日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序
日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。
日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
林美鳳
高級法律研究員 編譯整理
〈個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談〉,個人情報保護委員会,https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/(最後瀏覽日:2018/6/6)。
〈国際的な個人データの移転について〉,高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部),2018年5月11日,https://www.kantei.go.jp/jp/singi/it2/senmon/dai14/siryou2-2.pdf(最後瀏覽日:2018/6/6)。
〈「個人情報の保護に関する法律についてのガイドライン (EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する 意見募集について〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-1.pdf(最後瀏覽日:2018/6/6)。
〈個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-2.pdf(最後瀏覽日:2018/6/6)。
日本経済新聞,〈日欧、個人データの相互移転で合意 今秋にも発効〉,2018/5/31,https://www.nikkei.com/article/DGXMZO31205640R30C18A5000000/?n_cid=SPTMG053(最後瀏覽日:2018/6/6)。
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。 2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見: 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。 但同時,EDPB也向歐盟執委會提出以下幾點注意事項: 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。 針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
日本立憲民主黨提出SDGs基本法案,以達成2030永續發展目標日本立憲民主黨於2023年6月13日向眾議院提出「SDGs基本法案」(持続可能な開発の目標の達成に向けた諸施策の総合的かつ一体的な推進に関する法律案),旨在達成2015年聯合國大會通過之「2030永續發展目標(SDGs)」。 去年6月立憲民主黨曾向參議院提出相關法案,但未審議就被廢止,此次係因日本政府針對SDGs雖有列舉相關議題,惟未對每個目標和達成度進行評估,僅是羅列先前政策,故立憲民主黨擔憂日本無法於2030年實現永續發展目標,重新向眾議院提出SDGs基本法案,希冀透過制定基本方針及必要事項,課予政府實施相關政策,法案主要內容摘要如下: 一、 提出基本原則要求政府應提供國民、經營者、民間團體等構成社會之多元主體,都能參與實現永續發展目標之機會,並應平等對待處於弱勢地位者保障其基本人權,使其受到尊重、充分發揮其個性及能力。 二、 另因永續發展目標與國際相互間有密切關聯,政府應確保國際合作,使目標一體化。 三、 除課予國家、地方自治體應提出SDGs基本方針外,亦要求地方公共團體、企業,在開展各項目活動時,應努力且有責任地一同促進實現永續發展目標。 四、 為實現目標,要求政府須採取必要法制、財政、稅制等措施,政策之內容亦應反映多種民意、確保公正性、透明性,且每年都要向國會提出施政成果及評估報告。 五、 設置「永續發展目標推進本部」(持続可能な開発目標達成推進本部),並邀請專家、利害關係人召開「永續發展目標推進會議」(持続可能な開発目標達成推進会議),一同評估基本方針政策及其達成狀況。 六、 由於實現永續發展目標並不因2030年後任務即刻終止,關於2031年以後之政策,政府應考量社會措施、國際動向等,依評估結果再採取必要之措施。 針對SDGs基本法眾議院已於10月20日交由委員會審議中,是否通過該法案仍待後續觀測,但已展現日本推動SDGs之決意。我國雖非聯合國之會員國,惟於2016年亦自願性回應全球永續發展行動與國際接軌,並於2021年成立「行政院國家永續發展委員會」,力求實現永續發展目標;然而僅靠政府機關的努力恐怕力有未逮,可參考日本作法納入國民、民間團體、企業等多元參與者,攜手合作共同實現SDGs。
美國國會圖書館發布例外規則,將10項科技使用行為合法化美國國會圖書館(Library of Congress)依據著作權法(Digital Millennium Copyright Act,簡稱DMCA)第1201(a)(1)條授權,於2015年10月28日發布著作權法相關之例外規則(final regulations),明定10項與使用者權益相關的行為屬於著作權法保障之例外情況,將納入合理使用(fair use)範圍,不再視為侵害原著作權人之權利。上述合法的科技使用行為包含: 1.為了教育及其他非商業用途之目的,對視聽媒體所為之重製行為。 2.為了讓視覺或其他功能障礙者使用,對已購買之電子書所為之破解或形式轉換行為。 3.為了連結其他電信公司之網絡,針對手機及其他行動裝置之應用程式,所為之解鎖行為(unlocking)。 4.智慧型手機及其他行動裝置之越獄(jailbreaking)行為。使用者得利用外部工具取得系統最高權限,且不受原系統限制而安裝或解除安裝合法軟體。 5.智慧型電視之越獄行為。使用者得利用外部工具取得系統最高權限,不受原系統限制而安裝或解除安裝合法軟體。 6.汽車軟體之診斷、修理或改裝行為。車主或修車廠等人員得自行診斷、修理或改裝汽車軟體,不限於僅有汽車原廠得檢測或變更軟體。 7.為了促進電腦軟體的安全性,針對個人擁有之消費性家電、車輛及醫療裝置所為之軟體相關安全研究與測試行為。 8.某些需要透過與官方伺服器連線方能正常運作之遊戲軟體,於官方永久結束營運之後,使用者可自行建立伺服器,供擁有合法軟體的使用者繼續使用,但此項條款不包含主要內容儲存於官方伺服器之遊戲。 9.使用者可修改軟體程式,並使用其他的3D列印原料,不限於原廠預設之原料。 10.病人取得自身醫療裝置或監視系統數據之行為。本例外規則通過後,病人可合法取得自身醫療裝置之數據,而不違反著作權法之科技保護措施,不再受限於原先僅有醫院或醫療裝置公司可取得植入式醫療裝置之數據。 美國著作權法授權國會圖書館每三年發布一次例外規則,用以改善著作權法之「科技保護措施」的負面影響,並維護公眾接觸資訊之公共利益。上述第6至10項為本次新增之項目,但本次例外規則並未通過視聽著作空間轉換(space-shifting)及格式轉換(format-shifting)之行為、電子書專用閱讀器之越獄行為、或遊戲機(Video Game Consoles)之越獄行為。 針對開放汽車軟體之破解,某些汽車製造業者基於安全理由表示反對,但消費者方面,表達贊成意見人數明顯多於反對意見者。尤其是福斯汽車(Volkswagen)設計作弊程式通過廢棄排放檢驗的事件發生後,開放消費者得自行診斷、修理或改裝汽車軟體,將能降低此類弊端發生之機率,讓具有汽車軟體相關知識的消費者有機會能檢測汽車本身軟體是否符合法令規範或有任何異常。