歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
英國政府技術移轉辦公室(Government Office for Technology Transfer, GOTT)於2025年5月9日發布「知識資產商業化指引」(The Knowledge Asset Commercialisation Guide),指導公部門及其研究機構(Public Sector Bodies, PSB) 透過技術移轉、衍生新創等途徑,促進其研發成果,即知識資產(Knowledge Asset, KA)商業化。指引包含KA商業化開發路線及技轉授權方法等,並建議PSB內部KA管理人員(如KA管理負責人及KA經理)使用。重點簡述如下: 1. 指引建議PSB以下行動策略:制訂KA管理策略,且應包含創作者獎勵政策、衍生新創政策、研發人員轉任借調原則、利益衝突管理程序等;對KA進行盡職調查(Due Diligence, DD),如確認研發人員對KA貢獻度、確認PSB具授權KA之權利;擇定KA商業化路線時,須確認其商業化目標、創造哪些產品及服務、市場機會與潛在客戶、參與團隊與資源;對商業夥伴DD,如KA授權對象、潛在投資者等,確認其合作目標與識別潛在利益衝突。 2. 指引建議4種KA商業化路線: (1) 於PSB內透過既定機制或創立新部門,進一步開發與商業化。 (2) 向外授權KA使用權利,指引認為此方式比移轉KA所有權更為妥適,因PSB可保有KA所有權、相關控制措施以及實質影響力。 (3) 成立KA衍生新創,PSB將KA使用權利授權予衍生新創,進而開發新產品及服務。 (4) 成立合夥企業,類似運用KA衍生新創,惟此路線下,PSB將與現有第三方合作成立新企業,兩方均持有股份並簽署合夥協議。
歐盟智慧財產局出版《防偽技術指南》,協助企業及早防免智財侵權風險歐盟智慧財產局(European Union Intellectual Property Office)之智庫「歐盟智財侵權觀察平台」(the European Observatory)於今(2021)年2月出版《防偽技術指南》(Anti-Counterfeiting Technology Guide,下稱本指南),本指南全面介紹目前市面上防偽技術的內容,技術區分成電子型、標記型、化學型、物理型、機械及數位媒體型等五大防偽技術類別,供所有有興趣了解或欲執行防偽技術的各規模、各領域企業們參考。 仿冒為全球性問題,幾乎威脅到了各領域行業的營運與生存,而全球仿冒品數量在互聯網時代之下,以每年增長15%的驚人速度上升中,已嚴重侵害了企業的品牌商譽與智慧財產權。企業雖懂得以註冊智財權的方式自我保護,但仿冒問題對企業帶來的攻擊性日益增加、防偽技術又多如牛毛且複雜,本指南彙整之資訊,尚補充了關於ISO標準的相關技術資訊,如《 ISO 22383:2020 》(產品與文件之安全性、彈性、真實性與完整性-重要產品認證方案之選擇與性能評估標準)。這些資訊可以跟防偽技術一併使用,精進企業整體防偽策略。 此外,本指南對於彙整出的每項防偽技術或ISO的相關技術標準,都予以清楚介紹,並說明技術主要特性、優缺點、用途、實施條件以及相關成本,企業可透過本指南比較各式防偽技術,從而選定最適合其業務性質的防偽技術,及早防範仿冒風險,以保護企業之業務營運與品牌發展。
科研資源整合之跨國合作趨勢研析與比較 英國提出產品安全及電信基礎設施法案英國政府於2021年11月24日,提出產品安全及電信基礎設施法案(Product Security and Telecommunications Infrastructure Bill,PSTI法案),要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商,及經銷商符合新網路安全標準,並對未遵守規範者處以巨額罰款。 PSTI法案之通過將保護消費者免受資安攻擊,並使政府得以引入更加嚴格的安全標準。該法案之內容包含,禁止數位科技產品之業者使用單一且通用之預設密碼,產品之預設密碼都必須有所不同;供應商應具備漏洞揭露政策,並應向客戶公開公司正採取何種防禦作為,處理該安全漏洞;應公開相關聯繫資訊或建立聯繫平台,使安全研究人員或其他人發現產品缺陷及錯誤時,方便與其聯繫;另外,針對不符合要求之產品或服務,政府亦將有權阻止其於英國境內銷售。 在電信基礎設施改革方面,將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判,減少相關冗長的法律爭訟事件,例如,要求電信營運商透過訴訟外紛爭解決機制(Alternative Dispute Resolution,ADR)解決紛爭,無須訴諸法院。亦加快續約之談判流程,讓根據舊有協議安裝基礎設施之營運商,得以按照類似條款進行續約,英國政府希望透過這些措施使95%國土擁有4G網路覆蓋,至2027年大多數人口能使用5G網路。 PSTI法案生效後,英國政府將指定監管機構,其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰,或以其在全球之營業總額的4%作為罰款。