加州消費者隱私保護法修正法案重點說明
隨著個人資料保護意識的興起,各國也持續增修法律來保護人民權益以及協調產業標準,但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。
如美國同時會有聯邦法與州法兩個層次的法律,當兩者分別發展隱私權相關法律規範時,難免會缺乏協調,出現定義不明的重疊規範,進而提高企業之法令遵循成本與管理成本。最終導致的結果,就是非必要地降低了產業發展速度,以及提高了消費者獲得服務的成本。
日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法(California Consumer Privacy Act, CCPA)」,使該部法案對於個人資料保護與利用之規範日漸完備,並減少與聯邦政府重複管轄項目,進而達到合理降低州內企業的遵法成本。美國加州州長紐松(Gavin Newsom)簽署的CCPA修正案「AB-713號法案」(Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code )通過後,CCPA之適用範圍將限縮。若「同時符合」下列二者條件,則可免受CCPA規範:
- 受「加州醫療資訊保密法」(the California’s Confidentiality of Medical Information Act, CMIA)所規範的的醫療資訊及個人健康資訊之衍生資訊,或受「美國聯邦受試者保護通則」(Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。
- 根據「健康保險可攜性及責任法」(Health Insurance Portability and Accountability Act, HIPPA)之標準,已去識別化的資訊。
換言之,已經依HIPAA標準去識別化之第一點資訊,即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範,但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。
「AB-713號法案」對於已去識別化資訊之利用或販售行為,增設了契約須載明下列規範架構之條款內容:
- 如有利用或販售去識別化資訊涉及病患資料者,須在契約中予以聲明。
- 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。
- 除法律另有規定,或第三方受到相同或更嚴格限制之個資保護約束,買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。
「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業,其隱私政策聲明應納入以下內容:
- 將出售或揭露去識別化病患之資訊;
- 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式,進行病患資訊之去識別化。
整體來說,「AB-713號法案」讓CCPA的規範稍加鬆綁,明確排除CCPA對特定去識別化資訊之適用,並擴張對研究行為之豁免範圍,在處理上有更多彈性,惟同時也要求企業須充分揭露其個人資料處理原則。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
邱曉麗
邱曉麗 編譯整理
1. California amends consumer privacy act on medical information and health privacy,DWO, Oct. 2, 2020,https://dig.watch/updates/california-amends-consumer-privacy-act-medical-information-and-health-privacy(last visited Oct. 30, 2020).
2. AB-713 California Consumer Privacy Act of 2018.(2019-2020) ,CLI, Sep. 29, 2020,http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB713(last visited Oct. 30, 2020).
3. Welcome Clarifications, But Also New Obligations Around De-Identified Patient Data, Law.com, Oct. 20, 2020,https://www.law.com/legaltechnews/2020/10/20/recent-ccpa-amendment-brings-welcome-clarifications-but-also-new-obligations-around-de-identified-patient-data/(last visited Oct. 30, 2020).
立法強制 ISP 業者記錄客戶使用狀況以供日後調查之用,此等呼聲近來日形高漲。部分行政部門官員業已表態支持此一作為;另有數位國會議員亦主張,應儘速推動聯邦層級之立法,以協助執法部門對付兒童色情( child pornography )問題;甚至在科羅拉多州,目前已有相關法案進入該州參議會接受審理。 立法強制業者留存資料或記錄的作法,固然對於揭發犯罪繩之以法甚有裨益,但由於可能會讓警方得以取得電郵往來、網頁瀏覽、聊天記錄等向來可能經過幾個月之後就會刪除的資料,以致隱私保障人士以及 ISP 業者普遍對此甚感憂慮。歸納而言,其理由主為以下三點:第一,何人始有權限近用相關資料,探查他人上網行為之紀錄,仍待釐清;第二,存留該等資料所需空間勢必可觀,費用究竟由誰支應,亦屬未定;最後,現行法制是否對於警方辦案確實造成障礙,同樣有待探討。 美國司法部( the U.S. Department of Justice )去年即已逐步開始推動相關立法,而歐洲議會( the European Parliament )去年 12 月審議相關條文增修,要求 ISP 業者以及電信業者就其經手傳輸之所有電子訊息以及通話,均須保存相關紀錄 6 個月至 2 年之譜,更是引發諸多關注及討論。美國眾議院( the U.S. House of Representatives )能源商務委員會( the Committee on Energy and Commerce )監控調查組( the Subcommittee on Oversight and Investigations )預計本月 27 日將召開另一次聽證會,持續就此議題詳加探討。
標準制定組織成員之專利揭露義務標準制定組織為了提高產業競爭,防止標準制定組織之會員們,在獲得涵蓋產業標準的專利權後,以壟斷性手段壓迫其他競爭對手,故通常會以智慧財產權政策要求參加的會員揭露其被標準制定組織選擇寫入標準的專利。其重要內容通常包括: 1. 必要專利揭露 許多標準制定組織皆有規定,標準必要專利權人應依以誠實信用及適當方式進行揭露之義務,例如IEEE及ETSI 。即對於討論中的技術標準,必須對標準制定組織及其參與者公開揭露所持有的必要專利。揭露的基本目的主要有三項 : (1) 使標準開發相關工作小組會員可以掌握納入標準之多項候選技術的基本資訊(例如專利技術價值、成本及可行性等等),並做出適當選擇。 (2) 藉此得知須提出授權聲明或承諾的必要專利權人。 (3) 藉此讓必要專利的潛在實施者得知應向那些必要專利權人獲取必要專利相關資訊。 2. 事前揭露授權條款(ex-ante disclosure of licensing terms) 事前揭露授權條款係一種受保護之技術在被採納為標準必要專利前,將授權條件的揭露的機制,目前IEEE及ETSI採行自願性揭露方式。與必要智財權的揭露及授權聲明不同,其主要的目的在於讓標準制定委員會將技術採納為標準前,可以根據所揭露的授權條件來決定有那些技術在符合權利人授權條件下,有哪些技術可以納入標準,又有哪些不同替代技術,並據以作成決定 。
日本閣議公布建築節能法修正案2019年2月15日閣議公布《建築物能源使用效率提升法》(建築物のエネルギー消費性能の向上に関する法律,以下稱「建築節能法」)的修正案,將根據住宅及建築物的規模、用途等特性,採取高效性綜合對策,以達到2030年節能目標。 本次《建築節能法》主要修正內容,包含: 非住宅之建築物(如商辦大樓):原針對新建、改建、擴建大規模(樓地板面積2000m2以上)建築物應符合「建築物能源使用效率基準」(建築物エネルギー消費性能基準)之強制規定,將擴及中規模(樓地板面積300m2~2000m2)建築物。另外,新增若複數建築物共同執行的「提升建築物能源使用效率計畫」,經當地相關主管機關認定後,可獲得容積獎勵之規定。 改善大型集合住宅審查制度:針對建築物起造人及承造人須向當地相關主管機關提交「確保建築物能源使用效率的構造與設備計畫」的審查制度,將簡化審查程序,以減少行政機關負擔及提高行政效率。 建築師及住宅業者之義務: (1) 新增設計小規模(樓地板面積不到300m2)建築物的建築師有義務向建築物起造人及承造人,說明該物件的能源使用效率。 (2) 住宅Top Runner制度:原規範大型住宅業者供給之建案獨棟住宅應符合住宅Top Runner基準,現將物件範圍擴及客製化獨棟住宅及小型出租公寓。
美國司法部命加州柏克萊大學完備無障礙網站,確保身心障礙人士之數位人權針對「全國聽障協會」(National Association of Deaf, NAD)於2014年對於加州柏克萊大學提供之免費線上課程、會議、講座、表演和其他影音檔案未內建隱藏式字幕(closed captioning),向美國司法部申訴,該校違反美國身心障礙者法Americans with Disabilities Act, ADA)第二章,即收編至美國統一法典(U.S.C.)第42章第12131至第12134條,關於「提供公共服務的實體(entity)應將其服務平等地提供他人近用」相關規定,包括州行政機構、法院、立法機關、城市、郡、學校、社區大學等實體,須確保身心障礙者獲得平等機會使用州和地方政府的服務或參與其活動。 美國司法部歷經八年調查後,最終與加州柏克萊大學達成行政協議(consent decree),要求加州柏克萊大學應定期回報無障礙網站建置進度、回應公眾無障礙網站需求、內部員工相關教育訓練、定期請第三方稽核單位測試學校各平臺的無障礙網站是否達「全球資訊網協會」(World Wide Web Consortium, W3C)發布的「無障礙網站指南」2.0版(Web Content Accessibility Guidelines, WCAG 2.0)AA等級技術標準。自該協議生效日起,加州柏克萊大學以下相關網路平臺上之影音檔案,均需內建隱藏式字幕: 一、大學官網(http://www.berkeley.edu)及公眾可瀏覽且由加州柏克萊大學管理的任何相關子網域; 二、大規模線上公開課程(MOOC)平臺「UC BerkeleyX」; 三、由第三方平臺(如Apple Podcasts或Spotify)託管,加州柏克萊大學管理的所有podcast頻道或帳戶; 四、由第三方平臺(如YouTube)託管,加州柏克萊大學管理的所有影音頻道或帳戶。 從行政協議之協調方向及結果來看,加州柏克萊大學除實體環境外,和該環境具聯繫關係之網站也需要符合ADA無障礙網站規定,使得多元族群均有平等接觸社會服務和活動的機會。在數位經濟時代,各式網路活動活絡之今日,網路等線上虛擬環境與實體公共設施的無障礙同等重要;線上與線下之人權皆須獲得同等保障,亦係數位人權之真諦。