歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
英國藥物及保健產品管理局(Medicines and Healthcare Products Regulatory Agency, MHRA)於2021年9月16日展開期待已久的「英國醫療器材監管的未來」公眾意見徵詢(Consultation on the Future of Medical Devices Regulation in the United Kingdom),並公布「人工智慧軟體醫材改革計畫」(Software and AI as a Medical Device Change Programme)。英國欲從醫療器材上市前核准至其壽命結束進行監管改革,徹底改變一般醫療器材與人工智慧軟體醫療器材之監管方式。意見徵詢已於2021年11月25日結束,而該修正案預計於2023年7月生效,與英國針對醫療器材停止使用歐盟CE(Conformité Européenne, 歐洲合格認證)標誌並要求採用英國UKCA(UK Conformity Assessed, 英國合格評定)標誌的日期一致。 人工智慧軟體醫材改革計畫則包含十一個工作項目(work package,下稱WP),WP1與WP2分別為監管資格與監管分類,皆涉及監管範圍之劃定;WP3與WP4分別涉及軟體醫材上市前與上市後,如何確保其安全性與有效性的監管之研究;WP5針對軟體醫材之網路安全進行規範;WP6與WP7涉及加速創新軟體醫材審核上市之特別機制,分別為類似「創新藥品藥證審核與近用途徑」 (innovative licensing and access pathway)的機制,以及允許適時上市並持續研究監控風險的「氣閘分類規則」(airlock classification rule);WP8為確保智慧型手機之健康應用程式安全、有效與品質之規範研究;WP9~WP11則分別針對人工智慧軟體醫材之安全與有效性、可解釋性(interpretability)以及演進式(adaptive)人工智慧進行法規調適之研究。 MHRA預計透過指引、標準、流程之公布而非立法方式實現其監管此領域的目標。MHRA亦透露,針對上述工作項目,其已與重點國家和國際機構進行研究合作,已有不少進展即將公布。
淺談美國建築能源科技法制政策發展近況 淺談台灣行動寬頻覆蓋率議題淺談台灣行動寬頻覆蓋率議題 科技法律研究所 法律研究員 黃志雯 2013年11月26日 壹、事件摘要 我國4G頻譜拍賣在歷經40天、393回合的「同時多回合上升」競標後,終在2013年10月底結束。這次的競標價金不僅高達1186.5億元外,也加入了國碁電子(鴻海集團)與台灣之星(頂新集團)兩家新進電信業者,使整體產業競爭性提高。預計民眾最快在2014年中時,即可享受靜態1Gbps、行動間100Mbps的高速網路,在無線寬頻的高速下,許多新興服務可孕育而生。 根據我國政府的規劃,4G營運時間越早,無論對產業、或是民眾皆是利大於弊。但是,從我國3G發展經驗可知,行動寬頻基地台建置的普及程度,攸關整體產業發展的關鍵。因此,行政院於今(2013)年11月成立「加速無線寬頻基礎設施小組」,依據電信法第32條第2項的規定,並透過跨部會協調,逐步落實公有建築物開放建設基地台之政策,增加4G業者涵蓋率,督促其儘速開台服務。同時,立法院為讓公有建物建設基地台能順利推行,於同年11月三讀通過修正電信法第32條。依據新修正之條文,未來除了因應輿論認為電磁波可能影響青少年發展,故允許高中職以下學校「得不同意」第一類電信事業設置室外基地台外,其餘公有建築物之主管機關,無正當理由不得拒絕業者申請。 透過落實公有建築物開放的政策,不僅可加速未來4G的發展外、亦可提升既有3G的覆蓋率。除此之外,當4G涵蓋全台後,其高速、穩定的特性將可被視為具有如固網般最後一哩(Last Mile)之效益,進而協助政府克服偏遠地區鋪設寬頻的困境,使全國居民皆可享有網際網路的便利。 貳、重點說明 政府透過落實公有建築開放架設基地台之政策,協助4G業者加速開台義務(5年內達人口涵蓋率50%),更希望能降低協商、架設基地台的成本,減少我國行動寬頻在都會區基地台數量不足、非都會區距離過遠之問題。其實,如何增加行動寬頻涵蓋率,是當前每一個國家致力發展的目標。新加坡與英國政府為了實現無所不在網路的目標,在管制的手段上分別是: (一)新加坡:為了協助電信服務業者可利用建物空間架設通訊設備,達到「行動寬頻訊號戶外覆蓋率99%、室內覆蓋率85%」的目標,新加坡修訂「建築物資通訊設施實施條例」。本條例要求開發商或屋主在建設大型建案時,必須依據建案大小設置「行動通訊設備布放空間」,以提供電信業者使用,增加行動寬頻覆蓋率。本條例落實後,預期可協助4G業者在既定時間內(2.5GHz須最早實現)完成全國、所有捷運/公路隧道內必須可接收4G訊號的要求。 (二)英國:英國為了改善既有行動寬頻涵蓋率,在今(2013)年11月提出5點改善措施。其中,在相關規範上,Ofcom除了直接提高3G業者涵蓋義務、在訊號難以達到區域建設基礎設施、定時提供行動寬頻速率報告,以及與交通部(Department for Transport and Network Rail)共同改善行動寬頻於鐵路、道路的覆蓋率與品質外,Ofcom認為4G寬頻亦扮演重要角色。當時,Ofcom即透過4G頻段拍賣,賦予一張2017年須提供98%人口於室內、95%人口能於英國境內取得行動寬頻服務義務之執照,希冀實現偏遠地區亦能擁有寬頻服務之理想。 參、事件評析 綜合上述,各國為了讓4G覆蓋全國,使所有民眾皆能享有高速、穩定的網路,無不透過兩階段方式,拍賣前賦予部分頻段提前完成涵蓋率普及的義務、拍賣後透過政策、法律協助、要求業者維護網路品質。台灣屬於地狹人稠的國家,行動寬頻業者對政府賦予的涵蓋義務,絕非是行動寬頻發展困境。但是,業者是否可提供如同牌告的速度與品質,一向倍受挑戰。我國3G產生這個問題,除了民眾在居家附近拒絕建置基地台之住抗問題外,其主因亦是在3G拍賣時並未賦予相關頻段義務、在「第三代行動通信業務管理規則」又僅要求涵蓋率達人口50%,導致業者不積極面對都會區基地台數量,少於負荷使用人數的事實;非都會區則是消極處理基地台與使用人距離過遠,造成訊號品質不佳、或是接收不到等問題。 因此,即使這次電信法32條修正後,排除高中職學校得以架設室外基地台,根據我國「行動寬頻業務管理規則」第66條規定,電波涵蓋範圍應達營業區人口50%,合理推測業者可一舉解決都會區架設基地台的問題。但是,在我國4G頻譜拍賣前,並未與新加坡、英國相同,賦予所謂的「黃金頻段」(700MHz)與「帝王頻段」(1800MHz)普及全國(含偏遠地區)之義務。在管理規則涵蓋率僅訂為整體人口50%,將可窺見多數業者終將先行投資都會區,造成部分非都會區仍存有網路延遲、或是難以接收的問題,使4G難以成為全國性最後一哩。 本文認為4G頻譜拍賣結束已成事實,現階段主管機關唯有透過「行動寬頻業務管理規則」第40條第二項第三款的規定,鼓勵業者積極建置偏遠地區高速基地台,並承諾於事業計畫書中。再者,從資通訊科技發展的角度,新加坡強置新建物必須具備、開放「行動通訊設備布放空間」,使業者得以自由建置基地台,對於4G、或是未來5G發展而言,建築物開放使用確實具有前瞻性。不過,在我國民眾目前仍對電磁波有所疑慮的情況下,現階段僅能開放公有建築建置基地台,唯待透過具權威的報告證明電磁波無害、且全民達成一定共識後,我國政府方能逐步推動既有建築開放、或是新建築必須具備「行動通訊設備布放空間」。最後,主管機關除了繼續支持推動相關行動上網速率測速計畫外,關於電信法第32條第1、2項,要求公有建築開放架設基地台,是否要朝向正面表列機關拒絕條款,亦是未來可探討的地方。
德國2015年12月3日通過數位健康法(e-Health Gesetz)德國聯邦議會於2015年12月3日通過「健康制度安全數位通訊與應用法」 (下稱數位健康法,Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, e-Health-Gesetz),本法無須經過聯邦參議院同意,最快將於2016 年初生效。 該法係以患者的權益和隱私為中心而制定。其中安全的數位基礎設施將改善健康照護、加強病患的自我決定權。數位健康法要求於全德範圍內,從2016 年中期開始至 2018年中,依法定之資訊技術基礎設施的時間表引進相關技術與設施,在醫療診所和醫院之間全面進行電信基礎設施的連結。 本法案要點摘要如下: • 最新一代的主資料管理(Stammdatenmanagement) (被保險人主資料(Versichertenstammdaten)的測試及更新) 將提供醫生最新資料和防止醫療給付濫用。這個數位健康卡第一個線上應用,將在2018 年中全面引進。而 2018 年 7 月 1 日起未參加線上被保險人主資料驗證之醫生,其補貼亦將削減。 • 醫療用緊急資料(Notfalldaten)應從 2018 年開始依被保險人意願在數位健康卡上儲存,以避免危險藥物的交互作用。因此,從2016 年 10 月開始,使用三種以上藥物患者,將收到藥物治療計畫(Medikationsplan)。而藥劑師自始即有義務在被保險人變更處方時更新之。從 2018 年開始,用藥計畫可以以電子傳輸方式從數位健康卡卡中檢索。 • 數位健康法將促進電子病歷(Arztbriefe)的推動。病患可以對其主治者告知其最重要的健康資料,並以數位資料形式儲存使用。另外,病患的權益和自主決定是本法重點,患者不僅可自行決定何種醫療資料應以卡片儲存,並可決定誰有權查閱。病患亦得提取卡片中儲存之資料。如血糖測量值、從可穿戴裝置或隨身手圈所量測的資料。 • 為提倡遠距醫療(Telemedizin),從 2017 年4 月開始遠距 x 光診斷評估和從 2017年7 月起,線上視訊諮詢時段納入醫療合約給付中。使病患更易獲取醫療訊息,同時在預後諮詢和監控諮詢中亦能得到醫療服務。 • 為進入遠端醫療時代,必須確保各種 IT 系統可以進行溝通,故須在 2017 年 6 月 30 日前提出互通性指引(Interoperabilitätsverzeichnis),使衛生部門不同的 IT 系統所採用的標準簡明化。 • 智慧手機和其他行動裝置使用健康APP已漸普及,到 2016 年底前應確認,被保險人是否可以使用相關設備來行使他們的醫療資料存取權限以及資料是否能夠相互連結進行傳輸。