德國因應歐盟一般資料保護規則(GDPR)之通過,即將進行該國資料保護法(BDSG)修正
德國聯邦資訊技術,電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則(GDPR)內容為基礎,調整德國聯邦資料保護法(BDSG)之修法動向。
德國政府正在緊鑼密鼓地調整德國的資料保護立法,使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿,但修正方向略有以下幾點:
首先,德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防,調查,偵查等訴追刑事犯罪或執行刑事處罰目的,處理個人資料時的保護以及對資訊自由流通指令。
其次,新法將遵循GDPR的結構,並利用一些除外規定,如:在資料處理時企業應指派九人以上資料保護官(DPO)的義務。某些如通知當事人的義務規定,亦有可能在存有更高的利益前提下,限縮其履行範圍。此意味某些通知義務有可能得不適用,例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。
第三,聯邦法律將保留一些規定,如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款,以及在公眾開放地區使用電子光學裝置監視的條款等。
最後,立法修正動向值得注意的重點尚有,(1)未來德國立法者將如何應對新的歐洲資料保護委員會(EDPB)中德國代表的地位(represe。由於EDPB將發布具有約束力的決定,針對爭議內容的決定意見,德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官(17個)經常提出不同的見解。此外,(2)還應該觀察聯邦資料保護監察官是否應該賦予權限,向法院提出對歐盟爭議決定或法律救濟,使案件進入德國法院,以爭執歐盟執委會所為之決定是否具備充足理由。前此,德國聯邦參議院(代表十六邦)2016年5月已要求聯邦政府引進新規定,使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論,將來有可能提供德國資料保護監察官,挑戰隱私盾協議的可能性。但新法案是否會解決這一問題,這還有待觀察。
可預見在2017年9月下一屆德國聯邦議會選舉前,將通過法案。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Konferenz diskutiert Umsetzung der EU-Datenschutzverordnung, https://www.bitkom.org/Presse/Presseinformation/Konferenz-diskutiert-Umsetzung-der-EU-Datenschutzverordnung.html (last visited Nov. 4, 2016)
2. News on the German Adaption of the General Data Protection Regulation, https://www.privacy-conference.com/news/news-german-adaption-general-data-protection-regulation (last visited Nov. 4, 2016)
美國新任總統歐巴馬上台後,終結小布希政府多年來的人類幹細胞研究補助禁令,於今(2009)年3月9日發佈了13505號執行命令(Executive Order)。此執行命令不僅擴大了可接受政府補助之人類幹細胞研究範圍,亦要求美國國家健康研究院(National Institutes of Health, NIH)檢視現存相關指導方針,並於120天內發佈新的規範。因此,NIH隨後於4月23日提出了幹細胞研究指導方針草案。 草案除將持續補助使用成體幹細胞及誘導多能幹細胞之研究外,針對過往無法接受補助之幹細胞類型(即原本為生殖目的之體外受精卵所衍生之幹細胞)也解除了禁令,使得美國科學家可取得更多樣及不受汙染的人類幹細胞。另外,草案也就幹細胞取得之告知後同意條約與流程做詳細的說明。最後,源自於體細胞核移轉(somatic cell nuclear transfer)、單性生殖(parthenogenesis)或為研究目的於體外所製造之胚胎等範疇之幹細胞,將無法接受草案的補助。 雖然草案大幅開放可受補助之範圍,但仍有些使用合乎規定之幹細胞之研究無法接受到補助,故對利害關係人來說,還是要注意草案所規定之限制條件。目前草案仍處於公眾評論之階段,預計不久之後將可正式生效。
英國提出巨量資料下之個人資料保護應遵循資料保護法之原則 英國資訊委員辦公室(ICO)進行監理沙盒初步公眾意見徵詢英國資訊委員辦公室(Information Commissioner's Office, ICO)2018年9月就監理沙盒為初步公眾意見徵詢,以瞭解其可行性。ICO監理沙盒之建立係依據英國2018-2021年科技策略(Technology Strategy for 2018-2021),並參考英國金融行為監理總署(Financial Conduct Authority, FCA)已成功發展之沙盒機制。ICO將提供組織於安全可控且不排除資料保護法規適用的環境下,以創新方式應用個資於開發創新產品與服務,並提供關於降低風險與資料保護設計(data protection by design)的專業知識和建議,同時確保組織採取適當安全維護措施。徵詢重點分為六部分: 障礙和挑戰(Barriers and Challenges):歐盟一般資料保護規則(General Data Protection Regulation, GDPR)或英國2018年資料保護法(Data Protection Act 2018, DPA18)之適用,以及ICO之監管方法,是否造成組織以創新方式應用個資於開發創新產品與服務之障礙或挑戰。 適用之可能範圍(Possible scope of an ICO Sandbox) 了解參與益處(Understanding the benefits of involvement) 機制(Sandbox mechanisms):於監理沙盒機制下不同階段提供指導,初期就如何解決資料保護相關問題提供非正式之指導(informal steers);中期提供法律允許與具適當保護措施之監管指導,如對參與者進入沙盒期間內非故意違反資料保護原則之行為,不會立即受到制裁之聲明函(letters of comfort)、確認組織未違反相關資料保護法規等;以及針對新興技術和創新特定領域,提供解決資料保護挑戰之預期指導(anticipatory guidance),如訂定相關行為準則(code of conduct)。 時機(Sandbox timings):包含開放申請進入沙盒時點、進入模式、是否彈性因應產品開發週期、測試階段期間等。 管理需求(Managing Demand):如設定優先進入沙盒領域、類型、設定參與者數量上限等。 該諮詢於10月12日結束,2018年底將公布結果,值得持續追蹤,以瞭解ICO監理沙盒未來之發展。 ICO亦接續於10月建立監管機關業務和隱私創新中心(Regulators’Business and Privacy Innovation Hub),與其他監管機關合作提供資料保護之專業知識,以確保法規與未來的技術同步發展;該中心也將與ICO監理沙盒共同推動,支持組織以不同方式使用個資開發創新產品和服務。
中國大陸之國家互聯網信息辦公室發布《國家網絡安全事件報告管理辦法》中國大陸之國家互聯網信息辦公室於2025年9月11日發布《國家網絡安全事件報告管理辦法(下稱網安事件管理辦法)》,並將於2025年11月1日施行。網安事件管理辦法規定中國大陸之境內建設、營運網路或透過網路提供服務的網路營運者,於發生網路安全事件時的報告程序。 網安事件管理辦法值得注意或供我國參考有二者:一、與委外廠商之契約以其協力報告義務:該辦法第5條要求網路營運者應當以契約等形式,要求網路安全、系統維運服務提供商(含個人)向網路營運者報告監測發現,並協助網路營運者依辦法報告網路安全事件。簡言之,其透過法律監管網路營運商與委外廠商之間的契約或類似契約,以及報告之協力義務。二、個人資料與網路安全的關聯性:網安事件管理辦法透過《網絡安全事件分級指南》將網路安全事件分為1.特別重大網路安全事件、2.重大網路安全事件、3.較大網路安全事件、4.一般網路安全事件,四種分級。除關鍵基礎設施的中斷運行以外,前三個事件分級將100萬人、1000萬人、1億人以上公民個人資料丢失或被竊取、篡改、假冒,認定為較大網路安全事件以上等級,使大型網路安全事件與個人資料進行連接。換言之,網路安全事件不再僅是資安面的影響,公民個人資料完整性等法律概念逐漸進入資安領域,法律專業的投入將可能是網路安全發展中需審酌的範疇。