歐盟日前開始適用非個資之資料流通規則
歐盟於2018年11月間通過Regulation (EU) 2018/1807,即促進非屬個人資料(下簡稱個資)之資料流通規則(下簡稱規則),藉以促進歐洲單一數位市場之規模經濟,並於2019年05月28日開始適用,據此,歐盟執委會亦因應該規則而頒布指引(COM(2019) 250 final),以釐清規則與GDPR之互動關係。
該規則開宗明義表示其制定係為了促進非屬個資之資料(下稱資料)流通,即其適用範圍包含(1)提供予歐盟境內之用戶使用,或(2)在歐盟境內之人依其需要所衍生者等資料,但排除GDPR第4條所定義之個資,故不排除GDPR之適用可能,申言之,若資料集中同時含有資料與個資,則流通則應分別適用本規則及指引(資料部份)與GDPR(個資部份)。
此外,為有效達成資料流通,各個歐盟成員國原則上禁止作出資料在地化要求(Data Localisation Requirements),例外僅於公共安全之前提下,且有充分的理由,方得做出合比例性之要求,並於單一資訊網站上即時更新資料在地化要求之清單,不過至遲在2021年05月30日前,成員國須確認其境內之相關規範已無前開例外之資料在地化要求。
又,為使歐盟各成員國就資料流通之無礙溝通,各成員國應設單一聯繫窗口,而在(1)歐盟相關規定或(2)國與國間不具特定合作機制,致成員國無法取得資料之近用權限時,該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求,並附上請求之原因說明與近用資料之法律依據。
綜上,本規則及其指引與GDPR及其相關規定,對於資料與個資等流通分別建構出穩固的法律系統與環境。
- Free flow of non-personal data
- REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018
- Practical guidance for businesses on how to process mixed datasets
- COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL- Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union
劉彥伯
法律研究員 編譯整理
1. Free flow of non-personal data, European Commission, https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data (last visited Aug. 27, 2019).
2. REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018, EUR-Lex, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R1807 (last visited Aug. 27, 2019).
1. Practical guidance for businesses on how to process mixed datasets, European Commission, https://ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets (last visited Aug. 27, 2019).
2. COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL- Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2019:250:FIN (last visited Aug. 27, 2019).
英國財政大臣十六日在倫敦宣佈,政府將在其10年發展計劃中建立一個全國性的幹細胞研究網路,以鞏固英國在該領域的領先地位。 英國工黨政府一直對幹細胞研究提供支持,並且率先立法,允許治療性人類胚胎幹細胞研究。但是治療性胚胎幹細胞研究一直遭到人權組織的反對,使幹細胞研究機構在資金籌措方面陷入困境。為此,英國政府作出建立幹細胞研究網路的決定,無疑是為了加強英國在國際幹細胞研究領域的領先地位。 布朗當天在下議院宣佈二○○五年財政年度預算計劃時說,英國政府從二○○二年起的三年內向幹細胞研究撥款四千萬英鎊,另外,英國醫學慈善機構韋爾科姆信託公司承諾向幹細胞研究網路投資二千萬英鎊。
加拿大將神經資料列為敏感資訊以提升個資保護強度加拿大隱私專員辦公室(Office of the Privacy Commissioner of Canada, OPC)於2026年2月10日,更新《個人資訊保護與電子文件法》(the Personal Information Protection and Electronic Documents Act, PIPEDA)的解釋公告(Interpretation Bulletin),於該解釋公告中OPC將「神經資料」(neural data)與健康、財務、基因及生物識別資料並列,正式納入PIPEDA意義下的敏感資訊(sensitive information)清單中,賦予更高程度的保護。 其中,神經資料被列為敏感資訊的可能原因為以下: 1.深度私密性:神經資料有深度私密性,其可能揭露當事人不自知或不預期揭露的健康狀況、認知狀態或情緒反應。 2.不可變更性:不同於密碼可以重置或信用卡號可以更換,大腦的神經模式一旦外洩無法重置或輕易更換。 神經資料被列為敏感資訊後會有更高程度的保護要求包括: 1.強化同意要求:在加拿大PIPEDA的架構下,資料的敏感性直接決定了蒐集方式。對於神經資料,組織必須獲得更充分且具實質意義的明示同意,不能僅依賴默示同意,為獲得有意義的同意,組織必須嚴格定義使用目的。 2.提升安全防護的等級:法律要求安全防護措施必須與資料的敏感度成正比。由於神經資料被列為高度敏感,組織必須採取較高等級的安全保護措施。 3.風險評估標準:在發生資料外洩時,資料的「敏感性」是評估是否構成「重大損害風險」的關鍵因素。將神經資料列為敏感資訊,意味著涉及此類資料的外洩事件將面臨更嚴格的通報與法律責任。 總結而言,加拿大將神經資料列為敏感資訊,標誌著法律監管從傳統個資延伸到了人類的意識領域,要求相關科技企業在開發監測專注力、疲勞或情緒的消費性產品時,必須承擔與醫療紀錄同等的法律責任與保護義務。
英國個人資料保護最新案例發展及其對我國法制之啟示 良好的隱私權實踐工作有助於強化企業競爭力當含有大量個人敏感性特質個資之郵件不小心發送到陌生人的電子信箱時,將可能對當事人帶來無法預估的損害。加拿大隱私委員Daniel Therrien在國際隱私日時(1/28)提醒各企業,不要忽略隱私控管工作對企業競爭力帶來之影響。然這樣的理念不僅僅只適用在大型的企業,加拿大有98%的企業員工少於100人,對於這些成千上萬的小規模企業而言更是重要。 Daniel Therrien說:「我能理解資源有限的小規模企業每天面臨高壓的業務需求,但就相關反饋資料顯示,加拿大當地居民較傾向與具有良好隱私實踐工作之企業進行交易。」因此,良好的隱私實踐工作不僅是有助於消費者,更可協助企業符合加拿大個人資料保護與電子文件法(Personal Information Protection and Electronic Documents Act)之規定。 為協助小規模企業採取積極措施,以保障消費者資料及隱私不被外洩,提高競爭力,加拿大提供相關關鍵步驟供企業參考:(1)不逾越產品或服務目的之資料蒐集;(2)提供顧客清晰易懂之隱私權政策,以便顧客了解資料為何被蒐集,及如何處理、利用;(3)了解蒐集哪些資料、資料儲存期間及方式、有權限接觸之人及刪除方式; (4)對員工進行隱私保護教育訓練;(5)除非必要,否則請避免蒐集如健康狀況、財務資訊等具敏感性之資料;(6)企業應設置窗口或指定專人,針對顧客權利主張或提出與隱私有關之疑問時進行回應。