歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
美國聯邦眾議院在7月23日時通過極富爭議性的《2015安全與精準食物標示法》(Safe and Accurate Food Labeling Act of 2015)草案,目前該案已經交由美國聯邦參議院審理,並完成參議院二讀程序,交由參議院農業、營養與森林委員會(Committee on Agriculture, Nutrition, and Forestry)審理。本案主要目的在於替自願性基因改造與非基因改造標示建立一套統一的聯邦標準。引發爭議的是本案第203條b項的規定,該條款規定禁止各州建立強制性基因改造產品標示制度。 該案由堪薩斯州選出的共和黨籍聯邦眾議員Mike Pompeo提出。根據他及本案最主要的遊說團體美國雜貨製造商協會(Grocery Manufacturers Association)的說法,之所以要禁止各州建立強制性的GMO產品標示制度,目的有二:一是透過建立全國性的標準,避免各州標準不同的紊亂。一是他們認為「基改產品跟非基改產品一樣好」,如果強制標示可能會誤導消費者,使其認為基改產品可能是有問題或風險的。同時,他們也擔心強制標示可能將導致產品的價格上升。這樣的主張確實獲得了許多眾議院議員的支持。該案在眾議院通過時獲得了275張支持票,其中有45票是民主黨籍眾議員投下的。分析這些投下贊成票的民主黨籍眾議員,大部分是來自對食物價格較為敏感的選區,或是在競選期間就已經收到來自農業部門的巨額捐款。 至於反對者則認為,由於本案將使各州及聯邦食藥署無法建立強制性的標示規定,侵害人民對於基改產品知的權利,而將此案稱為「黑暗法」(DARK Act)。他們認為在科學界對基因改造產品安全仍無絕對的共識、人民又對基改作物存有疑慮的情況下推動這項法案完全不合理。而這樣的爭論隨著今年三月世界衛生組織所屬的研究機構──國際癌症研究機構宣布將廣泛用於GMO穀物的除草劑草甘膦(或稱嘉磷塞,Glyphosate)歸類為2A類致癌物 (對人類很可能有致癌性,probable human carcinogen)後,變得更為激烈。許多反對者因此對基因改造產品的安全性有更高的疑慮。 一般預料,美國聯邦參議院將開始處理本案,支持與反對本案雙方的競爭也越趨白熱化,目前也有幾個修正的提案正在醞釀。當前美國國內已有康乃狄克州及緬因州等少數州別通過了強制的基改食品標示法案,此外還有66個法律案正在27個不同的州審議中。本案如果通過將大幅改變美國在此領域的管制情形。而由於美國是全球重要的基改產品生產國,本案的最終結果預料也經影響未來國際上對基改產品標示的管制。
美國國際貿易委員會(USITC)發布「全球數位貿易報告,推動數位經濟新機會」 英國「文化、媒體及體育部」宣布了電信管制機關Ofcom的改革英國「文化、媒體及體育部」(Department for Culture, Media and Sport,DCMS)於2010年10月14日宣布關於19個公共部門的改革或廢除的政策,目的在增加政府公共服務的透明度與負責度。這些政策也包含針對電信管制機關Ofcom的改革方案。 針對Ofcom擬議的改革如下:修訂Ofcom每五年檢討公共廣播服務的責任,改由部長決定檢討的時機與範圍。允許Ofcom能有彈性的改變其機關結構,但須經過部長批准。廢除Ofcom促進訓練發展機會與提供公平機會的責任。改變Ofcom對區域頻道Channel 32網路安排之檢討,由年度檢討轉變為保留由Ofcom評估是否需要檢討。修訂Ofcom每三年審查媒體所有權的責任,回歸由部長決定是否檢討。取消對公共廣播服務者需提供年度節目規劃政策資訊的要求。修訂Ofcom對於Channel 3 與Channel 5的執照控制權變更的自動審查責任。允許Ofcom向ITU收取衛星申請費用。而在政府組織改革中,也計畫將郵政主管機關Postcomm合併至Ofcom,並隨之修訂其義務與權限。由這些改革方案來看,主要的作用在於修正或限制部分Ofcom的責任,以將政策制訂的權限回歸DCMS部長,減少不必要的花費與提高行政效率,後續效應值得觀察。
Serenex控訴員工竊取癌症新藥商業機密資料美國公司Serenex,指控兩位離職的舊員工,竊取實驗用癌症藥物,並賣給中國公司。Serenex控訴先前聘僱的化學家黃雲生是國際商業間諜,黃雲生偷竊Serenex的商業機密,並用偷來的資料來提供給海外尋找專利的公司。員工竊取機密已經是個日趨嚴重的問題,尤其是對全球型的企業,以及智慧財產為主的公司。 Serenex擁有30個員工,目前正進行實驗性癌症藥物的人體測試。根據報告Serenex自2001年設立後,所募得的風險資本已從2千6百萬美元提升至8千1百萬美元。為此,Serenex在威克高等法院提起訴訟,同時也將北京國藥龍立科技公司、基爾生物科技公司以及負責人Tongxiang Zhang列為被告。 Serenex的律師Jonathan Sasser表示,Serenex以提出訴訟的方式來保護他們的產品,並且希望調查是被百分之百確信,沒有人會去提出偽造的主張,並在起訴書上陳述,黃雲生在竊取機密後,Serenex於二月時將他解雇,但是黃雲生的律師Walter Schmidlin抗辯說明黃雲生自願離職,並且否認有做任何不法情事。Schmidlin同時表示Serenex並不能提出任何證據證明黃雲生拿了商業機密資料。