歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
加拿大財政委員會主席克萊門(Tony Clement),概述了加拿大政府對於保護加拿大公民隱私的步驟,並詳細的列出政府機關官員對於隱私保護違犯行為的案件量。 政府對於看待人民隱私保護這件事情是非常重視的,特別是如何妥當的處理具敏感性個人資料的這個部分,我們認為是關鍵性的重點」部長克萊門表示。 人力資源及技能發展部部長芬蕾(Diane Finley)說:「我們對於所有違犯事件都會非常認真的面對,任何錯誤都是不能被接受的,為了預防和對抗將來可能發生的事故,我已經下達指示要求徹查本部門下所有員工處理個人資料的作業程序、更新網路防護機制以禁止入侵,機關人員需接受強制性的教育訓練,學習如何處理敏感性和個人資訊。我們政府一直持續推動保護個人資訊的安全維護措施、強化隱私保護、當有任何事故發生時,會執行嚴格的通報機制及規劃完善的應變措施」。 自2006年以來,政府所採取加強隱私保護,並實行嚴格通報機制的新興措施包括: 1.向隱私權委員會通報隱私侵害事故,並採取迅速措施進行解決 2.完成隱私衝擊評估,以建置新的或實質性修正相關措施與行動 3.徹底落實隱私權保護措施命令,要求所有聯邦政府機構必須建置解決侵犯隱私事件的應變計畫 4.制訂隱私權保護政策,要求所有聯邦政府機構,若發現有任何可能侵害加拿大公民隱私的行為時,必須立即通知隱私權委員會辦公室 5.為因應各類新型侵害隱私權之事件,應持續建立新的應變指引,協助各機構有統一的辨識標準和阻止措施。 「在最新年度報告中,隱私權委員會指出,退伍軍人事務局已經明確的公告隱私權保護是現階段非常重要的業務項目,該局正積極建立相關維護措施和計畫。」布萊尼部長表示。 「我們將繼續努力,與隱私權委員會辦公室密切合作,確保加拿大公民的隱私權保護」,部長克萊門回應道
美國商務部產業安全局公布「確保聯網車輛資通訊技術及服務供應鏈安全」法規預告美國商務部產業安全局(Bureau of Industry and Security, BIS)於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)法規預告(Notice of Proposed Rulemaking, NPRM),旨在透過進口管制措施,保護美國聯網車供應鏈及使用安全,避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公告之法規制定預告(Advanced Notice of Proposed Rulemaking, ANPRM)意見徵詢中的討論,本次法規預告明確指出受進口管制的國家為中國及俄國,並將聯網車輛資通訊技術及服務之定義,限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統,排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態:(1)禁止進口商將任何由中國或俄國擁有、控制或指揮的組織(下稱「中俄組織」)設計、開發、生產或供應(下稱「提供」)的車輛互聯系統(vehicle connectivity system, VCS)硬體進口至美國;(2)禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車;(3)禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 本次法規預告中亦提出兩種例外授權的制度:在特定條件下,例如年產量少於1000輛車、每年行駛公共道路少於30天等,廠商無須事前通知BIS,即可進行交易,然而須保存相關合規證明文件;不符前述一般授權資格者,可申請特殊授權,根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外,為提升供應鏈透明度並檢查合規性,BIS預計要求VCS硬體進口商及聯網車製造商,每年針對涉及外國利益的交易,提交符合性聲明,並附軟硬體物料清單(Bill of Materials, BOM)證明。BIS針對此規範是否有效且必要進行意見徵詢,值得我國持續關注。
OECD發布《支持綠色創業的政策:在丹麥建立綠色創業中心》報告經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)於2022年6月13日發布《支持綠色創業的政策:在丹麥建立綠色創業中心》(Policies to Support Green Entrepreneurship: Building a Hub for Green Entrepreneurship in Denmark)報告,以協助丹麥落實強化綠色創業生態系之倡議。 「綠色創業」一詞雖常見於學術文獻及政策文件,卻無明確統一之定義。本報告所採之定義為:「由新創公司發展及採用綠色產品、服務及製程。」所謂綠色,係指以「減少或防止任何形式的環境破壞、減少汙染物及廢棄物排放,或具有同等品質與效益但卻更節約資源」的方式為之。本報告評估丹麥的綠色創業狀況及政策建議,摘要如下: (一)丹麥綠色創業生態系現況 1.丹麥在綠色創業上是成熟的全球參與者,惟尚非全球樞紐。依2022年Startup Genome全球創新生態系報告,歐洲有12個潔淨技術(Cleantech)的新創生態系排名高於哥本哈根。 2.丹麥在環境技術領域之新創公司就業人口高於一般新創公司平均就業人口,但其規模擴大率則低於一般公司平均規模擴大率,顯示丹麥的綠色新創企業在擴大營運規模上遭遇困難。 3.相較於英國及瑞典等歐洲國家,丹麥的創投市場規模較小。融資管道的不足,可能成為影響丹麥綠色創業成長的原因之一。 (二)丹麥綠色創業政策藍圖 1.透過一系列融資工具提供綠色創業財務支持,如丹麥綠色投資基金(Danish Green Investment Fund)、丹麥成長基金(Danish Growth Fund)、丹麥創新基金(Innovation Fund Denmark)等。 2.國家級的丹麥能源創育聚落(Energy Cluster Denmark)與民間創新中心CLEAN共同橋接丹麥研發機構與企業進行合作。 3.更多且更廣泛之企業支援措施,如六個區域商業中心、Virksomhedsguiden入口網站、育成中心及加速器網路(如Beyond Beta)等。 (三)丹麥核心政策建議 1.發展整合公私部門之綠色創業策略,並追蹤綠色創業相關案例,作為未來制定政策之依據。 2.發展綠色創業的一站式平台,提升可供利用服務的能見度。此類服務可進一步引導綠色創業,包括明確區分開發新的或實施現有的綠色解決方案,以展現對綠色創業的支持。 3.加強對專業育成中心及加速器等既有政策的支援。
技術進步、資訊流通、隱私保障