歐盟日前開始適用非個資之資料流通規則
歐盟於2018年11月間通過Regulation (EU) 2018/1807,即促進非屬個人資料(下簡稱個資)之資料流通規則(下簡稱規則),藉以促進歐洲單一數位市場之規模經濟,並於2019年05月28日開始適用,據此,歐盟執委會亦因應該規則而頒布指引(COM(2019) 250 final),以釐清規則與GDPR之互動關係。
該規則開宗明義表示其制定係為了促進非屬個資之資料(下稱資料)流通,即其適用範圍包含(1)提供予歐盟境內之用戶使用,或(2)在歐盟境內之人依其需要所衍生者等資料,但排除GDPR第4條所定義之個資,故不排除GDPR之適用可能,申言之,若資料集中同時含有資料與個資,則流通則應分別適用本規則及指引(資料部份)與GDPR(個資部份)。
此外,為有效達成資料流通,各個歐盟成員國原則上禁止作出資料在地化要求(Data Localisation Requirements),例外僅於公共安全之前提下,且有充分的理由,方得做出合比例性之要求,並於單一資訊網站上即時更新資料在地化要求之清單,不過至遲在2021年05月30日前,成員國須確認其境內之相關規範已無前開例外之資料在地化要求。
又,為使歐盟各成員國就資料流通之無礙溝通,各成員國應設單一聯繫窗口,而在(1)歐盟相關規定或(2)國與國間不具特定合作機制,致成員國無法取得資料之近用權限時,該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求,並附上請求之原因說明與近用資料之法律依據。
綜上,本規則及其指引與GDPR及其相關規定,對於資料與個資等流通分別建構出穩固的法律系統與環境。
- Free flow of non-personal data
- REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018
- Practical guidance for businesses on how to process mixed datasets
- COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL- Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union
劉彥伯
法律研究員 編譯整理
1. Free flow of non-personal data, European Commission, https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data (last visited Aug. 27, 2019).
2. REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018, EUR-Lex, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R1807 (last visited Aug. 27, 2019).
1. Practical guidance for businesses on how to process mixed datasets, European Commission, https://ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets (last visited Aug. 27, 2019).
2. COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL- Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2019:250:FIN (last visited Aug. 27, 2019).
歐洲法院(European Court of Justice, ECJ)於2018年7月作出裁定,利用新植物育種技術(New Plant Breeding Techniques , NPBT)誘變(mutagenesis)所得之作物亦屬於基因改造生物(genetically modified organism , GMO),因此須適用歐盟的基因改造生物管制指令(GMO Directive 2001/18/EC)。 對於不涉及外源基因添加的新植物育種技術,是否應視為基因改造生物,並需獨立於添加外源基因之基因改造生物另制定框架,對此引發了強烈的討論,科學界/農民跟環保團體/有機農法之農民之間抱持著相反的態度。 科學界/農民認為,歐洲法院是以近20年前所通過的基因改造生物管制指令所做出的解釋,並未考量該技術進步所造成的差異,其認為新植物育種技術之誘變與自然產生的誘變無實質差異,而需要就新植物育種技術另外進行立法。 歐盟有機農民運動聯盟(IFOAM EU)於2019年7月24日發出聲明,認為若將新植物育種技術排除於歐盟基因改造生物管制指令之適用,將造成有機農業與傳統非基因改造生物之農民無法於農作物生產過程中排除基因改造生物之存在,最終將使得消費者、農民、食品加工者失去選擇非基因改造生物之選擇自由,故樂見歐洲法院之見解。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
美國第二大連鎖商信用卡資料外洩美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。 每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。 塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。 塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
強化驗證技術以遏止網路犯罪美國聯邦政府與企業界正朝向增加驗證技術的使用,以遏止線上詐騙的盛行,所謂「雙重驗證( ”two-factor” Authentication)」機制,為美國聯邦財政機構檢測委員會(Federal Financial Institutions Examination Council, FFIEC )與美國芝加哥直銷協會( The Direct Marketing Association, DMA )推行,主要要求檢查除用戶名稱和密碼以外的東西來確認顧客的身份。 美國聯邦財政機構檢測委員會 —包括聯邦儲備(Federal Reserve)和聯邦存款保險公司(Federal Deposit Insurance Corp.,FDIC)等管理者在內,要求銀行2006年底皆必須加強網上身份驗證措施,如給每個顧客一份加密的憑證,這些憑證會向銀行證明用戶的真實身份。且該加密的憑證不會向發放該憑證的其它網站做出回應,這樣既保護了用戶,也保護了銀行。此外,美國聯邦財政機構檢測委員會審查員亦會定期檢查銀行的執行情況;而以美國芝加哥直銷協會為例,其要求會員於交易時所使用之電子郵件,須取得電子郵件系統的驗證,以確保電子郵件係由該協會成員所發出。 如同美國芝加哥直銷協會執行長 John A. Greco 所言,消費者可藉由此種驗證方式增加更多信心,對於其所取的資訊係來自可靠來源並具有合法性,可使市場減低網路犯罪之產生並對於政府、企業及消費者有更多保障。
為促進健康資通訊科技之創新,美國嘗試立法重新定義健康軟體美國參議院認為健康資通訊科技(Healthy Information Technology)的創新與快速發展已經漸使現行法制不合時宜,美國食品藥物管理局(The US Food and Drug Administration)過度嚴格管制健康資通訊科技產品,甚至以法律強加健康資通訊業者不必要的負擔,恐抹殺新產業的創新能量,因此有必要對相關管制法規予以鬆綁。遂立法提案重新定義健康相關軟體,稱為「防止過度規範以促進照護科技法案」(The Prevent Regulatory Overreach To Enhance Care Technology Act of 2014,以下簡稱PROTECT Act)。 健康資通訊科技是目前創新與發展最快的美國產業。單以健康資通訊科技產業中,與健康相關的手機應用程式(application,APP)之開發,在全球經濟已創造數億美金的產值,在美國一地更提供了將近50萬份的工作機會。然而,在現行法制中食品藥物管理局認為健康相關的手機應用程式等軟體被廣泛應用於醫療行為的資訊蒐集,因此應當被視為醫療行為的一環。依據聯邦食品藥物及化妝品法(TheFederal Food, Drug and Cosmetic Act,FD&C Act)之規定,健康資通訊科技產品被界定為醫療器材(Medical Devices),而健康管理APP、行事曆APP、健康紀錄電子軟體等低風險產品亦包含在內,都必須嚴格遵守醫療器材相關行政管制。在PROTECT Act中將風險較低的健康資通訊科技產品重新定義為臨床軟體(Clinic Software)與健康軟體(Healthy Software)兩種態樣,其共通點在於明白區分出單純提供市場使用,不影響人體或動物醫療的健康資訊蒐集與直接提供實際臨床診斷,如放射線影像或醫療器材軟件的差異,PROTECT Act所定義之臨床軟體與健康軟體即屬於前者,故排除適用FD&C Act中醫療器材之定義範圍,得免除相關行政管制。