歐洲資料保護委員會於2020年2月18日發布GDPR實施情形的報告

  「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2020年2月18日發布GDPR實施情形的報告。報告內容主要聚焦於資料跨境傳輸機制、歐盟會員國間合作機制(含EDPB工作情形)以及中小企業法遵等其他議題。

  在資料跨境傳輸機制方面,EDPB歡迎各國提出適足性認定的申請,並表達其在評估是否具有適足性時,將著重於相對方是否能使權利確實執行、矯正措施是否有效執行以及對於持續性的轉移是否有足夠保護措施等。EDPB特別建議執委會,應保守看待G20或G7等會議所進行的「資料自由流通」概念,並確保個資保護水準不會因此受到影響。

  而在其他跨境傳輸機制上,EDPB建議歐盟執委會應儘速更新標準契約條款,使其能與GDPR規定相符;同時其公佈目前正在審查40個「拘束性企業規則」(Binding Cooperation Rules, BCR),預期至少半數將於2020年審結;而在驗證及行為準則方面,EDPB預期將於2020年底完成相關指引的公告。

  在歐盟會員國間合作機制上,EDPB強調其將著重於探討新興技術發展如何兼顧個資保護,以使GDPR作為技術中立的架構,能在保護個資同時兼顧創新。此外,EDPB承認由於各國程序規範上的差異,使得合作面臨挑戰,其建議歐盟執委會持續觀察程序差異對於GDPR執行成效上的影響。EDPB同時認為目前各國監管機構所獲得的資源仍然不足,建議各會員國應提供監管機構更充足的資源。

  在中小企業議題上,EDPB承認GDPR對中小企業帶來挑戰。對此,除已由各國監管機構提供相關支援外,EDPB也將持續投入相關支援工具的開發,以減輕中小企業的負擔。

  整體而言,EDPB認為GDPR實施大體上是成功的,並能提高歐盟法律體系在全球的知名度,目前並無修改GDPR的需求。

  根據GDPR第97條規定,歐盟執委會應於本年5月25日前針對跨境資料移轉、歐盟會員國間合作機制等GDPR落實情形向歐洲議會及歐盟理事會提交評估報告;並於此後每4年提交一次。EDPB此一報告係為提供執委會完成前述報告參考而做。

相關附件
你可能會想參加
※ 歐洲資料保護委員會於2020年2月18日發布GDPR實施情形的報告, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8423&no=67&tp=1 (最後瀏覽日:2026/07/14)
引註此篇文章
你可能還會想看
美國醫療保健領域對新興資料儲存系統理論「資料湖泊」(Data Lake)的應用

  在現今資訊流通快速蓬勃發展的時代,巨量資料(Big Data)帶來效率與生產力等龐大效益已無庸置疑。相較於將資料以「資料倉儲」(Data Warehouse)模式儲存,「資料湖泊」(Data Lake)被廣泛視為巨量資料快速演進的下一步。   美國的醫療保健領域為因應巨量資料發展並提升醫療保健系統的透明度與有責性,美國醫療保險與補助中心(Centers for Medicare & Medicaid Services, CMS)於2013年底建立CMS虛擬研究資料中心(Virtual Research Data Center, VRDC),讓研究員能夠以安全有效率的方式取得並分析CMS的龐大醫療保健資料。此種資料倉儲模式會對進入的資料預先分類,並整合為特定形式以指導後續分析的方式。缺點在於為讓資料更易於分享,會進行「資料清理」(data cleaning)以檢測及刪除不正確資訊並將其轉換成機器可讀取格式,各資料版本會被強制整合為特別形式,但資料清理和轉換的過程會導致明顯的數據流失,對研究產生不利的限制。有鑑於此,為更有效益的應用巨量資料,Pentaho首席技術官James Dixon提出新的資料儲存理論­­—資料湖泊(Data Lake),此概念於2011年7月21日首先被討論於美國《富士比》雜誌中,目前在英美國家公部門和民間企業間已被熱烈討論。   與Data Warehouse最大不同在於Data Lake可包含「未被清理的資料」(unclean data),保持其最原始的形式。故使用者可取得最原始模式的資料,減少資源上處理數據的必要,讓來自全國各政府機關的資料來源更易於結合。Data Lake主要有四點特性:1.以低成本保存巨量資料(Size and low cost)2.維持資料高度真實性(Fidelity)3.資料易取得(Ease of accessibility)4.資料分析富彈性(Flexible)。儲存超過百萬筆病患資料的加州大學歐文分校醫療中心(UC Irvine Medical Center)即以Hadoop架構為技術建立了一個Data Lake,該中心能以最原始的形式儲存各種不同的紀錄數據直到日後需要被分析之時,可協助維持資料的來源與真實性,並得以不同形式的醫療數據進行分析項目,例如患者再住院可能性的預測分析。   但相對的Data Lake在安全性和檢視權限上也有一定的風險,尤其是醫療保健領域,因為這意味著病患的資料在個資生命週期裡隨時可被取得,因此資訊的取得應被嚴密控制以維持各層級的安全與保障,在建立安全的Data Lake之前,必須審慎考慮誰有資訊檢視權限以及透過什麼媒介取得Data Lake中的資料等問題。

南韓個資保護委員會發布人工智慧(AI)開發與服務處理公開個人資料指引

南韓個資保護委員會(Personal Information Protection Commission, PIPC)於2024年7月18日發布《人工智慧(AI)開發與服務處理公開個人資料指引》(인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서)(以下簡稱指引)。該指引針對AI開發與服務處理的公開個人資料(下稱個資)制定了新的處理標準,以確保這些資料在法律上合規,且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中,會使用大量從網路上收集的公開資料,這些公開資料可能包含地址、唯一識別資訊(unique identifiable information, UII)、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資,內容不限於個資主體自行公開的資料,還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多,在現實中很難在處理這些公開個資以進行AI訓練之前,取得每個個資主體的單獨同意及授權,同時,南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題,PIPC制定了該指引,確認了蒐集及利用公開個資的法律基礎,並為AI開發者和服務提供者提供適用的安全措施,進而最小化隱私問題及消除法律不確定性。此外,在指引的制定過程中,PIPC更參考歐盟、美國和其他主要國家的做法,期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分,第一部分:應用正當利益概念;第二部分:建議的安全措施及保障個資主體權利的方法;及第三部分:促進開發AI產品或服務的企業,在開發及使用AI技術時,注意可信任性。 針對第一部分,指引中指出,只有在符合個人資料保護法(Personal Information Protection Act, PIPA)的目的(第1條)、原則(第3條)及個資主體權利(第4條)規定範圍內,並滿足正當利益條款(第15條)的合法基礎下,才允許蒐集和使用公開個資,並且需滿足以下三個要求:1.目的正當性:確保資料處理者有正當的理由處理個資,例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性:確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估:確保資料處理者的正當利益明顯超越個資主體的權利,並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定,其中,技術防護措施包括:檢查訓練資料來源、預防個資洩露(例如刪除或去識別化)、安全存儲及管理個資等;管理和組織防護措施包括:制定蒐集和使用訓練資料的標準,進行隱私衝擊影響評估(PIA),運營AI隱私紅隊等;尊重個資主體權利規定包括:將公開資料蒐集情形及主要來源納入隱私政策,保障個資主體的權利。 最後,在第三部分中,指引建議AI企業組建專門的AI隱私團隊,並培養隱私長(Chief Privacy Officers, CPOs)來評估指引中的要求。此外,指引亦呼籲企業定期監控技術重大變化及資料外洩風險,並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新,並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通,並密切關注技術進步及市場情況,進而推動PIPA的現代化。

歐盟孤兒著作指令(Directive 2012/28/EU)立法評析

從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

TOP