歐盟日前開始適用非個資之資料流通規則
歐盟於2018年11月間通過Regulation (EU) 2018/1807,即促進非屬個人資料(下簡稱個資)之資料流通規則(下簡稱規則),藉以促進歐洲單一數位市場之規模經濟,並於2019年05月28日開始適用,據此,歐盟執委會亦因應該規則而頒布指引(COM(2019) 250 final),以釐清規則與GDPR之互動關係。
該規則開宗明義表示其制定係為了促進非屬個資之資料(下稱資料)流通,即其適用範圍包含(1)提供予歐盟境內之用戶使用,或(2)在歐盟境內之人依其需要所衍生者等資料,但排除GDPR第4條所定義之個資,故不排除GDPR之適用可能,申言之,若資料集中同時含有資料與個資,則流通則應分別適用本規則及指引(資料部份)與GDPR(個資部份)。
此外,為有效達成資料流通,各個歐盟成員國原則上禁止作出資料在地化要求(Data Localisation Requirements),例外僅於公共安全之前提下,且有充分的理由,方得做出合比例性之要求,並於單一資訊網站上即時更新資料在地化要求之清單,不過至遲在2021年05月30日前,成員國須確認其境內之相關規範已無前開例外之資料在地化要求。
又,為使歐盟各成員國就資料流通之無礙溝通,各成員國應設單一聯繫窗口,而在(1)歐盟相關規定或(2)國與國間不具特定合作機制,致成員國無法取得資料之近用權限時,該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求,並附上請求之原因說明與近用資料之法律依據。
綜上,本規則及其指引與GDPR及其相關規定,對於資料與個資等流通分別建構出穩固的法律系統與環境。
- Free flow of non-personal data
- REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018
- Practical guidance for businesses on how to process mixed datasets
- COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL- Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union
劉彥伯
法律研究員 編譯整理
1. Free flow of non-personal data, European Commission, https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data (last visited Aug. 27, 2019).
2. REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018, EUR-Lex, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R1807 (last visited Aug. 27, 2019).
1. Practical guidance for businesses on how to process mixed datasets, European Commission, https://ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets (last visited Aug. 27, 2019).
2. COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL- Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2019:250:FIN (last visited Aug. 27, 2019).
網路社群網站 MySpace 日前獲得 Gracenote 授權一項影音識別技術,未來將透過此一技術確認其會員上傳的影音檔案是否經過合法授權,一旦判定其傳送之音樂未經授權,則將阻斷其上傳,並將對經常違規之使用者進行刪除帳號的制裁。 MySpace 此舉是來自電影及唱片公司對於線上流行音樂網站涉及違反著作權法,侵害其歌手權利之壓力。無獨有偶, Goolge 以 16 億美元的股票收購同為熱門影音網站的 YouTube 後,亦刪除三萬個未經合法授權使用的影音檔案,以符合著作權法保護之要求。播放 YouTube 「每日一笑」( The Daily Show )的美國電視頻道 Comedy Central 亦被要求移除所有排列在節目單上的短片。 另外, Apple 的 iTunes 面臨此一問題,則是採用 Gracenote 的影音識別技術來辨識確認從 CD 輸入 iTune 系統的音樂是否為合法。
歐洲食品管理局發佈「基因改造動物所衍生的食品及飼料與基因改造動物的健康與福利之安全評估」指導文件雖然歐盟未曾批准基因改造動物所衍生的食品與飼料之市場應用。然生物科技發展迅速,許多歐盟境外的國家已發展許多關於基因改造動物科技之應用。是故,歐盟基於此類基因改造動物所衍生的食品與飼料可能對歐洲整體食品安全及環境帶來影響評估,而由歐盟執委會(European Commission, EC)要求歐洲食品管理局(European Food Safety Authority, EFSA)在歐盟第1829/2003 號規章(Regulation EC No 1829/2003)之架構下,發展關於「基因改造動物所衍生的食品及飼料與相關動物的健康與福利,以及對環境影響之安全評估」的綜合性的指導文件(Guidance),預計發布兩份指導性文件,第一份即為此份指導文件,其係針對「基因改造動物所衍生的食品及飼料」以及「基因改造動物的衛生與福利方面」兩方面的風險評估,在歷經2011所進行的公眾諮詢(Public Consultation)後,EFSA於2012年1月26日正式公布。該份指導文件內容並未包含「基因改造動物衍生之食品與飼料」對於環境所產生的影響之評估,EFSA另行制定第二份指導文件做為評估之依循,目前初稿已制定完成,並進行公眾諮詢,而可能於近期發佈。 因畜牧而豢養的動物之健康狀態,向來作為衡量此類農畜食品與飼料的安全之重要指標,本指導文件即以此指標作為整體基本假設。故該指導性文件之發展策略即以傳統飼養的動物健康狀態及其所衍生的食品與飼料作為安全衡量的基底標準(Baseline);並同時發展合適於「基改動物」與「衍生的食品與飼料」,各自的不同比較尺度的評估方法。其評估重點如下: 1.分子特性之評估,係提供針對動物插入一個穩定基因特徵(Trait)的結構描述之資訊之評估; 2.毒性物質之評估,針對基改動物以及衍生之食品與飼料所可能導致生物上改變之影響; 3.新蛋白質的誘發性過敏評估,係針對所有基改動物所衍生的食品所可能導致過敏之評估; 4.營養性評估,係針對所有的基改動物所衍生的食品與飼料對於人類或傳統飼養動的營養評估。 5.針對基改動物衍生的食品與飼料上市後的監測調查(Post-Market Monitoring, PPM),辨識此類基改食品與飼料在上市後可能的潛在之影響 此指導文件另一重點,即對於基因改造動物的健康與福利之評估,這項評估指標之重要性在於: 1.基於動物倫理,即對於動物本身之健康與福利之衡量; 2.動物本身的健康與福利之情形,亦被視為動物衍生產品之安全之重要指標。 綜上,此份指導文件建構出關於申請此類「基因改造動衍生食品與飼料」上市前的安全評估所必須提供的特定資料之內容架構,並結合即將發布的第二份關於環境影響評估的指導文件,做為上市前的綜合安全評估之依循。
歐盟COVID-19疫情位置資料和接觸追蹤工具使用指引歐洲資料保護委員會(European Data Protection Board, EDPD)於2020年4月24日公布COVID-19疫情期間使用位置資料和接觸追蹤工具指引文件(Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak),就針對COVID-19疫情期間,歐盟成員國利用定位技術和接觸追蹤工具所引發的隱私問題提供相關指導。 EDPD強調,資料保護法規框架於設計時即具備一定彈性,因此,在控制疫情和限制基本人權與自由方面可取得衡平。在面對COVID-19疫情而需要處理個人資料時,應提升社會接受度,並確保有效實施個資保護措施。然而資料和技術雖可成為此次防疫重要的工具,但此次的資料利用鬆綁應僅限用於公共衛生措施。歐盟應指導成員國或相關機構,採取COVID-19相關應變措施時,若涉及處理個人資料,應遵守有效性、必要性、符合比例等原則。本次指引針對利用位置資料和接觸追蹤工具的特定兩種情況,闡明其利用條件和原則。情況一是使用位置資料建立病毒傳播模型,並進一步評估及研擬整體有效的限制措施;情況二是針對有接觸史病患進行追踪,目的是為通知確診病人或疑似個案以進行隔離,以便儘早切斷傳播鏈。 EDPB指出,GDPR和電子隱私保護指令(ePrivacy Directive)均有特別規定,允許各成員國及歐盟層級公共單位使用匿名及個人資料監控新冠病毒的傳播,並呼籲透過個人自願性安裝接觸追蹤工具。
IBM嘗試新方法支持開放原始碼IBM公司在2日拉斯維加斯舉行世界夥伴(PartnerWorld)會議時,宣布提倡開放原始碼創新的新措施,包括成立求職應徵者資料庫,以及一項電子學習計畫。這座資料庫預定今年第三季推出,屆時會把具有開放原始碼技術的大學生所投的履歷表一一編列成目錄。想被納入資料庫的資格,包括曾經參加IBM校園人才培訓計畫(Academic Initiative)中級程度以上,並通過IBM開放原始碼專業資格考試的人士。該資料庫提供IBM的企業客戶與商業夥伴檢索。起初,此資料庫只涵蓋北美洲地區,但IBM打算將來擴大推廣到世界其他地區。 該公司也將透過提供IBM校園人才培訓計畫,提供各校所需的中介軟體及硬體,而Hubs計畫本身不打算收費,或只酌收少許費用。第一座這種中心預定春季在德州A&M大學成立。 IBM另外在PartnerWorld宣布,計劃今年與商業夥伴共同成立100座新的「創新中心」( innovation centers)。藍色巨人先前已承諾投資1.5億美元開辦這類中心,讓系統整合業者、獨立軟體公司、附加價值流通業者以及解決方案服務提供者藉此取得IBM的技術與設備,以協助他們測試並最佳化自家產品。其構想是協助這些夥伴加速產品上市,並降低產品開發費用。自2004年推出以來,IBM已在北美和歐洲成立大約40座這種中心。