日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序
日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。
日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
林美鳳
高級法律研究員 編譯整理
〈個人情報保護委員会熊澤委員と欧州委員会ヨウロバー委員との会談〉,個人情報保護委員会,https://www.ppc.go.jp/enforcement/cooperation/cooperation/300531/(最後瀏覽日:2018/6/6)。
〈国際的な個人データの移転について〉,高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部),2018年5月11日,https://www.kantei.go.jp/jp/singi/it2/senmon/dai14/siryou2-2.pdf(最後瀏覽日:2018/6/6)。
〈「個人情報の保護に関する法律についてのガイドライン (EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する 意見募集について〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-1.pdf(最後瀏覽日:2018/6/6)。
〈個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)〉,https://www.ppc.go.jp/files/pdf/300423_shiryou2-2.pdf(最後瀏覽日:2018/6/6)。
日本経済新聞,〈日欧、個人データの相互移転で合意 今秋にも発効〉,2018/5/31,https://www.nikkei.com/article/DGXMZO31205640R30C18A5000000/?n_cid=SPTMG053(最後瀏覽日:2018/6/6)。
2020年11月3日,加州於其大選中以公投方式批准通過第24號提案(Proposition 24),該提案頒布《加州隱私權法》(California Privacy Rights Act,以下簡稱CPRA)。CPRA對加州消費者隱私保護法(California Consumer Privacy Act 2018,以下簡稱CCPA)所規定之隱私權進行重要修正,改變了加州的隱私權格局。 CPRA賦予加州消費者新的隱私權利,並對企業施加新的義務,例如消費者將有權限制其敏感性個人資料(例如財務資料、生物特徵資料、健康狀況、精確的地理位置、電子郵件或簡訊內容及種族等)之使用與揭露;消費者有權利要求企業更正不正確的個人資料;CPRA同時修改現有的CCPA的「拒絕販售權」,擴張為「拒絕販售或共享權」,消費者有權拒絕企業針對其於網際網路上之商業活動、應用或服務而獲得的個人資料所進行之特定廣告推播。CPRA亦要求企業對各類別之個人資料,按其蒐集、處理、利用之目的範圍及個人資料揭露目的,設定預期的保留期限標準。 CPRA另創設「加州隱私保護局」(California Privacy Protection Agency)為隱私權執行機構,該機構具有CPRA之調查、執行和法規制定權,改變了CCPA 係由加州檢察長(California Attorney General)負責調查與執行起訴的規定,並規定加州隱私保護局應於2021年7月1日之前成立。 CPRA將在2022年7月1日之前通過最終法規,且自2023年1月1日起生效,並適用於2022年1月1日起所蒐集之消費者資料,隨著CPRA的通過,預期可能促使其他州效仿加州制定更嚴格之隱私法,企業應持續關注有關CPRA之資訊,並迅速評估因應措施。
經濟部技術處研究機構智慧財產管理制度評鑑與台灣智慧財產管理規範(TIPS)驗證內容比較 英國Ofcom「個資與隱私」報告針對告知消費者個資使用方式以及確保消費者對個資利用之參與及意見表達,英國通訊傳播管理局(The Office of Communications, Ofcom)於2015年6月17日公布委託德國顧問公司WIK-Consult進行之「個資與隱私」(Personal Data and Privacy)報告。報告指出,雖然法規要求在處理個資前必須獲取相關消費者的告知同意,但事實是消費者並未在線上實際閱讀隱私權政策條款,這個問題則由於智慧聯網大幅促進了裝置間的互聯性與資料的流通而更形嚴重。報告表示,雖然資料流通的本質不變,但僅因互聯裝置數量倍增就足以讓可近用與分析的資料呈等比級數成長,要在線上對這些遍及生活各層面的資料進行追蹤也就難上加難。 對於這個起因於智慧聯網興起的問題,報告認為政府可能必須利用更複雜的契約關係加以規範。因為隱私權政策要能透明,必須指出究竟是哪些人會在何時以哪種方式為了何等目的去近用相關資料,但這勢必會讓隱私權政策條款更加冗長,這不但與隱私權政策盡可能應簡潔易懂相違,消費者也更不可能實際去閱讀。此外報告也指出,機台或裝置在智慧聯網下能夠在幾乎沒有人為介入的情況下進行溝通,此將大幅壓縮消費者能夠得知個資蒐集與使用方式的機會,智慧聯網也讓消費者可能根本沒有察覺其正在使用的裝置實際上已經與網路連線。另一方面,隨著互聯複雜性的大幅提高,有意或無意揭露個資也將帶來更多的潛在不利影響。
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。 英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。