新加坡國會於2020年11月通過個人資料保護法之修正案
新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。
新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下:
- 透過組織問責制度,加強消費者之信任;
- 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率;
- 資料外洩時的強制性通知規定、責任(可參見26A條以下);
- 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下);
- 強化個人資料保護委員會的執法權限,提高執法效率;
- 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下);
- 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分)
- 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分)
- 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)
- Amendments to the Personal Data Protection Act and Spam Control Act Passed
- Singapore: Parliament passes amendments to PDPA and Spam Control Act
- Singapore updates personal data protection law
- Personal Data Protection (Amendment) Bill
- Personal Data Protection (Amendment) Act 2020 In Singapore: Effects On Your Business
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
林玉書
法律研究員 編譯整理
1. Amendments to the Personal Data Protection Act and Spam Control Act Passed, MCI, Nov.2, 2020, https://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2020/11/amendments-to-the-personal-data-protection-act-and-spam-control-act-passed (last visited Nov. 10, 2020).
2. Singapore: Parliament passes amendments to PDPA and Spam Control Act, OneTrust, Nov.5, 2020, https://www.dataguidance.com/news/singapore-parliament-passes-amendments-pdpa-and-spam (last visited Nov. 10, 2020).
3. Singapore updates personal data protection law, Pinsent Masons LLP, Nov.4, 2020,https://www.pinsentmasons.com/out-law/news/singapore-updates-personal-data-protection-law (last visited Nov. 10, 2020).
1. Personal Data Protection (Amendment) Bill, Singapore Statutes Online, https://sso.agc.gov.sg/Bills-Supp/37-2020/Published/20201005?DocDate=20201005 (last visited Nov. 10, 2020).
2. Personal Data Protection (Amendment) Act 2020 In Singapore: Effects On Your Business, MONDAQ, Nov.6, 2020, https://www.mondaq.com/data-protection/1002370/personal-data-protection-amendment-act-2020-in-singapore-effects-on-your-business (last visited Nov. 10, 2020).
歐洲理事會在2022年10月5日公告歐盟加密資產市場監管法(The Markets in Crypto Assets regulation bill, MiCA)草案最終條文內容,此份草案已經歐洲議會眾議員通過並提交歐洲議會經濟貨幣事務委員會(European Parliament Committee on Economic and Monetary Affairs),MiCA將於2023年年初公告於歐盟官方公報,並於2024年生效施行。MiCA屬於歐盟數位金融政策(Europe’s Digital Finance Strategy)之一環,立法目的為統一多種加密代幣(crypto token) 發行和交易的法規架構,以保護加密代幣使用者和投資人權益,為歐盟金融法規未涵蓋的加密資產(如:穩定幣)提供法律確定性,及建立歐盟層級的統一規定。值得注意的是,相關規定歐盟目前並未排除適用於非同質的加密貨幣(non-fungible tokens, NFT)。 草案前言第6c點明文,不應考慮「獨特且非同質的加密資產」(unique and non-fungible crypto-asset)的小部分獨特性和非同質性,因為大量以一系列NFT形式發行加密資產應認定是具備同質性(fungibility)之指標。從而,未來在歐盟發行NFT將適用MiCA規定,包含: 一、適用傳統金融機構資金轉帳規則(travel rules),如:確保加密資產交易可被追蹤、得封鎖可疑交易等以達到防制洗錢與打擊恐怖主義融資之目的。 二、NFT作為一種加密資產,該服務供應商必須確認加密資產來源,確保加密資產並未涉及洗錢或恐怖主義融資之風險。 三、應透過NFT服務供應商協助,才能進行用戶間交易和轉帳。
英國政府公布物聯網設備安全設計報告及製造商應遵循之設計準則草案英國數位文化媒體與體育部於2018年3月8日公布「安全設計:促進IoT用戶網路安全(Secure by Design: Improving the cyber security of consumer Internet of Things)」報告,目的在於讓物聯網設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。此報告經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論,並提出了一份可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則: 不應設定預設密碼(default password); 應實施漏洞揭露政策; 應持續更新軟體; 應確保機密與具有安全敏感性的資訊受到保護; 應確保通訊之安全; 應最小化設備可能受到網路攻擊的區域; 應確保軟體的可信性; 應確保設備上之個資受到妥善保障; 應確保系統對於停電事故具有可回復性; 應監督設備自動傳輸之數據; 應使用戶可以簡易的方式刪除個人資訊; 應使設備可被容易的安裝與維護; 應驗證輸入設備之數據。 此草案將接受公眾意見至2018年4月25日,並規劃於2018年期間進一步檢視是否應立相關法律與規範,以促進英國成為領導國際之數位國家,並減輕消費者之負擔並保障其隱私與安全權益。
日本推進超級城市系統帶動區域創新日本推進超級城市系統帶動區域創新 資訊工業策進會科技法律研究所 2021年06月15日 壹、事件摘要 一、超級城市推動背景 數位技術躍升,驅動了產業創新的勃發。然而,現行社經體制與結構卻凸顯出創新速度與監理政策步伐間的落差,繼而牽動二者衝突,影響技術的擴散與創新產業的發展。 面對翻轉傳統框架之創新產業,國際間漸識「區域」居於主導創新發展之重要性,轉而嘗試從地方政府在區域規劃權限出發,尋求以區域創新作法突圍。換言之,區域創新需求的引力將能觸發創新產品或服務之供給,從而誘發法規(暫時)豁免或是鬆綁,為產業創新提供彈性空間。期能藉由法規鬆綁、開放創新的支援手段,通過特定區域作為數位創新技術在社會實踐的實驗室,檢驗與探索創新技術與社會體制之最佳解方。 而日本在區域創新搭配規範特例措施(規制の特例措置)已行之有年,包含有構造改革特區(構造改革特区)、綜合特區(総合特区)及國家戰略特區(国家戦略特区)。渠等皆係以地方政府(或區域)為核心,依其區域發展特性與創新佈建規劃並搭配規範特例措施推行。從既有制度以觀,構造改革特區無涉補助或租稅優惠措施,其推行上以重建財政為重,意即以地方自發性依其地區特性規劃,搭配規範特例措施推行都市再生、經濟上自立,並改善地區發展不均現象。但在此模式下,僅從地方角度出發,審查不符合當地情況之個別法規,難具全面性,整體效益並不顯著;綜合特區同樣以區域為主,設計上除規範特例措施外,另提供綜合性資助,包含稅收、財政上的支援,期望利用區域特定資源打造出可振興地方經濟的模式,立意良善卻無法阻止以綜合性資助為目的的情形;至於國家戰略特區,則是汲取過往經驗,改從國家角度出發,由內閣總理大臣主導,以促進國內外投資與鼓勵創業為旨,審查地方政府所提國家戰略特區計畫,並通過規範特例措施排除適用法規,允許產業在其中進行創新運用。 只是,在推動的過程中,日本漸發現除創新技術應用的特例措施外,資料協作亦至關重要。為精準解決日本的區域問題,必須尋求能夠在居民日常中運用資料協作實施先進技術的方法。在2019年超級城市/智慧城市論壇中,時任總理安倍晉三就此特別提及,資料正是新世代成長的動能,將與人工智慧等先進技術共同實現社會5.0願景。而超級城市所構築的資料流通規則與框架將能支持日本未來新時代的建設[1]。亦即,超級城市將是日本未來發展資料協作的基礎。 二、超級城市型國家戰略特區介紹 如前所述,資料協作成為產業創新不可避免的挑戰。其首要課題當屬完備資料之流通環境。也就是,需要建立一個資料共享基礎設施,促進多元進階服務間的資料蒐集、清洗和提供[2]。而日本注意到串接不同服務所利用之API(Application Programing Interface),本質上應非單純的技術,而是系統。延續此一概念,也直接表彰了日本所構想的超級城市,並非指直接於法律中引入超級城市定義,或直接建立超級城市,而是指開發一種能夠實現超級城市概念的系統(亦有稱其為城市操作系統/OS)[3],藉由系統的實施形塑超級城市型國家戰略特區。為此,日本於2019年啟動《國家戰略特別區域法》修法,以促進資料協作基礎的建立,引動統一且全面的監管改革。 2020年5月27日,《國家戰略特別區域法》一部修正(別名為超級城市法案)正式通過參議院會議,同年6月3日正式公告修正版本法規,9月1日正式施行。緊接著,2020年10月30日更一部修正《國家戰略特區基本方針》,增加有關超級城市區域之指定標準。其後亦陸續進行完備超級城市型國家戰略特區框架之法令調修,包含於《國家戰略特別區域法施行令》(国家戦略特別区域法施行令)增訂資料協作基礎設施事業標準(データ連携基盤整備事業に関する基準);於《國家戰略特別區域法施行規則》(国家戦略特別区域法施行規則)納入確認區域內住民就超級城市構想意向方法(スーパーシティ基本構想についての住民等の関係者の意向の確認方法)要求;於《內閣府‧總務省‧經濟產業省關係國家戰略特別區域法施行規則》(内閣府・総務省・経済産業省関係国家戦略特別区域法施行規則)增加資料協作基礎設施安全管理基準(データ連携基盤の安全管理基準);於《國家戰略特別區域法第二十五條之二規定實證事業等的內閣府令》(国家戦略特別区域法第二十五条の二の内閣府令で定める実証事業等を定める内閣府令)增加地區限定型監理沙盒制度施行規定(地域限定型サンドボックス制度の施行のための規定等)。 而超級城市型國家戰略特區內涵主要是以發展《促進官民資料活用推進基本法》(官民データ活用推進基本法)第2條所稱人工智慧、物聯網相關技術事業、及其他能處理大量資料並增加服務價值或創造新價值,進而衍生新興業務之先進技術事業為基礎,在《國家戰略特別區域法》增訂「先進區域資料活用事業活動」(先端的区域データ活用事業活動)概念,扣合超級城市區域指定標準中所訂,超級城市區域必須提供至少五個領域以上的先進服務,並且應與當地居民、地方公共團體、私營企業取得監理改革的共識要求,串接先進區域資料活用事業與區域內居民需求,引動監理改革。 附帶一提的是,超級城市框架的特色,除在先進事業運用必須貼合區域內居民需求外,居於區域整體規劃角度,更特別要求超級城市區域必須設置構想整體規劃的「建築師」(アーキテクト),且應以公開招募方式選出有能力營運超級城市系統者,確保資料協作基礎的相容性與安全性符合《資料協作基礎設施安全管理基準》。企能實現先進區域資料活用事業活動之主體資訊系統與擁有區域資料的主體資訊系統間相互合作之基礎,並在此基石上,蒐集、整理並提供資料予有需求之先進區域資料活用事業者,以周全區域內居民及利害關係人之權益[4],進而支援超級城市的實施。 貳、重點說明 綜整前述說明,日本在構建超級城市型國家戰略特區框架所著重點,分別係建置資料協作基礎設施之共享與合作,及推動大膽且全面的監理改革,以使先進技術落地。 一、構築資料協作基礎設施,帶動資料共享與合作 超級城市型國家戰略特區框架之重點,乃以資料協作為核心,因此資料協作基礎設施之建置,將是先進區域資料活用事業成功與否的關鍵。 然而要能順利推行資料協作,不同軟體間交換資料和指令時的連接方法必須具備通用性,以備未來不同領域甚或不同城市彼此間進行資料之交換與運用。故超級城市/智慧城市資料協調研究協會提出資料流通系統三大關鍵,分別為API角色及相關規則與發布方法、資料仲介者的能力與機能、資料結構的標準化。循此,日本通過設立資料協作基礎設施事業標準,擬定API規格、所處理資料種類與內容和運用的相關規約,其中特別強調的是,就涉及個人資料的運用,應以當事人「事前同意」為原則,並且要求相關資訊之公開必須通過網路實施,於提供資料時不得附加不正當之不公平條款等。另外,因應資安問題,日本亦特別明定資料安全管理基準,並要求應有確立責任主體機制、資料運用規章、資料安全專責人員、PDCA作業內容以及事業繼續計畫制定等,強化資料協作基礎設施功能與安全性。 二、大膽全面之監理改革,促成先進技術落地 有關超級城市型國家戰略特區第二點特色,係在地域型監理沙盒模式基礎上,搭配資料協作基礎活化先進技術資料的運用,促進多元領域間的合作。主要推行手段係建立新規制特例措施(新たな規制の特例措置),事先於《國家戰略特別區域法第二十五條之二規定實證事業等的內閣府令》框定相關先進技術,如自駕車、無人機及無線電波應用等,使其能夠在超級城市型國家戰略特區內更快速地用於實證。而因應快速實證作法,日本建立監控和評估系統加強事後檢查,並盡可能減少事前監管干預,以此強化國家戰略特別區域中產業國際競爭力或是形成國際經濟活動據點的正當性。 其中,值得注意的是,即便日本希望簡化行政程序,盡可能減少事前監管的干預,但在超級城市型國家戰略特區運作上,仍然必須與區域內居民進行溝通協調。蓋因在先進技術運用領域上,超級城市的特色是以居民需求作為出發點,強調區域居民的參與與支持。 故在指定超級城市的標準中,也明確地表示區域內居民意向之重要性,同時,特別指示地方政府申請超級城市型國家戰略特區時,應闡明調查該區域居民及其他利害關係人之方式和結果等,以便確認區域內住民就超級城市構想意向。整體而言,其推進方式係透過所謂的「區域會議」(区域会議)進行。在區域會議(特區擔當大臣、首長、經營者、居民代表等)中,選取區域居民所面臨的社會問題。其後,透過區域會議共商有助於解決地區社會問題的先進技術產品或服務,並依此擬定先進技術產品或服務間協調和共用資料的基本計劃(基本概念),通過表決進而提出監理改革事項。在此過程中,提出超級城市構想之地方政府,即可依據區域會議所了解之先進技術區域資料利用內容,要求總理大臣根據內閣辦公室條例(附有證明居民協議之書面文件,必要時得檢附監管改革建議)制定新的特例措施。後續地方政府將依據特例措施進行先進技術的落地應用。 參、事件評析 超級城市實施的關鍵,在於資料協作基礎及新規制特例措施的推行。雖然超級城市的推行尚處於選案階段,但觀察日本在推動超級城市中所著眼之資料協作基礎設施及地域型監理沙盒的事後檢查做法,或可做為我國推行區域創新借鏡。 首先是資料協作基礎設施之建設,近年,我國國發會大力改革與推動下,透過《政府資訊公開法》、《行政機關電子資料流通實施要點》及《個人化資料自主運用平臺介接作業要點》等,促進我國公、私領域資料的流通與串接。而未來,考量先進技術產業與跨領域資料協作需求,或宜考量日本以系統思維推行資料流通串接之作法,除公部門資料及個人資料外,就產業資料及相關合作之可能性一併考慮,構建區域化的資料協作基礎設施。 次者是,回顧我國在應對先進技術的法規調適做法,已陸續有以產業需求為主的《金融科技發展與創新實驗條例》、《無人載具科技創新實驗條例》及其他不同目的推動之小型實證計畫等,但似尚無與地方政府共同合作,引動在地居民了解政策並參與之機制。故借鑒日本超級城市型國家戰略特區以區域居民需求結合中央權限制定特例措施之作法,或許亦能為我國推動區域創新指出另一條明路,有效促進更接地氣的創新實證落地,並帶動區域經濟向上發展。 [1]スーパーシティ/スマートシティフォーラム2019に寄せて報告書,2019年,頁7。 [2]国家戦略特別区域法及び構造改革特別区域法の一部を改正する法律案,https://www.chisou.go.jp/tiiki/kokusentoc/kettei/pdf/r10607_sankou.pdf (最後瀏覽日:2021/5/6) [3]萩原詩子,〈「スーパーシティ」実現を目指す、国家戦略特別区域法改正法案〉,2020/2/21,https://project.nikkeibp.co.jp/atclppp/PPP/news/021401450/ (最後瀏覽日:2020/6/12)。 [4]国家戦略特別区域法の一部を改正する法律第2條第3項,令和2年6月3日。
美國4州及司法部指控資料處理商(Agri Stats)的資料共享行為涉及聯合行為美國明尼蘇達州、加州、北卡羅萊納州及田納西州之檢察總長於2023年11月加入「美國司法部(U.S. Department of Justice, DOJ)在同年9月對於肉品產業資料提供者(Agri Stats, Inc.,以下簡稱Agri Stats)提起的反壟斷訴訟」中,主張Agri Stats透過報告方式將肉品數據資料分享給訂閱服務之肉類加工商,此類資料共享行為削弱了市場競爭關係造成聯合行為,違反了休曼法(Sherman Act)。以下先就此案背景進行說明,以釐清此案象徵意義。 於2023年2月,美國司法部反壟斷部門撤回3項與資訊共享相關的聲明,該3聲明是為了醫療保健產業而發布,其中就資料分享之安全使用方式亦可讓其他產業的資料提供業者評估其資料分享行為是否造成反壟斷行為,惟在目前AI/演算法技術變革之下,利用共享所得之資料反推競爭對手之競爭策略具有可行性,因此當年認為有助於促進競爭之資料共享行為,現在反而有造成聯合行為之可能,故廢棄該3項已過時的聲明。 於2023年9月28日,美國司法部反壟斷部門於明尼蘇達州指控Agri Stats違反休曼法。Agri Stats為專門彙整、分析美國豬肉與家禽(肉雞、火雞)相關商業資料的資料處理商,並將其分析報告提供給具競爭關係的肉品加工商,肉品加工商可透過將Agri Stats分析報告反推以監控/預測出競爭對手之價格、供應量、營運計畫等,並依分析報告建議進行價格調高與減產的行為,而被美國司法部認定為聯合行為。 該訴訟所涉及的肉品加工商占了全美家禽(肉雞與火雞)銷售量的9成以上,豬肉銷售量的8成以上。目前已有前述4州加入該訴訟,法院後續會如何認定,將影響產業間的資料交換作法,也顯現出資料商業化前須先做好資料管理,確保在合規的範圍內進行資料利用,國內廠商可參資策會科法所公布之《重要數位資料治理暨管理制度規範(EDGS)》對自身資料管理機制進行檢視。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)