新加坡國會於2020年11月通過個人資料保護法之修正案

  新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。

  新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下:

  1. 透過組織問責制度,加強消費者之信任;
  2. 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率;
  3. 資料外洩時的強制性通知規定、責任(可參見26A條以下);
  4. 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下);
  5. 強化個人資料保護委員會的執法權限,提高執法效率;
  6. 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下);
  7. 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分)
  8. 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分)
  9. 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)

相關連結
你可能會想參加
※ 新加坡國會於2020年11月通過個人資料保護法之修正案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8580&no=64&tp=1 (最後瀏覽日:2026/07/02)
引註此篇文章
你可能還會想看
法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料

  法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴,並展開調查。嗣後,CNIL於2021年12月16公布調查結果,認為Clearview AI公司蒐集及使用生物特徵識別資料(biometric data)的行為,違反《一般資料保護規範》(General Data Protection Regulation,GDPR)的規定,分別為: 非法處理個人資料:個人資料的處理必須符合GDPR第6條所列舉之任一法律依據,始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料,並用於臉部辨識軟體的開發,其過程皆未取得當事人之同意,故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利:Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使,特別是資料查閱權,並且忽視當事人的個資刪除請求。   因此,CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態,包括:(1)在沒有法律依據的情況下,停止蒐集及使用法國人民的個資;(2)促進個資主體行使其權利,並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明,則CNIL可依據GDPR進行裁罰,可處以最高 2000萬歐元的罰鍰,或公司全球年收入的4%。

歐盟執委會提出資料治理與資料政策

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日   歐盟執委會(European Commission,以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1],旨在說明歐盟執委會將如何透過資料治理及相關政策,轉型為資料驅動型組織(data-driven organization),並提供一致的方向或原則,促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的   「促成歐洲適應數位時代,並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展,透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術,「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度,首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理,有助於此願景之達成。   因此,執委會提出「資料治理與資料政策」,建立執委會統一的資料治理架構與政策原則,幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時,執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程,改善資料品質,提升資料管理及共享之效率。 貳、內容摘要   「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集,包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上,則導入「遵守或解釋」(comply-or-explain)原則,除非法律明示規定為選擇性適用,否則執委會轄下相關部門機構皆需遵守;倘未遵守,則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理   主要目的在建構執委會統一的資料治理架構,釐清相關角色的責任與相互依賴關係。依角色與任務的不同,執委會將資料治理分為三層級,並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 (一)策略層級(strategic level)   由資訊管理指導委員會(Information Management Steering Board, IMSB),處理資料治理與資料政策相關議題,界定長期推動願景、提供政策方向、監督推動與執行之進程,並作出策略決定。 (二)管理階層(managerial level)   由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board),以及策略層級就各資料集所指定之資料擁有者(data owner),依策略層級所提出之願景與政策方向,在各處建立並執行資料政策、監督執行進度,並向策略層級報告執行進度及任何超出其決策權限之問題。 (三)運作階層(operational level)   由資料擁有者選出或指派資料管理員(data steward),並與資料利用者(data user)實際執行資料政策,必要時將相關議題提到管理層級解決。 二、資料政策   就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向,建立上位原則。   其中關於「資料管理」部分,又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則,故執委會轄下相關部門機構在建立、蒐集或取得資料之前,需探詢必要資料或資訊是否已存在,避免重複取得。主要需求資料集的部門機構,應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面,除非歐盟相關的執委會決定、指令或規則另有規定[3],否則以「需要共享」(need to share)或「預設共享」(share by default)為原則,並使用一致化的資料管理與視覺化工具或資料平台。   針對「資料互通性與標準」與「資料品質」兩部分,著重在執委會內部的共通一致性,包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面,則強調「歐盟機關個人資料保護規則」[4]相關義務,以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析   觀察歐盟執委會的「資料治理與資料政策」,可知其資料治理架構與相關政策,是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則,更從組織管理角度,界定不同單位或角色的任務與責任,並凸顯資料治理管理組織的建構,對資料政策執行之重要性。   我國政府長期致力於數位國家之發展,在政府資料開放政策推動上已有不少成果,例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量,建議未來可進一步完善政府資料治理構面,兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向,借鏡歐盟執委會之作法,確立資料共享再利用之管理架構及原則,提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等,有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

美國歐盟貿易和技術委員會發布第四次聯合聲明,強化高科技技術及貿易安全合作

美國歐盟貿易和技術委員會(Trade and Technology Council,簡稱TTC)第四次部長級會議於2023年5月31日發布聯合聲明。TTC繼續作為美國和歐盟對俄羅斯在烏克蘭戰爭中協調及有效反應的平台,處理包括與制裁相關的出口限制、打擊外國資訊操縱和干擾,以及破壞人權並威脅到當事國及第三國民主制度的運作和社會福祉等議題。 本次TTC聯合聲明之五大議題重點介紹如下: (1)強化跨大西洋新興技術合作以實現美歐共同領導:包括監控與衡量現有和新出現的人工智慧風險;發展智慧電網下智慧移動標準及互通性(Interoperability);提升半導體供應鏈的合作,包括鼓勵研發、資訊共享;建立工作小組共同處理量子技術問題。 (2)促進貿易及投資的永續性與新機會:乾淨能源補助;避免關鍵礦物供應受地緣政治影響;藉由數位工具提升貿易便捷的合作;相互承認醫藥品製造實務作法等。 (3)貿易、安全和經濟繁榮:出口管制與制裁相關出口限制的合作;交換對於與國安風險有關的特定敏感技術及關鍵設施投資審查的看法;重視對外投資管制,以保護敏感技術不流於對國際和平與安全有疑慮的用途;討論非市場政策與實務、及經濟脅迫(Coercion)的威脅與挑戰。 (4)連結性(Connectivity)和數位基礎設施:加速合作發展6G無線通訊系統;國際連通性與海底電纜計畫。 (5)在不斷變化的地緣政治數位環境中捍衛人權和價值觀:建構具透明性與可問責之線上平台;處理在第三國進行外國資料操縱與干預議題。 TTC將透過各工作小組,持續關注、研究上述議題的發展,並預計於2023年底於美國再次召開會議,檢視合作的成果。

歐盟「開放網路規則」實施指引

  歐盟會員國電子通訊傳播監理機關組織(Body of European Regulators for Electronic Communications, BEREC)於2016年8月公布「歐盟會員國網路中立規則監理機關執行指引」(BEREC Guidelines on the Implementation by National Regulators of European Net Neutrality Rules)。本執行指引係依歐盟於2015年11月通過之「有關開放網路近用並修正全球服務與使用者有關電子通訊網絡與服務之第2002/22/EC號指令以及於歐盟境內於公用行動通訊網絡進行漫遊之第531/2012號規則」的第2015/2120號規則(下稱「開放網路」規則)第5條第(3)項所訂定,用以作為歐盟各會員國相關監理機關於實施「開放網路」規則時之參考依據。   以網路中立性所蘊涵之不歧視原則為例,「開放網路」規則第3條第3項第一段規定,「網際網路近用服務提供者於提供相關服務時,對所有流量應平等對待(treat all traffic equally),而無歧視、限制、或干擾,且亦不論係對於發送方與接收方、所近用或散布之內容、所使用或提供之應用或服務、或所利用之終端設備」。對此,執行指引明確表示,不歧視原則是網際網路服務提供者在提供網路近用服務時之義務,且對於本項之違反,亦將同時構成對於終端使用者受「開放網路」規則第3條第1項所保障權利之侵害。不過執行指引也強調,各會員國相關監理機關應該注意到,所謂的「平等對待」不必然意味著所有終端使用者都將體驗相同的網路效能或服務品質。

TOP