德國新聯邦個人資料保護法將於2018年5月施行
德國聯邦議院在今年4月27日通過「個人資料保護調整和施行法」(Datenschutzanpassungs- und Umsetzungsgesetz, DSAnpUG),其中包含新的德國聯邦個人資料保護法(Bundesdatenschutzgesetz, BDSG)。在這部新的法案中,已施行40年的 BDSG進行大幅調整以符合歐盟個人資料保護規則(Datenschutzgrundverordnung , DSGVO)的標準。
所有歐盟成員國將於2018年5月25日開始適用DSGVO的規定。DSGVO希望能在歐盟成員國內,形成一套具有法律統一性、標準性與高水準的個人資料保護制度。這也意味著侵害個人資料保護的違法行為,如:未使用適當的加密技術以確保個人資料安全,可能受到更嚴重的處罰,最高可達2,000萬歐元或企業全年營業額的4%。
DSGVO的目的在確保歐盟成員國間個人資料保護的共同法制標準,但考量到各成員國間的區域差異,DSGVO也提供國家立法者約60條的開放性條款(Öffnungsklauseln)─允許許多地區的成員國在特定條件下可不依循DSVGO標準。德國聯邦政府在新的BDSG,也運用了這些開放性條款。但有批評者認為,部分新的BDSG規範內容已超越DSGVO的條文規範,如:個資保護專員(Datenschutzbeauftragten)的就業保障。因此,新的BDSG與歐盟法律不符的部分,很可能被宣布違反歐盟法律。另一方面,舊的BDSG僅有48條規定,而新的BDSG則超過85條規定,且更為複雜,這都提高了法律適用上的難度。
雖然新的BDSG其適法性仍有爭議,且是否能通過司法審查亦屬未知。但盡管如此,隨著DSAnpUG 及新的BDSG法律條文制定,未來德國個人資料處理的基本法律框架已確定。由於企業個人資料處理的基本原則已明訂於DSGVO中,且新的BDSG仍是依照DSGVO的規範而制定,因此企業應盡速審查和調整他們的契約和流程,以符合DSGVO的規範要求。
- Neues Bundesdatenschutzgesetz im Bundestag
- Neue Datenschutzverordnung EU-DSGVO Handeln gefordert
- Das Bundesdatenschutzgesetz wird europäisiert
- Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DSAnpUG-EU), Bundesgesetzblatt Teil I 2017, Nr. 44 vom 05.07.2017, S. 2097~2132
李億誠
法律研究員 編譯整理
Neues Bundesdatenschutzgesetz im Bundestag, https://www.bitkom.org/Presse/Presseinformation/Neues-Bundesdatenschutzgesetz-im-Bundestag.html (last visited Sep. 28, 2017)
Das Bundesdatenschutzgesetz wird europäisiert, https://www.computerwoche.de/a/das-bundesdatenschutzgesetz-wird-europaeisiert,3330647 (last visited Sep. 28, 2017)
Neue Datenschutzverordnung EU-DSGVO Handeln gefordert, http://www.lanline.de/handeln-gefordert/ (last visited Sep. 28, 2017)
Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DSAnpUG-EU), Bundesgesetzblatt Teil I 2017, Nr. 44 vom 05.07.2017, S. 2097~2132, https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27%5D__1506330970336 (last visited Sep. 25, 2017)
英國上議院人工智慧專責委員會(Select Committee on Artificial Intelligence)2018年4月18日公開「AI在英國:準備、意願與可能性?(AI in the UK: ready, willing and able?)」報告,針對AI可能產生的影響與議題提出政策建議。 委員會建議為避免AI的系統與應用上出現偏頗,應注重大量資訊蒐集之方式;無論是企業或學術界,皆應於人民隱私獲得保障之情況下方有合理近用數據資訊的權利。因此為建立保護框架與相關機制,其呼籲政府應主動檢視潛在英國中大型科技公司壟斷數據之可能性;為使AI的發展具有可理解性和避免產生偏見,政府應提供誘因發展審查AI領域中資訊應用之方法,並鼓勵增加AI人才訓練與招募的多元性。 再者,為促進AI應用之意識與了解,委員會建議產業應建立機制,知會消費者其應用AI做出敏感決策的時機。為因應AI對就業市場之衝擊,建議利用如國家再訓練方案發展再訓練之計畫,並於早期教育中即加入AI教育;並促進公部門AI之發展與布建,特別於健康照顧應用層面。另外,針對AI失靈可能性,應釐清目前法律領域是否足以因應其失靈所造成之損害,並應提供資金進行更進一步之研究,特別於網路安全風險之面向。 本報告並期待建立AI共通之倫理原則,為未來AI相關管制奠定初步基礎與框架。
美歐有關基改生物管理之爭議決定出爐,WTO爭端解決小組判定歐盟基改法規違反WTO精神眾所注目的美歐有關基改生物與產品管理之 WTO 仲裁決定於五月初出爐, WTO 爭端解決小組判定歐盟基改禁令違反 WTO 精神,在長達上千頁的仲裁決定書(決定書將於六月公開)中, WTO 爭端解決小組認可了由基改領域專家稍早於 2 月初所做出之暫時性決定( preliminary ruling )。 事實上,此一 WTO 決定並不會改變歐盟目前對於基改生物及產品之管理限制,蓋以美國為首的控方所爭執者,為歐盟自 1998 年以後停止對基改生物與產品進行審查之事實上禁令,然歐盟已在 2004 年 4 月通過新的基改生物及產品管理法規,重新開啟基改生物及產品之上市審查,以實質行動祛除了該等禁令。不過, WTO 爭端解決小組此一決定書仍可能使歐盟未來在作成有關基因改造生物與產品之管理政策時,更為重視其貿易對手的意見,以避免爭端發生。 此外,決定書中也指出,儘管歐盟基改生物與產品之管理新制已自 2004 年 4 月上路,但歐盟會員國中仍有多個國家,如奧地利、法國、德國、盧森堡及希臘,被認為延宕實施歐盟新制,雖然歐盟執委會本身已試圖促使這些國家儘速實施歐盟基改生物與產品之管理新制,但由於一些程序規定的漏洞,以致成效有限,歐盟在今年四月已提出數項解決此一問題之建議方案。 另外,類似綠色和平組織( Greenpeace )、地球之友( Friends of the Earth Europe, FoEE )之非政府組織則批評透過 WTO 解決基因改造生物與產品之管理爭端之妥適性。這些非政府組織認為, GMO 議題具有高度爭議並涉及複雜的科學及環境議題,訴諸 WTO 仲裁機制並不妥當,其認為在 WTO 架構下,此類爭議處理時之考量點係以貿易利益為主。可見 WTO 爭端解決小組的決定,短時間內恐仍無法平息歐盟多數消費者對基因改造生物與產品所抱持之反對態度。
KCC提出Giga Internet計畫南韓通訊傳播委員會(Korea Communications Commission, KCC)與國家資訊社會局(National Information Society Agency, NIA) 於2009年7月24日共同宣佈「Giga網路促進計劃」的開展,預計在2012年開始提供商轉服務。Giga網路可在十秒鐘內下載一部DVD影片,較既有的光纖區域網路快上十倍。 南韓政府選定Giga網路作為國家型計畫乃係為了在「寬頻匯流網路」(BcN)計畫後,能繼續提供世界上一流的廣播通訊基礎建設。另一目的是希望藉此能有效利用高品質、大容量與匯流之資訊。 為了發展與Giga網路相關的技術、設備及服務,「Giga網路促進計劃」的參與者包括南韓的資通訊大型企業,包括一類、二類電信業者、相關軟業體、終端設備商與研究機構。藉此以全面且有體系性地逐步於未來四年內推行此計劃。該計畫預計於在2012年底,提供3D與多角度IPTV、HD家庭閉路電視(CCTV)與電視多媒體訊息服務給2,000家戶 。 KCC常委Tae-Gun Hyung預測:該計畫不將止是促進產業發展,也增加了全球資通訊匯流的科技競爭力,提供了新的市場進入領域,改變人們生活型態,並且帶給社會極大的催化效力。 南韓未來四年推動Giga網路取代BcN的成效,相當值得資通訊產業與發展型態屬性相近的台灣參考,作為我國推動數位匯流的重要借鏡。
歐盟個人資料侵害事故通知規則於2013年8月生效歐盟個人資料侵害事故通知規則(regulation on the notification of personal data breaches)於2013年8月生效,其目的係為統一歐盟各會員國有關個人資料侵害事故通知之規定,以使當事人可以獲得一致性的待遇,同時,業者於歐盟境內亦可採取一致性的作法。此規則將適用於所有供公眾使用之電子通訊服務(publicly available electronic communications services)提供者,例如網路服務提供者(Internet service providers)及電信業者,同時,其敍明前述業者所持有之個人資料如有發生洩露或其他侵害時,應通知當事人與通報主管機關之技術性程序(technical measures)。 依個人資料侵害事故通知規則之規定,業者於知悉個人資料侵害事故之24小時內通報主管機關,通報內容包括:事故發生之日期與時間、受侵害之個人資料之種類與內容、受影響之當事人人數、以及為降低對當事人可能帶的負面影響擬採取或己採取之組織上與技術上之措施。 個人資料侵害事故可能對當事人之個人資料或隱私產生負面影響,業者必須立即通知當事人有關個人資料侵害事故之情事,例如遭侵害之個人資料涉及金融資訊、個人資料遭侵害會造成當事人名譽受損或業者知悉該個人資料已被未經授權之第三人擁有時。若業者能證明其對被侵害之個人資料已滿足主管機關所要求的技術保護措施,使未經授權而取得資料之人無法探知該遭侵害之資料內容時,即無須通知當事人有關個人資料遭侵害之情事。