新加坡國會於2020年11月通過個人資料保護法之修正案
新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。
新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下:
- 透過組織問責制度,加強消費者之信任;
- 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率;
- 資料外洩時的強制性通知規定、責任(可參見26A條以下);
- 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下);
- 強化個人資料保護委員會的執法權限,提高執法效率;
- 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下);
- 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分)
- 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分)
- 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)
- Amendments to the Personal Data Protection Act and Spam Control Act Passed
- Singapore: Parliament passes amendments to PDPA and Spam Control Act
- Singapore updates personal data protection law
- Personal Data Protection (Amendment) Bill
- Personal Data Protection (Amendment) Act 2020 In Singapore: Effects On Your Business
林玉書
法律研究員 編譯整理
1. Amendments to the Personal Data Protection Act and Spam Control Act Passed, MCI, Nov.2, 2020, https://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2020/11/amendments-to-the-personal-data-protection-act-and-spam-control-act-passed (last visited Nov. 10, 2020).
2. Singapore: Parliament passes amendments to PDPA and Spam Control Act, OneTrust, Nov.5, 2020, https://www.dataguidance.com/news/singapore-parliament-passes-amendments-pdpa-and-spam (last visited Nov. 10, 2020).
3. Singapore updates personal data protection law, Pinsent Masons LLP, Nov.4, 2020,https://www.pinsentmasons.com/out-law/news/singapore-updates-personal-data-protection-law (last visited Nov. 10, 2020).
1. Personal Data Protection (Amendment) Bill, Singapore Statutes Online, https://sso.agc.gov.sg/Bills-Supp/37-2020/Published/20201005?DocDate=20201005 (last visited Nov. 10, 2020).
2. Personal Data Protection (Amendment) Act 2020 In Singapore: Effects On Your Business, MONDAQ, Nov.6, 2020, https://www.mondaq.com/data-protection/1002370/personal-data-protection-amendment-act-2020-in-singapore-effects-on-your-business (last visited Nov. 10, 2020).
2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。 在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
歐盟執委會將發展數位分身地球系統(Destination Earth system),應對氣候變遷危機和保護自然生態歐盟執委會(European Commission)於2022年3月30日提出了一項「目標地球倡議(the Destination Earth initiative)」,希望建立「目標地球系統」(Destination Earth system,以下簡稱DestinE系統),作為實踐歐洲「綠色協議」(European Green Deal)、「數位化戰略」(EU’s Digital Strategy)此兩項計畫的一部分。 DestinE系統係旨在全球範圍內開發一個高度精確的地球數位模型,透過整合、存取具價值性的資料與人工智慧進行資料分析等技術,以監測、建模和預測環境變化、自然災害和人類社會經濟之影響,以及後續可能的因應和緩解策略。未來希望將高品質的資訊、數位服務、模型預測提供予公部門運用,接著逐步開放給科學界、私部門、公眾等用戶,將有助於應對氣候變遷、實現綠色數位轉型,並支持塑造歐洲的數位未來。 為實現此一項目,歐盟執委會預計在2024年中前由數位歐洲計畫(Digital Europe Programme)投入1.5億歐元,並與科學、工業領域單位合作,包含歐洲航太總署(European Space Agency, ESA)、中期天氣預報中心(European Centre for Medium-Range Weather Forecasts , ECMWF)、氣象衛星開發組織(European Organisation for the Exploitation of Meteorological Satellites , EUMETSAT)等,透過建立核心平台逐步發展為DestinE系統,稱之為數位分身(Digital Twins)。 是以,DestinE系統將允許用戶存取地圖資訊(thematic information)、服務、模型、場景、模擬、預測、視覺化,其系統主要組成分為以下三者: 從而,DestinE系統用戶將能夠存取大量地球系統和社會經濟資料並與之互動,該系統可有助於: 核心服務平台(Core Service Platform)--該平台將基於開放、靈活和安全的雲端運算系統,提供決策工具、應用程式和服務,兼具大規模資料分析與地球系統監測、模擬和預測能力的數位建模和開放模擬平台。同時,也將為DestinE用戶提供專屬資源、整合數據、開發各自的應用程式。該平台服務的採購、相關維運將由歐洲航太總署負責。 DestinE資料湖泊( DestinE Data Lake)--資料湖泊將提供核心服務平台、數位分身所需的獨立專用資料存取空間,並提供多元的資料來源和有效管理與DestinE系統用戶共享的資料,同時提高、擴大資料處理和服務。其將由歐洲氣象衛星開發組織負責營運。 數位分身(Digital Twins)-- DestinE 數位分身將依據不同的地球科學領域主題進行即時觀測、分類,例如極端自然災害事件、因應氣候變遷、海洋或生物多樣性,最終目標是整合這些數位複製內容(digital replicas),形成、建立全面性的地球數位分身綜合系統。因此,DestinE 數位分身將為用戶提供量身打造的高品質資料,用於用戶特定的場景模擬開發、決策。而該DestinE 數位分身將由歐洲中期天氣預報中心進行開發。 從而,DestinE系統用戶將能夠存取大量地球系統和社會經濟資料並與之互動,該系統可有助於: 根據豐富的觀測資料集,對地球系統進行準確、和動態的模擬,例如:關注與社會相關的領域、氣候變化的區域影響、自然災害、海洋生態系統或城市空間。 提高、加強預測能力並發揮最大化影響,例如:保護生物多樣性、管理水資源、可再生能源和糧食資源,以及減輕災害風險。 支持歐盟相關政策的制定和實施,例如:監測和模擬地球發展(陸地、海洋、大氣、生物圈)與人為干預,藉以評估現有環境政策和立法措施的影響,作為制定未來政策的依據。或預測環境災難、衍生的的社會經濟危機,以挽救生命並避免大規模經濟衰退。抑或透過開發和測試場景,實現永續發展。
科羅拉多州新法迫使網路購物巨擘亞馬遜退出該州市場美國網路購物龍頭業者亞馬遜(Amazon)於2010年3月宣布,肇因於科羅拉多州(Colorado)最新通過的網路稅法,該公司將中止與科羅拉多州當地網路業者之間的合作關係,消息披露後,隨即對4000位以上科羅拉多州民眾之生計產生劇烈影響。 亞馬遜於全美各州均推動所謂的「亞馬遜合夥事業」(Amazon Associates),參加此一合作模式的各州網路業者,只要網路使用者透過業者建置的網路連結而於亞馬遜網站進行消費時,業者便可自亞馬遜收取特定之佣金。而亞馬遜此次選擇退出科羅拉多州前,事實上該公司亦曾因網路課稅問題,而陸續退出北卡羅來納州(North Carolina)與羅得島州(Rhode Island)之網路購物市場。 然而,相較於先前北卡羅來納州與羅得島州網路營業稅課徵之對象,以設籍於該州的網路業者為主;此次科羅拉多州(Colorado)通過的新法,應被徵收營業稅之網路業者,則不以設籍該州為限,凡與該州居民進行交易而設籍於其他州的網路業者,亦須向該州納稅。同時,科羅拉多州當地居民進行網路購物時,將須繳交2.9%之網路消費稅。 亞馬遜表示,新法將使迫使該公司每年上繳約460萬元的稅額,以彌補科羅拉多州現階段13億元之預算赤字。無獨有偶,深受預算赤字所苦的加州,近來亦積極討論應否制定網路稅法,支持者表示新法若順利通過,可望每年為州政府貢獻超過1.5億美元的稅收,有助於彌補該州高達20億美元之預算缺口。
美國創新戰略推動下科技政策與重要法案之觀察