為加速解決智財、民事相關爭議，日本推動司法制度改革

歐盟提出現行個資保護指令規範之修正草案 科技法律研究所 2013年10月07日 壹、事件摘要 　　歐盟於1995年所制定之「個人資料保護指令」（Data Protection Directive，95/46/EC，下稱個資保護指令），其基本原則確保了歐盟會員國個人資料基本權利之保障，後續也成為國際相關立法時之參考依據。但由於個資保護指令制定時為框架式立法模式，歐盟各會員國仍須將相關規定內國法化，導致各會員國間對於個人資料保護標準產生差距。 貳、重點說明 一、立法緣起 　　歐盟現行之「個資保護指令」是第一部解決關於個人資料處理與自由流通保護之指令，主要在於提供歐盟境內關於個人資料及隱私權保護之規定。但由於該指令使各會員國之規範不具統一性，且制定之時科技尚屬發展階段。為解決科技發展與各國形成之保護差距，歐盟執委會(European Commission)在2012年1 月25 日，向歐洲理事會（European Commission）及歐洲議會（European Parliament）正式提出「一般個人資料保護規則」（General Data Protection Regulation）草案共91 條。預計於2015年施行，並取代現行個資保護指令，全面並一致性適用於各會員國。 二、關鍵改變 　　本次一般個人資料保護規則草案相較於現行個資保護指令，主要有資料當事人權利行使新增與強化、當事人同意要件標準提高、適用主體擴大、申訴權力強化、資料管理人資料保護責任之加重、損害賠償與相關罰則之規定等，並將各項規定更加明確化，以解決長期以來歐盟會員國間因保護水準不一所形成之衝突現象。 參、事件評析 　　一般個人資料規則草案提出後，歐盟與英國分別針對新規則草案進行評估。歐盟執委會認為，新規則可協助歐盟境內解決長期以來因個資法保護水準不一所形成之衝突，進而為當地企業帶來約23億歐元之效益；但英國當地卻持反面見解，認為新法將使企業提高所需擔負之行政成本，且高規格之法遵要求也使資料管理人陷入難以遵守之情況，進而影響歐盟之競爭力。國際上激烈的討論聲浪與分歧之見解，也使得該規則草案自提出至今已一年多的時間，仍未正式拍板定案。 　　歐盟於1995年制定之個資保護指令，自1998年生效之後，不僅在各會員國進行個資保護時扮演關鍵性角色，更為國際上個人資料保護或隱私保護之參考依據，其動向更為各國所專注與留意。而隨著時代轉變與科技演進，歐盟期許未來不只是在歐盟境內，更可將個人資料或隱私保護相關資訊與要求，擴及歐盟以外之國家，因而於2012年提出新規則草案，而後續相關發展，更值得我們持續留意跟進。

　　隨著資料多元應用，大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等，因此在跨境傳輸基礎上需要共同的監管制度，以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動，以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。 　　另外，在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中，techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement)，英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper)，將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整，而在過渡期間為企業提供監管確定性，而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制，如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後，將不會直接適用GDPR，因此除非有新的安排，個資在歐盟傳輸仍可能受限，而需昂貴複雜替代機制，故仍應速採取行動： 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”)，應即為過渡期之安排。 英國應考慮實施其他措施，確保歐盟對英國資料保護框架之擔憂能獲解決，尤其是國家安全目的之資料處理。 英國應確保國際傳輸制度(包括美國在內)，與歐盟具相同保護水準，且此作為歐盟適當保護評估的關鍵。

　　巴西政府於2015年1月28日公布個人資料保護法草案（Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection），該草案適用於個人和通過自動化方式處理個人資料的公司，惟前提是（1）處理行為發生在巴西或（2）蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料，包括資料保護義務和要求： 一、企業必須使資料當事人能夠自由的、直接的，具體的使當事人知悉並取得人同意以處理個人資料。 二、除了在有限的例外情況下，禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險，並有具體的同意。敏感的個人資料包括，種族和民族淵源，宗教，哲學或道德信仰，政治觀點，健康和性取向資料，以及遺傳數據。 三、資料外洩時有義務立即報告主管機關。 四、當個人資料是不完整，不準確或已經過期時，允許資料當事人查詢他們的個人資料並更正之。 五、不得提供個人資料給資料保護水平不相似的國家。 六、有義務依比例原則採取安全保障措施以處理個人數據，防止未經授權的訪問，破壞，丟失，篡改，通訊或傳播資料。