歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》(下稱《辦法》)及其配套指引,自2025年5月1日正式實施。《辦法》及指引的發布,旨在落實《個人信息保護法》中的稽核規定,完善個資合規監督架構,為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式:企業可自行或委託專業機構定期進行審計;另當主管機關發現高風險處理活動或發生重大資料外洩事件時,有權要求企業限期完成外部審計,並提交報告。針對處理規模較大的企業,《辦法》特別規定,凡處理超過1,000萬人個資的業者,須至少每兩年完成一次審計。 針對大規模蒐用個資企業,《辦法》亦強化其配合責任,對於處理超過100萬人資料的企業,須設置個資保護負責人;對大型平台服務業者,則須成立主要由外部人員主導的獨立監督機構,以確保審計客觀性。 在審計執行層面,《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求,並禁止將合規審計轉委託,防堵審計品質不一,或個資分享過程增加外洩風險。同時,也規範同一機構或審計負責人不得連續三次審計同一對象,以強化審計公正性。 《合規審計指引》進一步列出具體審查項目,包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等,協助企業全面落實個資合規審查。
歐盟執委會公布了行動醫療(mHealth)的公眾諮詢結果行動醫療(mHealth)是近期以來歐盟積極發展的目標之一,透過各類的行動裝置搭載應用程式,藉以觀測使用者的生理狀況,進而達到促進健康之目的,特別在綠皮書(Green Paper)提出之後,對於行動醫療的推廣策略,已出現了更為清楚的脈絡。 日前,歐盟執委會針對了行動醫療將可能帶來的各類問題,進行了一次公眾諮詢(public consultation),並在2015年1月公布了調查的結果。此次受訪的對象來自於政府機關、醫療機構、病人組織與網路業者,共計有211名受訪人。在各類的問題上,有97位受訪者認為,行動醫療服務必須具備完整的隱私保全機制,才能夠獲得用戶的信任,此外也有一半的受訪者認為政府應該加強此類資料管理的執法強度;亦有近半的受訪者表示,此類應用程式都應該通過「病人安全」(patient safety)的認證。 相對而言,網路業者則認為此類服務目前還難以進入市場,因為缺乏明確的管理框架。71名受訪者也表示,行動醫療服務的安全性、成效與相關法律責任,都還有待釐清。21名受訪者也認為,行動醫療的成效究竟如何,應該還需要更多的研究證明。 而歐盟委員會將在2015年與相關團體討論未來的政策走向,此法案也將是2015年5月議程中重要的一項議題。
美國聯邦法官指出藥用基改作物之種植應予嚴格管理美國聯邦法院最近判決美國聯邦官員在 2001 年及 2003 年,允許四家企業在夏威夷種植基改作物以生產試驗用藥的行為,違反環境法規。該許可內容涉及許可在夏威夷州 Kauai, Maui, Molokai and Oahu 種植玉米或甘蔗。 本案法官 Michael Seabright 判決中特別指出,鑑於夏威夷州乃是許多瀕臨絕種或受到絕種威脅的生物的棲地-該州計有 329 種罕見生物,占全美瀕臨絕種生物及受到絕種威脅生物種類之四分之一,而美國農業部動植物健康檢疫服務( Department of Agriculture's Animal and Plant Health Inspection Service )在許可種植基改作物前,竟未先進行初步的環境檢視( preliminary environmental reviews ),很明顯地已違反該機關依據瀕臨絕種生物法( Endangered Species Act )及國家環境政策法( National Environmental Policy Act )所應盡之義務。 本案原告 EarthJustice 認為,本案是第一件聯法院就 biofarming 所做之判決。所謂 biopharming 係指研究人員利用基改技術將植物用來作為生產藥品、抗體、疫苗等生技藥物的生物反應器( bioreactors )。由於植物可以大量栽種,因而若 biopharming 技術可行,將可有效解決生技藥物供給短缺的問題,嘉惠更多的病患,因而, biopharming 被視為未來可能顛覆傳統的藥物生產的一種生技藥物製造方式。目前, biopharming 廣泛使用的植物包括玉米、煙草等。 biopharming 的構想可以較低的成本解決部分生技藥物生產的問題,但其構想看似極具吸引力,不過發展 biopharming 並非毫無挑戰,尤其是如何就藥用基改植物予以隔離管理,避免基因污染。反對者一般主張,藥用基改植物 並未通過食用安全性測試,並不適合人體食用或是當作家畜飼料, 如果栽種藥用基改植物的隔離管理未做好把關,難保這些本應受到嚴格管制的治療性植物進入到食物供應鏈,影響民眾的身體安全。 在民眾健康及環境生態安全的考量下,反對推展 Biopharming 的力量也越來越大,本案即是一個明顯的例子。
日本IT總合戰略本部提出數位程序修正法案,簡化行政流程並提高使用便利性日本IT總合戰略本部於2019年3月18日公告提出「數位程序法案(デジタル手続法案)」,本法案係集結多部法律修正案之包裹法案,包含行政程序網路化法(行政手続オンライン化)、居民基本簿冊法(住民基本台帳法)、官方個人認證法(公的個人認証法)、及個人編號法(マイナンバー法)。該法案的目的,在於應用資通訊技術簡化行政運作並提高使用便利性,藉此增進行政效率,因此在相關法令中明文擬定行政數位化的基本原則,增修推動行政程序線上辦理的共通規定與配套措施,賦予行政機關應履行的各項法定義務,同時為落實各領域推展行政數位化的規劃,制定個別具體規範。 於制定行政數位化基本原則、與增訂推動行政程序線上辦理的共通規定與配套措施之部分,主要為修正原「行政程序網路化法」,更名為「數位行政推進法(デジタル行政推進法)」,定位該法目標與功能為促進社會整體數位化,使國家、地方公共團體、民間業者、國民與其他人於從事各種社會活動時,均能享受到資通訊技術帶來的便利性。該法要求的基本原則,包含數位優先(digital first, 藉由數位手段一體化完成各項手續或服務)、免去重複提供資訊(once only,曾提供的資訊得被保留供再次使用)以及一步到位(connected one-step,謀求複數的程序或服務簡化為一步到位)。至於推動行政程序線上辦理的共通規定與配套措施,則包含要求地方公共團體須致力於達成行政程序線上辦理的目標,授權主管機關訂定得辦理網路身分認證與支付手續費等數位化法定程序、要求行政機關提出實現行政程序線上辦理與廢除紙本附件流程的資訊系統整備計畫等。 另一方面,針對各領域推展行政數位化的具體規範,該法案預備修正「居民基本簿冊法」、「官方個人認證法」以及「個人編號法」,主要內容包含:1. 保存個人電子認證資訊等相關官方服務的適用對象擴及旅外國民,同時得發行旅外國民之官方個人認證之電子證明書與個人編號卡,使其得透過網路使用相關的行政電子化服務;2. 長期且確實保存本人過去的居住遷徙紀錄,增設住民票註銷後原有相關記錄仍予以保留的「除票」制度,使國民過去的居住地紀錄,不會因為變更戶籍、依法註銷原戶籍地的住民票而消失;3. 過去使用官方個人認證之電子證明書與個人編號卡時須輸入密碼,官方個人認證法修正案則授權主管機關增設其他不需輸入密碼的使用方式,以呼應擴大電子證明書使用範圍的政策規劃;4. 賦予個人編號IC卡(マイナンバーカード)作為獨立有效之身分證明文件的地位,廢止原依法需和個人編號IC卡併用的紙本通知卡(通知カード)制度,免去個人住所等基本資料變更時,需同步更正通知卡紙本登載資訊的行政程序,減輕主管機關負擔。