techUK和UK Finance共同呼籲英國脫歐後應速採取行動保護英國和歐盟的企業和消費者資料跨境傳輸
隨著資料多元應用,大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等,因此在跨境傳輸基礎上需要共同的監管制度,以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動,以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。
另外,在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中,techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement),英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper),將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整,而在過渡期間為企業提供監管確定性,而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制,如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後,將不會直接適用GDPR,因此除非有新的安排,個資在歐盟傳輸仍可能受限,而需昂貴複雜替代機制,故仍應速採取行動:
- 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。
- 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”),應即為過渡期之安排。
- 英國應考慮實施其他措施,確保歐盟對英國資料保護框架之擔憂能獲解決,尤其是國家安全目的之資料處理。
- 英國應確保國際傳輸制度(包括美國在內),與歐盟具相同保護水準,且此作為歐盟適當保護評估的關鍵。
- 1. Rapid Action Needed to Safeguard UK & EU Businesses & Consumers Following Brexit, techUK
- 2. Rapid action needed to safeguard UK & EU businesses and consumers following UK’s exit from the EU, UK Finance
- 3. techUK, UK Finance & Dentons UKMEA LLP, No Interruptions: options for the future UK-EU data sharing relationship (2017)
- 4. HM Government, The exchange and protection of personal data - a future partnership paper (2017)
- 英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響,資訊工業策進會科技法律研究所
孫鈺婷
專案經理 編譯整理
1. Rapid Action Needed to Safeguard UK & EU Businesses & Consumers Following Brexit, techUK, http://www.techuk.org/insights/news/item/11824-rapid-action-needed-to-safeguard-uk-eu-businesses-consumers-following-brexit (last visited Dec. 4, 2017).
2. Rapid action needed to safeguard UK & EU businesses and consumers following UK’s exit from the EU, UK Finance, https://www.ukfinance.org.uk/rapid-action-needed-to-safeguard-uk-eu-businesses-and-consumers-following-uks-exit-from-the-eu/ (last visited Dec. 4, 2017).
3. techUK, UK Finance & Dentons UKMEA LLP, No Interruptions: options for the future UK-EU data sharing relationship (2017), https://www.ukfinance.org.uk/wp-content/uploads/2017/11/No-Interruptions-Options-for-the-future-UK-EU-data-sharing-relationship.pdf (last visited Dec. 4, 2017).
4. HM Government, The exchange and protection of personal data - a future partnership paper (2017), https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/639853/The_exchange_and_protection_of_personal_data.pdf (last visited Dec. 6, 2017).
英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=152&d=7533(最後瀏覽日:2017/12/06)
美國猶他州州長於2025年3月26日正式簽署「應用程式商店問責法(App Store Accountability Act)」(下稱本法)並於同年5月7日生效,為全美首部強制應用程式商店實施年齡驗證及家長同意機制的州法,其核心目標為強化對未成年人的網路環境保護。 本法要求應用程式商店供應商(下稱供應商)於用戶創建帳戶時驗證用戶年齡,若確認為未成年人,其帳戶必須與經過驗證的「家長帳戶」相關聯,未成年人下載或購買應用程式前,供應商須自家長處獲得「可驗證的同意」,且為確保該同意基於充分知情,供應商須向家長提出詳細聲明揭露該應用程式之年齡分級、內容描述、個資之收集與共享情況,以及開發者保護用戶資料之措施等內容,且於前述內容發生重大變更時通知家長並重新取得同意。 應用程式開發者(下稱開發者)亦須向供應商提供準確的資訊,並於應用程式發生「重大變更」時及時通知供應商,及透過數據共享機制驗證其猶他州用戶的年齡以及未成年用戶的家長同意狀態。若開發者善意信賴供應商所提供的年齡及同意資訊行事,可豁免承擔違規責任(安全港機制),爰本法主要的問責對象為供應商。 前述核心義務將於2026年5月6日起生效,若供應商或開發者提供不實資訊,將構成欺騙性交易行為而受到追訴;且自2026年12月31日起,若未成年人因供應商或開發者違反本法規定而受到損害,其本人或家長將有權提起民事訴訟請求賠償。
英國進行新式樣保護指令(98/71/EC)修正諮詢歐盟執委會於去年 9月公佈了新式樣保護指令修正建議案,針對現行零組件新式樣保護的現況加以調整,以增強歐盟境內零件市場的競爭力;英國政府為此亦針對指令之修正建議案展開諮詢程序。 依據現行歐盟新式樣保護指令,所謂新式樣係指「物品可見之外觀」 (visible appearance of an object),且不包含技術特徵在內。藉由新式樣保護制度,保障權利人投資能有一定之回饋,也可激發更多新式樣的設計產生。 在前述制度設計下,任何複合性產品 (如汽車、家電製品)之銷售已為新式樣權利人帶來經濟上的利得。但是當前述商品故障或毀損時,原新式樣權利人是否可主張對於修復產品所需之零組件(spare parts)亦能享有獨占權?由於現行新式樣保護指令中第14條規定零件必須能夠修復該產品以「恢復該產品原有之外觀」,因此新式樣保護亦間接導致原權利人對於修護配件市場之壟斷。 歐盟新式樣保護指令在制定當時,對於「零配件」之保護議題,曾引發會員國間極大爭議,因此現行第 14條予以折衷處理,亦即允許各會員國在國內法放寬市場競爭,但是對於任何減少市場競爭之立法則不允許。 英國在此議題上採取寬鬆之立場,因此,英國境內有著相當成熟且蓬勃的修護配件市場,也提供消費者更高品質且價格更優惠的選擇。因此,即便歐盟新式樣保護修正後,對英國境內之衝擊也很有限。
歐盟通過「資料保存指令」「資料保存指令」( Directive on the retention of data ,下稱本指令)已於 2006 年 2 月 21 日 經歐盟部長理事會( European Council of Minister )批可而正式生效。但部分歐盟國家,如愛爾蘭( Irish )與斯洛伐克( Slovak )仍認為,由於資料保存對於歐盟民眾權益影響甚鉅,故應透過更嚴格的立法程序,如由歐盟部長理事會( European Council of Minister )全體一致通過「決定」( Decision ),而不應透過議會表決後再交由理事會批可指令( Directive )的方式生效。 本指令要求網路服務業者( Internet service providers, ISPs )與固定( fixed-line )及行動 (Mobile) 網路業者必須要保存客戶通聯之通聯日期、地點、通話時間等通聯資料等,保存期限從 6 個月到 2 年不等。而除了保存之責任以外,上述業者還必須要確保其保存之資料可隨時配合執法單位之調查,提供執法單位進行嚴重犯罪之調查與恐怖分子調查之參考與利用。 國際隱私權組織( Privacy International )表示,本指令的通過將對歐盟地區民眾之人權造成不可磨滅之影響。此外,歐盟地區之電信公司與 ISPs 則表示,本指令實施後,若政府單位未給予任何的補助,將大量增加業者在資料儲存之費用,進而影響市場競爭。 本指令最遲將於公布後隔年開始實施。
歐盟執委會提出「歐洲資料戰略」建立單一資料市場歐盟執委會(European Commission)於2020年2月19日提出「歐洲資料戰略」(the European data strategy),其將建立單一資料市場(single data market)。針對少數大型科技公司(big tech)往往透過定位、社群網路等服務,掌控全球大量資料,且嚴重阻礙由資料驅動之商業型態(data-driven business)的發展與創新,透過建立單一資料市場,開放未使用的資料,使資料可於歐盟內部及跨部門自由流動,以對抗美國大型科技公司,例如:Facebook、Google或Amazon等資料壟斷之情況,確保市場開放和公平。 依據文件內容,歐洲資料戰略主要目標在於,善用歐盟巨量產業資料和創新科技,建立一個公平的歐盟資料空間,鼓勵資料共享,並建議制定資料監管規則。歐盟相關措施包含公布更多地理空間、環境、氣象學等公共資料(public data);免費提供企業街區資料;針對阻礙資料分享之規範訂定競爭法;提供新跨境資料使用和整合規範;針對製造、氣候變遷、自動產業、健康照護、金融服務、農業、能源等提供相關標準;廢除阻礙資料共享的相關規則,避免線上平臺對資料限制利用或獲利顯失公平之情況。歐盟執委會預計於2020年底提出數位服務法(Digital Services Act),提供企業於單一市場營運更清楚規則,強化數位平臺責任和保護基本權利。