐盟執委會所為之決定是否具備充足理由。前此,德國聯邦參議院(代表十六邦)2016年5月已要求聯邦政府引進新規定,使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論,將來有可能提供德國資料保護監察官,挑戰隱私盾協議的可能性。但新法案是否會解決這一問題,這還有待觀察。

  可預見在2017年9月下一屆德國聯邦議會選舉前,將通過法案。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 德國因應歐盟一般資料保護規則(GDPR)之通過,即將進行該國資料保護法(BDSG)修正, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7688&no=57&tp=1 (最後瀏覽日:2026/07/04)
引註此篇文章
你可能還會想看
日本經濟產業省公布自動駕駛後續之政策方針報告書

臺積電於美國專利訴訟勝訴

  纏訟四年後,臺灣積體電路製造股份有限公司及其北美子公司(臺積電),在與美國Ziptronix公司之專利訴訟中獲得勝訴判決。   同為半導體公司的Ziptronix於2010年起訴主張臺積電所製造,主要用於智慧型手機相機的背照式CMOS影像感測器晶片,侵害該公司9項專利及超過500項申請專利範圍。   依據美國專利法第271條(a)項,除該法另有規定外,於專利權存續期間,未經許可於美國境內製造、使用、要約銷售,或銷售已獲准專利之發明產品,或將該專利產品由外國輸入至美國境內,方屬侵害專利權。因此本案中,臺積電即以美國專利法不適用於美國境外之製造、銷售為由,向法院聲請駁回原告Ziptronix公司之訴。承審法官同意臺積電簡易判決(summary judgment)的聲請,並於10月底作出判決。   臺積電於訴訟中成功主張涉訟晶片的製造及銷售交貨行為皆在臺灣完成。承審法官更指出,縱使如原告Ziptronix公司所言,臺積電相關契約皆於美國境內協商及簽訂,但因為該等契約本來就計畫於海外履行,因此臺積電的涉訟晶片仍非於美國境內銷售。

美國產業安全局放寬對敘利亞的出口管制措施

美國產業安全局(Bureau of Industry and Security)於2025年9月2日發布《放寬對敘利亞的出口管制》(Relaxing Export Controls for Syria)最終細則,此最終細則依《總統行政命令第14312號》(E.O.14312)修訂、放寬《出口管制規則》(Export Administration Regulations,以下簡稱EAR)對敘利亞的出口管制措施。 此次的修訂放寬重點如下: 1. 新增或擴大對敘利亞出口、再出口的許可例外(license exception)範疇 (1) 針對EAR第740部分為新增和擴張,如新增有關於敘利亞和平與繁榮(Peace and Prosperity)的許可例外,擴大EAR第740.9條許可例外之範圍至與消費性通訊裝置(Consumer Communications Devices)相關的貨品及軟體; (2) 為了允許對敘利亞出口、再出口新增的許可例外情況,修訂EAR第746.9條第b項一般限制條款。 2. 對敘利亞出口、再出口採取更寬鬆的許可審查 (1) 於EAR第746.9條第c項第1款特定最終使用情況(如電信通訊、水供應和衛生、電力等)採取推定同意(presumption of approval licensing); (2) 其餘最終使用的出口和再出口許可申請,依EAR第746.9條第c項第2款以逐案審查(case-by-case)的方式為之。 3. 刪除部分條文 例如EAR第746.1條第a項第3款刪除適用《第二號一般命令》(General Order No. 2.)之內容,而交叉參照EAR第746.9條。

世界衛生組織發布人工智慧於健康領域之監管考量因素文件,期能協助各國有效監管健康領域之人工智慧

世界衛生組織(World Health Organization, WHO)於2023年10月19日發布「人工智慧於健康領域之監管考量因素」(Regulatory considerations on artificial intelligence for health)文件,旨在協助各國有效監管健康領域之人工智慧,發揮其潛力同時最大限度地降低風險。本文件以下列六個領域概述健康人工智慧之監管考量因素: (1)文件化與透明度(Documentation and transparency) 開發者應預先規範(pre-specifying)以及明確記錄人工智慧系統(以下簡稱AI系統)之預期醫療目的與開發過程,如AI系統所欲解決之問題,以及資料集之選擇與利用、參考標準、參數、指標、於各開發階段與原始計畫之偏離及更新等事項,並建議以基於風險之方法(Risk-based approach),根據重要性之比例決定文件化之程度、以及AI系統之開發與確效紀錄之保持。 (2)風險管理與AI系統開發生命週期方法(Risk management and AI systems development lifecycle approaches) 開發者應在AI系統生命之所有階段,考慮整體產品生命週期方法(total product lifecycle approach),包括上市前開發管理、上市後監督與變更管理。此外,須考慮採用風險管理方法(risk management approach)來解決與AI系統相關之風險,如網路安全威脅與漏洞(vulnerabilities)、擬合不足(underfitting)、演算法偏差等。 (3)預期用途、分析及臨床確效(Intended use, and analytical and clinical validation) 開發者應考慮提供AI系統預期用途之透明化紀錄,將用於建構AI系統之訓練資料集組成(training dataset composition)之詳細資訊(包括大小、設定與族群、輸入與輸出資料及人口組成等)提供給使用者。此外,可考慮透過一獨立資料集(independent dataset)之外部分析確效(external analytical validation),展示訓練與測試資料以外之效能,並考慮將風險作為臨床確效之分級要求。最後,於AI系統之上市後監督與市場監督階段,可考慮進行一段期間密集之部署後監督(post-deployment monitoring)。 (4)資料品質(Data quality) 開發者應確認可用資料(available data)之品質,是否已足以支援AI系統之開發,且開發者應對AI系統進行嚴格之預發布評估(pre-release evaluations),以確保其不會放大訓練資料、演算法或系統設計其他元素中之偏差與錯誤等問題,且利害關係人還應考慮減輕與健康照護資料有關之品質問題與風險,並繼續努力創建資料生態系統,以促進優質資料來源之共享。 (5)隱私與資料保護(Privacy and data protection) 開發者於AI系統之設計與部署過程中,應考慮隱私與資料保護問題,並留意不同法規之適用範圍及差異,且於開發過程之早期,開發者即應充分瞭解適用之資料保護法規與隱私法規,並應確保開發過程符合或超過相關法規要求。 (6)參與及協作(Engagement and collaboration) 開發者於制定人工智慧創新與部署路線圖之期間,需考慮開發可近用且具有充足資訊之平台,以於適合與適當情況下促進利害關係人間之參與及協作;為加速人工智慧領域實務作法之進化,透過參與及協作來簡化人工智慧監管之監督流程即有必要。

TOP