加州消費者隱私保護法修正法案重點說明
隨著個人資料保護意識的興起,各國也持續增修法律來保護人民權益以及協調產業標準,但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。
如美國同時會有聯邦法與州法兩個層次的法律,當兩者分別發展隱私權相關法律規範時,難免會缺乏協調,出現定義不明的重疊規範,進而提高企業之法令遵循成本與管理成本。最終導致的結果,就是非必要地降低了產業發展速度,以及提高了消費者獲得服務的成本。
日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法(California Consumer Privacy Act, CCPA)」,使該部法案對於個人資料保護與利用之規範日漸完備,並減少與聯邦政府重複管轄項目,進而達到合理降低州內企業的遵法成本。美國加州州長紐松(Gavin Newsom)簽署的CCPA修正案「AB-713號法案」(Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code )通過後,CCPA之適用範圍將限縮。若「同時符合」下列二者條件,則可免受CCPA規範:
- 受「加州醫療資訊保密法」(the California’s Confidentiality of Medical Information Act, CMIA)所規範的的醫療資訊及個人健康資訊之衍生資訊,或受「美國聯邦受試者保護通則」(Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。
- 根據「健康保險可攜性及責任法」(Health Insurance Portability and Accountability Act, HIPPA)之標準,已去識別化的資訊。
換言之,已經依HIPAA標準去識別化之第一點資訊,即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範,但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。
「AB-713號法案」對於已去識別化資訊之利用或販售行為,增設了契約須載明下列規範架構之條款內容:
- 如有利用或販售去識別化資訊涉及病患資料者,須在契約中予以聲明。
- 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。
- 除法律另有規定,或第三方受到相同或更嚴格限制之個資保護約束,買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。
「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業,其隱私政策聲明應納入以下內容:
- 將出售或揭露去識別化病患之資訊;
- 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式,進行病患資訊之去識別化。
整體來說,「AB-713號法案」讓CCPA的規範稍加鬆綁,明確排除CCPA對特定去識別化資訊之適用,並擴張對研究行為之豁免範圍,在處理上有更多彈性,惟同時也要求企業須充分揭露其個人資料處理原則。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
邱曉麗
邱曉麗 編譯整理
1. California amends consumer privacy act on medical information and health privacy,DWO, Oct. 2, 2020,https://dig.watch/updates/california-amends-consumer-privacy-act-medical-information-and-health-privacy(last visited Oct. 30, 2020).
2. AB-713 California Consumer Privacy Act of 2018.(2019-2020) ,CLI, Sep. 29, 2020,http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201920200AB713(last visited Oct. 30, 2020).
3. Welcome Clarifications, But Also New Obligations Around De-Identified Patient Data, Law.com, Oct. 20, 2020,https://www.law.com/legaltechnews/2020/10/20/recent-ccpa-amendment-brings-welcome-clarifications-but-also-new-obligations-around-de-identified-patient-data/(last visited Oct. 30, 2020).
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。 受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎: ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。 然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
數位資產正式納入美國懷俄明州州法,並將虛擬貨幣視為金錢美國懷俄明州(Wyoming)於2019年1月18日提出S.F. 0125法案,經參眾議院三讀及州長簽署通過後,將在同年7月1日生效,代表數位資產(digital assets)正式納入懷俄明州州法第34編第29章。該法定義數位資產為表彰經濟性、所有權或近用權,並儲存於可供電腦讀取之格式(computer readable format)中,又區分為數位消費資產(digital consumer assets)、數位證券(digital securities)及虛擬貨幣(virtual currency)等三類。 數位消費資產,是指為了消費、個人或家用目的使用或購買的數位資產,包含:(1)除法律另有規定外,開放區塊鏈代幣(open blockchain tokens)視為個人無形資產(intangible personal property),(2)非屬本章數位證券和虛擬貨幣範圍內之數位資產;數位證券則是指符合懷俄明州州法第17編第4章有價證券定義的數位資產,但排除數位消費資產及虛擬貨幣;又,虛擬貨幣是指使用數位資產作為交易媒介(medium of exchange)、記帳單位(unit of account)或具儲存價值(store of value),且尚未被美國政府視為法定貨幣(legal tender)。 本次修法規定數位資產均為個人無形資產,另將數位消費資產視為該州州法下之一般無形資產,數位證券視為該州州法下之有價證券及投資性財產,虛擬貨幣則視為金錢,有論者表示本次修法有助於促進數位資產流通,並鼓勵各州跟進修法。然此舉是否有助於該州推行數位資產產業,尚待持續觀測,始能得知其對業界與政府監管所造成之影響。
簡介日本「u-Japan政策」 WIPO公布《2021年世界智慧財產權指標報告》全球商標註冊申請在疫情影響下仍大幅上升2021年11月8日,世界智慧財產權組織(World Intellectual Property Organization,簡稱WIPO)發布2021年《世界智慧財產權指標報告》(World Intellectual Property Indicators Report,簡稱WIPI)。報告指出全球的商標申請在2020年成長了13.7%、專利成長1.6%、外觀設計成長2%。WIPO執行長表示:「WIPO世界智慧財產權指標報告證實,儘管世界經濟出現數十年來最嚴重的緊縮,但智財權申請——一個強而有力的創新指標——在疫情期間展現出非凡的復原力」。本報告以2020年度,蒐集自世界各地150個官方智財組織、以及WIPO的申請、註冊和延展的統計數據為依據,分析全球智慧財產權活動,範圍涵蓋專利、新型、商標、工業外觀設計、微生物、植物品種保護和地理標誌。 WIPO每年皆會收集和分析官方智財統計數據,發布年度WIPI報告,為政策制定者、商業領袖、投資人、學者和其他欲了解、分析智財生態宏觀趨勢的人提供全球智財資訊。