歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
去年八月甫通過的中國電子簽名法在今年四月一日正式生效,而中國首家對外提供電子簽章服務的憑證機構(電子印章中心)在三月三十日成立。 中國電子簽名法對於電子簽名的定義指出,電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身分並表明簽名人認可其中內容的數據。而電子簽名的適用範圍,除了在涉及婚姻、收養、繼承等人身關係、土地房屋等不動產權益轉讓、停止供水、供熱、供氣、供電等公用事業服務或法律、行政法規規定不適用電子文書的其他情形外,均可使用電子簽名。
歐盟監察官日前指出,ISP業者的流量管理可能違反資料保護及隱私法歐盟資料隱私保護監督官(European Data Protection Supervisor, EDPS)Peter Hustinx呼籲歐盟,儘速建立專家小組,制定指導原則,將資料保護以及隱私原則納入網路中立原則中(Network Neutrality)。 網路中立原則原係要求對於網路服務提供者之間不應有所歧視,應平等對待所有資料。但是,在符合歐盟法規下,ISP業者亦得針對網路內容提供者或終端使用者,以不同收費方式管制網路流量。判斷的準據,則以使用者在網路上傳遞的個人訊息為主。調查官Hustinx在其意見書中指出,調查使用者傳遞的訊息可能會背離歐盟資料與隱私保護相關法律。 根據歐盟的隱私及電子通訊指令(Privacy and Electronic Communication Directive),ISP業者在某些條件下,得以促進通訊傳輸為目的,處理個人資料,但是必須取得使用人同意。這項指令亦要求ISP業者必須採取適當的技術、組織措施以確保資料的安全。承此,Hustinx就網路中立性所提出的意見,即為前述指令之例外,亦即ISP業者在確保網路順暢及監督是否有干擾時,其監控行為無須使用者同意。但若為限制某些服務,例如檔案交換,而進行的監控行為,則不在此限。再者,該同意必須免費的、明確的並且使用者得了解的。Hustinx提出的指導原則強調確保網路使用者被適當的告知,進而了解該項個人資料監控的意義而做出同意與否的決定。同時,ISP業者在進行調查時,亦應謹慎為之,不違反比例性原則。
德國聯邦經濟與能源部提出《GAIA-X計畫》建立歐洲聯合雲端資料基礎建設2019年10月29日,德國聯邦經濟與能源部提出GAIA-X計畫(Project GAIA-X),蒐集德國聯邦政府、產業和科學界代表意見,與歐洲夥伴合作共創高性能、具競爭力、安全可信賴的歐洲聯合雲端資料基礎建設平台。GAIA-X計畫被視為歐洲開放、透明的雲端數位生態系統搖籃,用戶得以在可信任的環境中,提供整合安全的共享資料;透過雲端資料的跨國合作,為歐洲國家、企業和公民創造聯邦資訊共享環境、促進數位創新、建構全新商業模式。GAIA-X計畫將嚴格遵循資料保護、公開透明、真實性與可信賴性、數位主權(Digital Sovereignty)、自由市場與歐洲價值創造、系統模組化及互操作性(Modularity and Interoperability)、資料可用性等歐洲價值觀及原則。 GAIA-X計畫設定的目標包括:1.維護歐洲數位主權;2.減少對外國雲端供應鏈依賴;3.拓展歐洲雲端服務的國際市場;4.塑造創新數位生態系統。透過建立資料技術與數位經濟相關的基礎設施,將統一安全規格的雲端技術,落實在公共管理、衛生部門、企業和科研機構用戶與供應商間,形成開放數位資料共享的大平台。另外,GAIA-X計畫能進一步強化歐洲雲端服務供應商及歐洲商業模式的全球競爭力與規模,透過聯合雲端資料基礎建設,連接歐洲大小型企業、公部門、醫療及金融機構的伺服器,將全歐洲對於數位技術的多項投資串連在一起,積極發展AI人工智慧、智慧醫療、數位金融監管等新興產業,得以確保歐洲數位安全並提高雲端資料處理能力。
行政院審查通過「食品衛生管理法」及「健康食品管理法」修正草案「食品衛生管理法」及「健康食品管理法」修正草案已於94年11月30日經行政院第2968次院會審查通過,將於近期進一步送立法院審議。未來只要有食品遭檢出含有害人體健康的物質,或標示不清,都一律得先下架禁賣並封存。而食品廣告誇大不實或宣稱具有療效部分,也在這次修法中加重其相關罰則。 本次修法重點為: 一、廣告管理:延長傳播業者保存委託刊播廣告者資料之期間,由原本2個月修正為6個月(食品衛生管理法修正條文第十九條、健康食品管理法修正條文第十五條)。 二、提高罰鍰額度: 1.加重宣稱療效健康食品業者之行政處分,提高其罰鍰額度,由原本6萬元以上30萬元以下,修正為20萬元以上100萬元以下,並規定一年內再違反者,得廢止其營業或工廠登記證照。(健康食品管理法修正條文第二十四條) 2.對於影響民眾飲食衛生安全較鉅之違法情節,提高罰鍰額度,將部分原本3萬元以上15萬元以下或4萬元以上20萬元以下,提高為6萬元以上30萬元以下(食品衛生管理法修正條文第三十一條及第三十三條)。 三、違規業者加重行政處分:違規標示產品 除應通知限期回收改正,進一步明定於改正前不得繼續販賣(食品衛生管理法修正條文第二十九條)。 四、擴大地方主管機關得命暫停作業並將物品封存之範疇(食品衛生管理法修正條文第二十四條)。