英國發布《資料主體近用權指引》說明資料近用權法遵重點及實例解析

  英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2020年10月21日發布《資料主體近用權指引》(Guidance of Right of access),針對資料主體行使資料近用權之請求(Data Subject Access Request, DSAR),受請求之機構應如何進行識別判斷、簡化處理方式,以及特殊例外情況等法遵重點提供指導方針,並進行實例說明解析,以幫助受請求之機構在面臨資料主體之近用權請求時能快速且有效的處理。

  英國「個人資料保護法」(The Data Protection Act 2018)依據歐盟「一般資料保護規則」(GDPR)於2018年重新修訂,其中資料近用權更是對於資料主體相當重要的基本權利,進而影響受請求之機構必須了解如何有效率的處理資料近用權之請求,並確實履行其在法規上所要求的保護義務,主要分為三點:

  1. 在資料主體確認其資料近用權所欲請求的範圍之前,受請求之機構依法應回覆時限應予以暫停,以利受請求之機構能有更充裕完整的時間釐清及回應資料主體之近用權請求。
  2. 為了避免受請求之機構耗費大量時間判斷何謂「明顯過度之請求」(manifestly excessive request),該指引提供相關定義說明及判別標準。
  3. 針對「明顯過度之請求」收取處理費用所包含的項目,例如受請求之機構處理請求所增加人力行政成本,在受請求之機構收取處理費用時可將其納入斟酌。

相關連結
你可能會想參加
※ 英國發布《資料主體近用權指引》說明資料近用權法遵重點及實例解析, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8574&no=64&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
美國專利訴訟和解程序分析

美國專利訴訟和解程序分析 資策會科技法律研究所 法律研究員 徐維佑 104年11月2日 一、美國民事訴訟和解程序   通常民事訴訟當事人有自主權,可以在訴訟進行的任何時段在庭外或者法官面前達成和解,亦即可在證據開示程序開始前、在開示中或預審會議時、在審理庭甚至在審理後、上訴完成前隨時達成。 1.庭外和解   當事人在雙方律師的主持下達成庭外和解,根據美國聯邦民事訴訟規則第41條規定,向法院提出雙方當事人簽署的撤回訴訟的書面協定,從而終結訴訟程序;當事人雙方在和解協議中自行約定能否就同一事項再次提出訴訟。 2.訴訟上和解   美國聯邦民事訴訟規則第69條規定,在審理前或裁判責任金額前,任一方當事人可向法院申請合意判決,以協議金額為判決內容,與普通判決一樣具有強制執行力,禁止就合意判決標的重複起訴。 二、美國專利訴訟和解協議方式   美國專利侵權訴訟,為避免被告提出專利無效抗辯或提出反訴,亦即向法院請求宣告原告專利權無效、或是拿自己的專利反控原告。美國專利訴訟案件大多以和解收場;而和解方式多協議以專利授權並由被告支付授權金、原告被告以彼此專利交互授權、或簽署免訴條款(covenant not to sue),向法院提出雙方當事人簽署的撤回訴訟的書面協定,從而終結訴訟程序。   所謂免訴條款協議,常用於侵權訴訟中。根據該協議,訂約時有訴權的一造同意不行使訴權起訴對造。這種協議並不消滅訴因;而且即使當事人在協議中沒有作特別保留,他也可以繼續追究其他共同侵權人的責任。 三、免訴條款之範圍與效果   美國訴訟和解如前所述,雙方需達成書面協議,根據美國聯邦憲法第3條,司法體系不得在沒有法律紛爭的情況下決定法律問題或對於法律提出意見。根據該條規定,向法院提出救濟的當事人須證明其有「當事人適格」,而當免訴條款簽署證明紛爭已經消滅,或當事人對於判決的結果無法獲得實質利益時,法院認為該紛爭已經消滅使判決無實益(moot)不得受理。   2009年Nike公司於美國地方法院主張[1]Already公司侵害並稀釋其商標,Already公司拒絕停止銷售同時提出Nike公司商標無效之訴,2010年Nike公司發布免訴條款,載明Nike公司不再針對現在或未來近似的Already公司產品提出商標侵權訴訟,要求撤銷訴訟並撤銷Already公司的無效之訴,然而Already公司拒絕撤銷。地方法院與之後接受上訴的聯邦法院一致同意免訴條款表示紛爭已歸於消滅,駁回Already公司的無效之訴。   免訴條款雖非證明和解協議唯一方式,但美國司法判例上曾將拒絕簽署免訴條款,作為法院接受對造提起確認專利無效之訴的理由之一。美國聯邦巡迴上訴法院(CAFC)於Prasco案[2],認為專利權人拒絕簽署免訴條款協議,並配合其他客觀一切情狀,認定對造具備提起專利不侵權之確認訴訟,法院有司法管轄權。 四、結論   立約免訴條款並非美國訴訟和解協議要件,和解僅需證明雙方並無爭議事項,則法院判決已無實益。至於雙方無爭議事項之證明方式,包含和解書與合意判決,而專利訴訟和解書的協議方式,可能為授權金、交互授權、以及免訴條款等協議。   根據美國聯邦巡迴法院先例,針對訴訟和解方式,授權與免訴條款之效果並無二致[3](whether the language is couched in terms of a license or a covenant not to sue; effectively the two are equivalent.)。惟針對兩造日後得訴訟範圍,包括是否對於權利人再授權的第三人有約束力,於授權或免訴條款的協議中皆可議定。至於以免訴條款協議之好處,在於權利人得一次取得賠償金,可立即認列為權利人當年度獲利;授權協議則多以一定期間或符合一定條件後分階段取得權利金。 [1] Already, LLC d/b/a YUMS v. Nike, Inc., 105 U.S.P.Q.2d 1169 (2013). [2] Prasco, LLC, v. Medicis Pharmaceutical Corp., 537 F.3d 1329, 1341(Fed. Cir. 2008) [3] TransCore, LP v. Elec. Transaction Consultants Corp., 563 F.3d 1271 (Fed. Cir. 2009)

歐盟GDPR保護適足性審核與因應作為

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員 吳柏凭 2018年04月10日 壹、事件摘要   歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1],對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速,網際網路與各項應用興起,既有歐盟個人資料保護指令面對這些變化已經難以為繼,歐盟執委會(European Commission) 出新的資料保護規則(General Data Protection Regulation, GDPR),於2016年4月27日通過,5月4日公布,正式成為歐盟第2016/679號規則(Regulation (EU) 2016/679)[2]。由於歐盟原則上禁止個人資料跨境傳輸,只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸,因此如何獲得歐盟保護適足性認可,就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定   1995年的個人資料保護指令,就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中,對於保護適足性的審查,包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等,透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準,則依照第29條規定資料保護工作小組(Article 29 Data Protection Working Party)的指導文件[5],其中對於法律規範審查,除了內容外,更重視個資保護的執行面。 二、GDPR保護適足性審查規定   GDPR延續了個人資料保護指令的規定,原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定,適足性的評估包括以下要素: 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作,或對象為國際組織時,確保及執行資料保護規則之遵守,包括充足之執行權,以協助及建議資料主體行使其權利,並與會員國之監管機關合作; 個人資料向其他第三國或國際組織進一步移轉,該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟;第三國或國際組織所加入之國際協定,或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務,尤其關於個人資料保護者。   以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化,同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定,填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況   保護適足性認可的程序[7]為: 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。   縱然取得認可,之後也會每四年檢驗一次[8],如果被判定不具保護適足性,則仍會取消原本的認可[9]。   現階段已通過保護適足性審核的國家地區包括:安道爾、阿根廷、加拿大(民間機構)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭,另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 (一)保護適足性認可的效益   除了取得適足性認可外,個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC);2.拘束企業準則(Binding Corporate Rules, BCR);或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本,減輕企業負擔,同時也有助於整體產業突破歐盟貿易壁壘。 (二)通過保護適足性審核的困難   雖然現行通過適足性審核的國家地區有11個,惟需注意的是,根西島、馬恩島、以及澤西島都是英國屬地,法羅群島是丹麥屬地,而安道爾和瑞士都是在歐洲境內,這些國家地區的法規範本來就與歐盟差距不大,加上美國及加拿大國家本身不被認可具適足性,實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間,因此也不能作為短期的因應措施。   此外,在要件方面,規範上雖然我國個資保護規範與GDPR未有極大歧異,但只要存有差異,要取得認可就有極高困難度,這些都需要與歐盟執委會溝通。而在監管機關要求方面,雖然沒有要求單一機關,但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準,但在歐盟法院判決中,有因為德國的州對州層級的資料監管機關進行調查的權力,而被認為不具獨立性[11]。 (三)通過適足性審核的具體作為   以日本為例,為了取得歐盟適足性認可,在2015年9月就其個人資料保護法(個人情報保護法)進行修正,其中設立個人資料保護委員會(個人情報保護委員会)即是為了符合適足性要求中「獨立監管機關」規定,而第24條跨境傳輸的規定更是重要。   日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12],同時在2017年發出共同聲明[13]。在不修正法律的狀況下,日本個人資料保護委員會頒布一指導方針來消除差異,並於於2018年2月9日先揭示調適方向[14],包括: 將歐盟視為敏感性個人資料而日本未明文規定者,解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間,一律可以主張權利,而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資,不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉,必需要透過契約等規制,確保資料受保護水準。 關於歐盟跨境傳輸的個資,在去識別化一定要確認無法再識別,以與歐盟去識別化資料定義相符。 肆、結語   歐盟GDPR已施行在即,如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰,更是跨越歐盟貿易壁壘的重要關鍵,而在眾多例外許可跨境傳輸的方法中,又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高,但仍有許多能努力的空間,目前我國也著手申請適足性認可的準備,未來能得到何種程度的回應,值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会,個人情報保護委員会の国際的な取組について,https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO,個人データ保護の「十分性認可」取得の好機に-日EU首脳が共同声明-,https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会,EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ,https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

日本公布2014年度智慧財產推進計畫

  日本於2013年6月由智慧財產戰略本部發布了「智慧財產政策願景」,作為自公布後未來十年中長期智慧財產政策的核心,其後每年均依此制定各年度的智慧財產推進計畫。   延續前揭「智慧財產政策願景」內容,智慧財產戰略本部於今年7月4日公布「智慧財產推進計畫2014」,除仍以「為強化產業競爭力,構築全球性智財系統」、「中小、新創企業的智財管理強化支援」、「對應數位網路社會的環境建構」、「強化以內容為中心的軟實力」等四項領域作為核心之外,另經由2013年10月起設置的「檢證。評價。企畫委員會」選擇十二項議題進行充分的討論,並以此十二項議題作為制定今年度「智慧財產推進計畫2014」的基礎。   此外,委員會並針對單一部會進行施政將有所困難,有必要進行跨部會橫向協力的五項課題設置特別任務小組,列為「智慧財產戰略本部最重點的五支柱」,分別為:1、職務發明制度根本性的修正;2、營業秘密保護整體性的強化;3、中小、新創企業和大學的海外智財活動支援;4、數位內容的海外拓展及與搏來客行銷間的協力;5、加速建構以促進數位典藏的利活用。日本智財戰略本部並期待此「智慧財產戰略本部最重點的五支柱」能發揮司令塔的功能,對相關連的政策發揮引導的功用。

中國要求互聯網企業隨著消費者擔憂程度提高應加強數據隱私

  在越來越多消費者擔心部分企業以進行大數據研究名義竊取、交易或透露個人資料之行為,侵犯消費者隱私情況下,中國政府已要求互聯網企業加強對個人資料之保護;這並非中國當局第一次要求互聯網企業加強數據隱私保護,中國消費者協會(China Consumers Association, CCA)亦曾示警,中國大量智慧型手機應用程式正在蒐集過多個人資料,包括但不限於用戶位置、聯絡人清單及手機號碼。   中國互聯網金融協會(National Internet Finance Association of China, NIFA)於 11月初發表聲明提及:「未經消費者同意,會員組織不得蒐集、利用或向第三方提供消費者個人資料。」、「所有會員機構都應承擔保護個人資料之個人責任。如發生問題,應立即予以改善並報告給協會……消費者風險警示亦應加強。」,該協會亦向所有會員機構提出警告,對數據隱私之改善措施應承擔個人責任。   中國互聯網企業讚揚AI工具可使用海量數據以增強消費者體驗之優點,然它們不得不靈活應對消費者對如何蒐集與利用個人資料日益增長之焦慮,而中國政府目前正起草制定有關個人數據隱私保護法律,以解決日常生活伴隨著多方數位體驗而生之敏感問題。

TOP