日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序
日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。
日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。
林美鳳
法律研究員 編譯整理
〈個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談〉,個人情報保護委員会,https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/(最後瀏覽日:2018/6/6)。
〈国際的な個人データの移転について〉,高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部),2018年5月11日,https://www.kantei.go.jp/jp/singi/it2/senmon/dai14/siryou2-2.pdf(最後瀏覽日:2018/6/6)。
〈「個人情報の保護に関する法律についてのガイドライン (EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する 意見募集について〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-1.pdf(最後瀏覽日:2018/6/6)。
〈個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-2.pdf(最後瀏覽日:2018/6/6)。
日本経済新聞,〈日欧、個人データの相互移転で合意 今秋にも発効〉,2018/5/31,https://www.nikkei.com/article/DGXMZO31205640R30C18A5000000/?n_cid=SPTMG053(最後瀏覽日:2018/6/6)。
2010年,美國聯邦政府展開「聯邦政府風險與授權管理計畫」(Federal Risk and Authorization Management Program,FedRAMP),在經過2年的研究與整備後,聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據,針對雲端服務的風險評估、授權管理的標準作業規範。 根據FedRAMP,雲端服務業者欲通過該計畫的評估,其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者,都必須達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。 對於雲端服務業者的評估,必須經由FedRAMP認證的第三方機構來進行審查,第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定,來驗證檢驗機構的品質與技術能力。目前為止,聯邦政府總務管理局已經公佈十個獲得授權的機構。 聯邦政府總務管理局同時並期待在2012年的年底之前,能夠有三個雲端服務提供者通過審查,然而,由於制度才剛上路不久,是否能夠跟上產業變遷的腳步並順利達成目標,仍有待進一步觀察。
日本推動3種技術資訊管理制度以強化企業技術保護力作為企業競爭力泉源的技術資訊其價值日趨高漲,日本經濟產業省(以下簡稱經產省)以企業界為對象,於2020年7月到2021年9月召開超過20場線上「技術外洩防止管理說明會」,以技術資訊管理為核心,推動3種技術資訊管理制度: 一、技術資訊管理認證制度 基於2018年「產業競爭力強化法」修法,推動「技術資訊管理認證制度」,促進企業通過認證,強化企業取得合作夥伴信賴之能力。 二、營業秘密管理制度 基於日本「不正競爭防止法」,推動「營業秘密管理制度」,防止企業外洩自己的機密資訊,強化企業自我保護之能力。 三、安全保障貿易管理制度 基於企業對於「外國交易行為與外國貿易法」或相關法令知識不足,推動「安全保障貿易管理制度」,避免企業輸出高階技術、高性能產品被作為軍事利用而違法,進而面臨被處刑罰、行政罰之風險,強化企業承擔責任之能力。 全球新興科技發展以及嚴峻疫情驅使之下,我國許多企業投入數位轉型、採取遠距辦公,與客戶間傳遞或保管重要技術資訊時,將增加一定程度的資訊外洩風險,日本3種技術資訊管理制度可供我國企業建構技術資訊管理機制、強化企業技術保護力之參考。
FCC提出推動10年國家寬頻計畫2009年2月美國總統歐巴馬簽署美國振興經濟方案,釋出72億美元擴展寬頻網路連結應用,以網路開放為前提,要求聯邦通訊委員會提出國家寬頻計劃。美國聯邦通訊委員會(FCC )在2010年3月12日公布將推動一項歷時十年的遠大計畫,希望透過建立高速網際網路,重塑美國媒體與科技優先順序的概念。該計畫預定2010年3月16日送交國會。 這項計畫反映美國正視寬頻網路正逐漸成為取代電話與廣播電視業的普通媒介,工作重點在於強化網際網路存取方便性。該項計畫的重點包括補助網際網路提供者佈建偏遠地區的網路服務、拍賣頻譜以供無線寬頻設備使用,以及發展新型態的有線電視與上網功能之全面式機上盒。 此一計畫牽涉數百億美元的聯邦經費,但FCC認為,應可透過拍賣頻譜自給自足。此外,該計畫中的部分建議,尚須國會採取行動與業者支持才能落實,至於使用者恐怕要在數年後才能看到效果。 目前美國在使用寬頻與高速上網等方面落後包括亞洲國家在內的許多國家,約超過30%的美國人無法上網,原因是負擔不起或是沒有意願使用。而FCC的計畫希望能將美國打造成一個完全網路連結的環境,透過還有待矽谷研發的無線裝置讓民眾能快速上網取得健保資訊、進行網路學習,以及進行警民連線。 不過,FCC必須審慎處理既有業者上網費率與品質的問題,此外,不少電視業者以供公眾利益為由反對,並抗拒交回頻譜,以及認為這樣計畫將會導致訊號覆蓋及干擾的問題。
美國聯邦地區法院宣告伊利諾州之電玩遊戲法案違憲美國聯邦地區法院於 12月初對伊利諾州禁止商家販售或出租色情及暴力電玩遊戲予未成年人,如有違反將會處以美金1000罰金之規定做出判決,宣告該等法律規定違憲,並對其執行發出禁止令。 法官指出該等規定將對電玩遊戲的創作以及發行造成寒蟬效應,沒有證據可以證明暴力電玩遊戲會對未成年遊戲者造成持續性的負面影響,使其思想和行為具有侵略性,且其對色情的定義並不是很明確。由於此等規定已對於電玩遊戲業者之言論自由造成限制,但是並沒有實質重大的理由得以支持該等限制,故宣告該等規定違憲,並對其執行發出禁止令。 伊利諾州一案並不是美國法院第一遭禁止相關電玩遊戲規定之執行的判決,於今年 11月時,美國法院即曾禁止密西根州執行禁止商家販售暴力電玩遊戲之規定。