日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序
日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。
日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
林美鳳
高級法律研究員 編譯整理
〈個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談〉,個人情報保護委員会,https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/(最後瀏覽日:2018/6/6)。
〈国際的な個人データの移転について〉,高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部),2018年5月11日,https://www.kantei.go.jp/jp/singi/it2/senmon/dai14/siryou2-2.pdf(最後瀏覽日:2018/6/6)。
〈「個人情報の保護に関する法律についてのガイドライン (EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する 意見募集について〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-1.pdf(最後瀏覽日:2018/6/6)。
〈個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-2.pdf(最後瀏覽日:2018/6/6)。
日本経済新聞,〈日欧、個人データの相互移転で合意 今秋にも発効〉,2018/5/31,https://www.nikkei.com/article/DGXMZO31205640R30C18A5000000/?n_cid=SPTMG053(最後瀏覽日:2018/6/6)。
英國上議院人工智慧專責委員會(Select Committee on Artificial Intelligence)2018年4月18日公開「AI在英國:準備、意願與可能性?(AI in the UK: ready, willing and able?)」報告,針對AI可能產生的影響與議題提出政策建議。 委員會建議為避免AI的系統與應用上出現偏頗,應注重大量資訊蒐集之方式;無論是企業或學術界,皆應於人民隱私獲得保障之情況下方有合理近用數據資訊的權利。因此為建立保護框架與相關機制,其呼籲政府應主動檢視潛在英國中大型科技公司壟斷數據之可能性;為使AI的發展具有可理解性和避免產生偏見,政府應提供誘因發展審查AI領域中資訊應用之方法,並鼓勵增加AI人才訓練與招募的多元性。 再者,為促進AI應用之意識與了解,委員會建議產業應建立機制,知會消費者其應用AI做出敏感決策的時機。為因應AI對就業市場之衝擊,建議利用如國家再訓練方案發展再訓練之計畫,並於早期教育中即加入AI教育;並促進公部門AI之發展與布建,特別於健康照顧應用層面。另外,針對AI失靈可能性,應釐清目前法律領域是否足以因應其失靈所造成之損害,並應提供資金進行更進一步之研究,特別於網路安全風險之面向。 本報告並期待建立AI共通之倫理原則,為未來AI相關管制奠定初步基礎與框架。
美國司法部稱Google的隱私權考慮是藉口美國司法部曾在2006年1月要求Google公司交出100萬張網頁資料,並提供一週內用戶搜尋關鍵字的紀錄,以協助布希政府舉證說明現行網頁過濾技術的漏洞,為捍衛兒童線上保護法(1998 Child Online Protection Act)提供辯護。但Google公司於2月17日,以大型企業商業機密外洩和用戶隱私權遭到侵犯為由,向加州法院提出措辭強硬的法律摘要報告,並拒絕美國司法部的要求。 針對Google所提出的摘要報告,美國司法部於2月24日提出回應。美國司法部公開表示,Google公司所宣稱:「提供用戶搜尋資訊將侵犯用戶的隱私權」,只不過是一個藉口。司法部進一步指出,美國線上、雅虎以及微軟等其他搜尋引擎業者都已按照要求提供了搜尋資訊。最後,司法部表示,政府為案件所需,擁有向一切機構徵求資訊的正當權利,因此Google公司仍必須將要求的資料提出。
司法改革的一小步,替代性紛爭解決機制的一大步-談日本「ADR 利用促進法 健康食品的管理法規