歐盟個資保護委員會對英國個資傳輸適足性認定之意見

  英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。

  2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:

一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。

  但同時,EDPB也向歐盟執委會提出以下幾點注意事項:

  1. 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
  2. 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
  3. 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
  4. 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。

二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。

  針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。

相關連結
你可能會想參加
※ 歐盟個資保護委員會對英國個資傳輸適足性認定之意見, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8662&no=64&tp=1 (最後瀏覽日:2026/07/15)
引註此篇文章
你可能還會想看
澳洲發布「健康隱私指引」以降低健康資料之隱私風險

  澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年9月發布「健康隱私指引」(Guide to health privacy)協助健康服務提供者了解及實踐相關規範所制定之隱私義務以確保個人資料安全。依據1988年澳洲隱私法(Privacy Act 1988)規定,健康服務指所有評估、維持、改善或管理個人健康狀況;或是診斷、治療或紀錄個人疾病或健康狀況之行為。而健康服務提供者除了醫院及醫療人員,更包含其他專業人員例如健身房及減肥診所、私立學校及托兒所、遠端醫療服務等所有涉及健康資料並提供健康服務之單位及人員。由於澳洲隱私法要求服務提供者必須積極建立、實施及維護隱私合法處理程序,為了協助所有健康服務提供者確實遵守法定義務,以減少健康資料之隱私風險問題,OAIC制定「健康隱私指引」提出八大步驟要求健康服務提供者確保遵守義務並保障所持有之個人資料: 制定並實施隱私管理計畫,確保遵守澳洲隱私原則(Australian Privacy Principles, APPs)。 制定明確的責任制以進行隱私管理,並及時提供員工幫助與指導。 建立個人資料檔案紀錄,以確認持有之個人資料。 了解法律規範之隱私義務並實施法定流程以履行義務。 定期舉辦員工隱私培訓課程以強化團隊基礎知識。 建立隱私權政策並於網頁上呈現或是提供手冊說明相關內容。 保護所持有之資料不被濫用、遺失或未經授權的修改及揭露等。 制定資料外洩因應措施,針對資料外洩進行危機處理。

延長專利保護對產業研發創新的效應思考-兼談專利法修正草案第54條

數位商品交易金流機制之法律問題

韓國個人資訊保護委員會(PIPC)宣布個資法施行令修法草案,強化個資事故通報義務及違規罰鍰

韓國個人資訊保護委員會(PIPC)於 2026 年6月2日公布《個人資訊保護法》施行令修法草案,本次修訂的具體內容如下: 一、強化企業首席隱私官(Chief Privacy Officer, CPO)選任程序 首席隱私官CPO是指在企業內部,負責督導與管理個人資訊處理業務的最高負責人,在本次修法前,雖然法規已規定特定規模的企業必須選任CPO,但CPO在企業內部的職權並無較嚴謹的法律約束,導致CPO在公司內的獨立性與話語權往往不足,難以有效制衡在個資保護義務上失職的高階主管或部門。 為保障CPO的獨立性與地位,此次修法要求企業在選任、變更或撤銷CPO時,必須經由董事會決議,並在人事異動的一個月內向個人資訊保護委員會報告。 二、要求一定規模以上業者應接受國家級ISMS-P認證 ISMS-P 是韓國綜合性的安全認證制度,認證範圍包含「資訊安全管理」與「個人資訊保護」。修法前的ISMS-P 認證多採取「自主申請」或僅針對極少數超大型電信、網路服務業者進行強制規範,許多掌握大量民眾個資的系統營運商及新興身分驗證機構,主管機關並無強制力要求其取得認證。本次修法後明確須強制接受 ISMS-P 認證的範圍,包含:公共系統營運商、行動通信業者、身分驗證機構及其他持有個資筆數達一定規模之大企業。 三、強化業者於個資事故之通報義務 此次修法針對個資事故之通報義務進行調整,發現有「非法存取個人資料」或「個人資料被非法交易或傳播」之情形時,即應在72小時內向主管機關及可能受影響之當事人通報,使民眾能第一時間更改密碼或採取防範措施。 此外,以往具通報義務的情形僅限於個資遺失、外洩或遭竊,修法後個資遭到偽造、竄改或損壞等情形,業者也必須依規定通報。 四、修訂裁罰標準 對於過往情節輕微,裁處「免罰緩並施以警告」的違規行為,修法後該警告將計為一次違規記錄,若未來再次發生相同的違規行為,將直接適用「第二次違規」的加重處罰標準。 此次韓國個人資訊料護法實施細則的修訂,從組織架構、認證系統、通報應變流程到事後裁處,建立了一套更為主動且嚴格的個資保護系統,該修正案目前已進入公告並廣泛收集各界意見階段,預計於今年9月正式施行。

TOP