歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
Apple在對Psystar的法律訴訟上贏得重要的勝利,美國政府聯邦法院已判決複製品製造者Psystar於販售個人電腦時事先安裝Mac OS X作業系統,已侵犯Apple的著作權。 在雙方提起簡易判決訴訟後一個月,美國地方法院法官William Alsup 表示Psystar已侵害Apple專用之重製權、散布權及衍生著作權,於判決中針對著作權侵害一事已被承認。並且確認Apple於Mac OS X產品之直接用戶授權合約,是限制使用於Apple生產的電腦,更特別禁止安裝此作業系統於其他電腦;在此同時,法官否決Psystar的論點:首次銷售原則所允許,買家可以任意使用此作業系統。 此外,法官同意Apple的聲明,Psystar侵害數位化千禧年著作權法案之反規避條款及反交易條款,另一方面,法官也否決Psystar對Apple濫用著作權的論點。 此判決並未包含其他Apple所提出的主張,包括:合約的侵害、商標的侵權及商標稀釋,法官也未提出給予Apple救濟上的權利,包括先前提及之永久禁止令,要求中止Psystar販售任何帶有Apple軟體的硬體並強迫其召回所有已售出帶有此作業系統之機器。 此判決對Apple而言,是決定性的勝利,但並非結束所有在法律上的爭議,12月14日將進行賠償的審訊,其餘審判也預訂於明年1月開始。
美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。 最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。 該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。
申請專利時請注意:網頁內容亦可能成為「先前技術」(prior art)日前英國智慧局 (UK Intellectual Property Office) 裁定一則刊登描述銀行用於網路交易時辨識方法的新聞網頁可以做為「先前技術」的有效證據。該局的副局長,同時亦是專利總審查官 Ben Micklewright 指出,網頁上的日期以及內容應該以英美法民事案件中的「機率的平衡」(on the balance of probabilities) 來衡量其證據力。 法國匯豐銀行(HSBC France) 於2005年7月以一項辨識使用者身份的方法對英國智慧局提出專利申請。該方法包含使用者登入時需輸入一組特定的密碼以辨明身份。HSBC France 於申請時以2004年7月2日在法國的申請日期主張優先權。然而英國智慧局的審查官卻依2項證據核駁了 HSBC France 的上述申請,當中一項即為一篇於2004年2月20日刊載於知名雜誌 Computer Magazine 的網站上的文章。該文章描述了一項由 Lloyds TSB提案的身份辨識方法,與HSBC France 提出專利申請的方法有異曲同工之處。 對此 HSBC France 提出抗辨,指出該文章有電子版與紙本,然審查官卻無法提出紙本來證明其公開發表日期。同時HSBC France 亦主張英國智慧局應追隨一件由歐洲專利局 (EPO) 上訴庭的判決,該判決中指出對於網路上電子文章的證據負荷度應高於傳統文件,即應負「無可懷疑」(beyond reasonable doubt)的舉證力。然而 Ben Micklewright 副局長表示英國智慧局無須追從歐洲專利局的判決,並且因為已存在「先前技術」所以該申請案喪失進步性。他更進一步指出上述申請案無論如何皆無法取得商業方法專利,因為該方法不具備技術的本質(“is not technical in nature”)。