歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
日本內閣設置之「IT總合戰略總部」於2015年6月30日通過「世界最先進IT國家創造宣言(世界最先端IT国家創造宣言,下稱該宣言)」之修訂版,此次為2014後的第二次修正。該宣言於2013年6月14日首次公布,作為安倍政府第3支箭成長戰略之一環,為國家層級的IT政策目標,宣言中並揭示,欲促使日本五年內成為世界最高水準的IT技術國家。 本次之重要修正內容摘要如下: (一) 基本理念 1. 以日本之再生為基礎活用IT技術 以成長戰略為根據,將IT技術做為日本再生之動能;組織構成方面,則以政府作為資訊總監(Chief Information Officer, CIO)為中心,打破省廳之間之縱向關係,以「橫向串聯」的方式來推動IT政策。 2. 以全球為範圍建構日本的IT利用及解決範本 因應IT技術之進展、資料流通量之增大、IoT、AI時代之進展為背景,並在確保資訊安全為前提下活用IT技術,建構全球獨一無二「問題解決導向之IT利用範本」,實現人民有感之目標。 3. 活用IT技術以解決問題為導向建構四大支柱 以活用IT技術為特色,並以誘發各個領域之創新性為觀點,以四大支柱為中心,建立一個活用IT技術的社會,建構必要的政策措施。 (二) 四大支柱 1. 朝未來成長之社會:深化IT活用技術 整備IT技術之活用環境,未來擬立新法加促進及加速IT技術之活用;現行則持續的修正個人資料保護法,排除影響IT活用技術的法規障礙;並繼續推動向民間開放公共資料(open data)之工作。 2. 充滿活力之社會:充分利用IT技術之居民、工作及街道 整備資料共有之基礎設施,並分析及活用RESAS(地域経済分析システム,Regional Economy Society Analyzing System)、SNS等巨量資料。 3. 安心安全的活用IT技術,實現人民有感之社會 ■適當地提供區域醫療、健康照護等服務,實現健康長壽之社會,於全國展開醫療資訊之聯合網路、活用醫療、健康資訊等資料,以預防重症、增進健康,目標於2020年之前人均壽命成長一歲以上。 ■用IT技術促進日本農業,以及周邊產業之升級等,並推動AI農業、以IT化方式保護鳥獸等技術。 ■實現世界最安全且經濟之道路交通社會,預計於2020年代後期,開始於日本全面性的適用無人駕駛系統。 4. 活用IT技術,創建集合式之公共服務社會持續推動個人號碼制度,擴大及檢討其利用之範圍,實現一卡化社會。
NHTSA要求自動駕駛系統及L2自動駕駛輔助系統回報意外事件美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)2021年6月29日 「自駕車與配備等級2駕駛輔助系統車輛之意外事件回報命令(Standing General Order 2021-01:Incident Reporting for Automated Driving Systems and Level 2 Advanced Driver Assistance Systems)」,課予系統製造商與營運商意外事件回報義務,重點如下: (1)適用範圍:全美境內公共道路上發生之車輛碰撞事件,事發前30秒至事件結束期間內曾經啟用等級2駕駛輔助系統或自動駕駛系統。 (2)意外事件定義:事件中任何一方有人員死亡或送醫治療、車輛必須拖吊、安全氣囊引爆或事件涉及弱勢用路人(vulnerable road user)。 (3)回報期限:須於知悉事件後隔日立即回報,知悉後10日傳送更新資料,如後續仍有發現新事證,應於每月15號傳送更新。自駕車發生碰撞,即使無人傷亡、無車輛拖吊或安全氣囊引爆,仍需於次月15號傳送事件回報。 (4)回報方式及項目:需至NHTSA指定網站註冊帳號,線上填寫制式通報表格。項目包含車籍資料、事件時間、地點、天候、路況、傷亡及財損情形等等。 NHTSA收到的回報資料,原則上會在將個人資料去識別化後對大眾公開,惟若系統製造上或營運商主張部分資訊為商業機密,可另行向NHTSA之諮詢辦公室通報審核。如逾期未報或隱匿資訊,可處每日最高22,992美元罰金,累計最高罰金為114,954,525美元。
英國上訴法院法官對軟體專利之必要性表示懷疑英國上訴法院智慧財產法專業法官Robin Jacob於2006年1月13日對是否應該核發軟體專利感到懷疑,並對美國專利法所奉行的原則-「任何在陽光下由人類所創造之物,皆可以被賦予專利」-表示不能茍同。該法官認為,從美國軟體專利實務在搜尋既存技術(Prior Art)時之遭遇來看,將專利核發予事實上僅具一般性效能之軟體,為軟體專利不可避免的現象,如此一來,在搜尋既存技術的過程中將產生極大問題。 軟體專利存在的必要性一直受到以「自由資訊基礎建設基金會」(the Foundation for a Free Information Infrastructure,簡稱FFII)為首之社會運動團體之懷疑,但截至目前為止仍極少有針對此一爭議的研究。歐洲委員會為此補助一個「以法律、技術與經濟層面切入探討軟體專利對創新之影響」的研究計畫,惟該計畫需待2007 年方能有所成果。無獨有偶,歐洲議會於2005年7月駁回「軟體專利指令」(全名:the directive on the patentability of computer-implemented inventions,俗稱software patent directive),理由是,該指令之通過將造成歐洲軟體專利與美國一樣過度氾濫的窘境。
新加坡律政部向國會提交著作權法新法草案新加坡律政部(Ministry of Law)於2021年7月6日向國會提出新的《著作權法》(Copyright Bill),以廢止和取代現行法令(Copyright Act)。新法修正了舊法關於創作、散布和使用方式的規定,讓法令更與時俱進以完善新加坡的著作權保護。此外,新法簡化法條用語,使其更容易理解。 新法的特點有: 1.為創作者引入新的權利和救濟措施,以確保著作權能夠繼續鼓勵創作並激發創造力。例如: (1) 使用者應取得創作者或表演者的許可,始可公開地利用或在網路散布創作者或表演者的資料。此規定係賦予創作者或表演者的身分識別權,有助於個人創作者和表演者建立起自己的聲譽。 (2) 除合約另有規定,受託製作攝影、肖像、版畫、錄音和影片的著作權歸屬於創作者,此規定迥異於目前乃委託者擁有著作權。新法的規定,使創作者有更好的條件與委託者談判,並可將其作品商業化。 2.對著作權人之權利制定「允許使用」(permitted uses)的例外,擴大著作的使用權,以利著作造福社會並且支持創新。例如: (1) 倘係合法取得著作(如未規避付費牆paywall),則可將該著作用於資料計算分析(computational data analysis),如情感分析、文本和資料探勘(text and data mining),或訓練機器學習,而無需向每個著作權人取得許可,新規定對研究和創新將有助益。 (2) 教師和學生如果確認資料來源為合法時,可以在教育活動中(如居家學習)使用免費的網路資料。惟知悉來源有侵犯著作權時,則應停止使用。 3.此外,現行法令針對販賣或提供盜版視訊盒(set-top box)的業者,未清楚規定是否應負責,新的《著作權法》則明文著作人得追究販售、宣傳或散布違法且侵權設備或服務而牟利的業者。 新法若經國會通過,預計於2021年11月可實施該法大部分條款。