歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
2013年,Facebook用戶Matthew Campbell指控Facebook違反聯邦電子通訊隱私法及加州法律,並提出集體訴訟,要求Facebook必須支付每位受侵害的用戶最高一萬美元的賠償。原因是Facebook掃瞄用戶之私人對話內容中的網站連結,並計入網站的按「讚」總數,再將這些「讚」彙整入用戶的個人檔案後對用戶進行行為分析,最後針對該用戶的行為模式發送客製化的廣告, 造成用戶的困擾。 對此,Facebook辯稱其掃描用戶的訊息是很普遍的商業行為,因此屬於聯邦電子通訊隱私法例外條款的範疇,而且Facebook在2012年即已停止傳送客製化廣告,故Facebook要求撤銷此訴訟。 然而,2014年12月23日,美國加州奧克蘭地方法官 Phyllis Hamilton認為,雖然Facebook已經在2012年10月停止傳送客製化廣告,但Facebook同時並承認仍會持續分析用戶之訊息(理由是為了防止電腦病毒以及垃圾郵件),而且Facebook不願意提供任何有關目標式廣告手法的細節,使法院無法判斷這是否為普遍的商業行為而屬於聯邦電子通訊隱私法例外條款的範疇,因此,法院裁定駁回Facebook的撤銷申請,本案將繼續進行審理程序。
點對點分享軟體導致資料外洩位於美國紐約州的一家知名藥廠2007年9月初宣佈其已確認大約有34000名員工的個人資料從某位員工的電腦外洩並遭人非法下載。 整起事件係導因於一位藥廠的員工自行於公司配發的筆記型電腦上安裝未經授權的檔案分享軟體,導致大約有34000名員工的個人資料在網路上被人下載流傳。至於因這起事件遭到外洩的個人機密資料包括員工姓名、社會福利號碼、出生日期、電話號碼和銀行信用狀況等等。 美國司法部門目前已針對這起資料外洩事件展開調查,並要求這家藥廠針對他們用來防止資料外洩的處理方式以及事件發生時的所有相關應變措施提出報告。根據調查,事實上早在今年7月10日這家藥廠即已發現這起大量個人資料外洩事件,卻遲至8月24日才以電子郵件通知資料外洩的被害人,反應時間長達六個星期之久,導致損害持續擴大。 由這起藥廠員工個人資料外洩事件正可顯示點對點(P2P)網路分享軟體確實潛藏著嚴重的資訊安全風險。透過此類軟體,網路駭客得以完整地掃描他人電腦硬碟中的檔案,讓不知情使用者的機密資料隨時處於高度的風險當中。 點對點檔案分享軟體(P2P),當初開發的目的在於集合眾人電腦之力,增加網路的連結數量,進而快速傳輸檔案。但以此作為入侵他人電腦的工具,甚至未經允許盜取他人的電腦中檔案資料等之新電腦犯罪型態,值得相關主管機關注意。
歐盟宣部推動「展望2020」計劃歐盟在2013年12月3號正式通過「展望2020」(Horizon 2020)計劃,將在未來7年(2014-2020)之間,在10大領域投入770億歐元發展「尖端科學」(Excellent science)、「領導性工業」(Industrial leadership)與「社會挑戰」(Societal challenges)三大項目,以此承繼歐盟第七期科技研發計畫架構(7th research Framework Programme,FP7)所建立的基石。目前,歐盟在三大項目中,在今(2014)年發展項目分別是: 1.「尖端科學」:歐洲理事會將編列30億歐元,資助頂尖的科學家從事相關研究。此外,歐盟亦將透過獎學金的方式,鼓勵優秀的年輕研究者。 2. 「領導性工業」:透過18億的預算資助歐盟在產業領先的項目,包括是通訊技術、奈密、機器人等產業。 3.「社會挑戰」:歐盟將透過28億元解決2020年可能遇到的七個社會挑戰,例如是衛生、農業、海洋、生物科技、能源、交通、氣候行動、環境、與資源利用等領域。 在各大項目當中,因資通訊(ICT)產業占整體經濟4.8%外、且資通訊的研發設計(Research and Development) 又佔企業整體營收約25%。因此,促使歐盟在「展望2020」在ICT領域發展預算編列,高於歐盟FP746%,藉此加速資通訊技術、知識之革新與發展。至於,今(2014)年ICT在「領導性工業」發展項目中,將朝向以下6點發展: 1.下世代零組件與系統(A new generation of components and system)。 2.先進的計算(Advanced Computing)。 3.未來網際網路(Future Internet) 4.內容技術與資訊管理(Content technologies and information management)。 5.機器人(Robotics) 6.微型、奈米科技、與光電(Micro- and nano-electronic technologies, Photonics)。 綜觀上述六點,除了機器人、微型、奈米科技之新穎性,格外受人注目外,在「未來網際網路」與「內容技術與資訊管理」,亦須值得持續追蹤。在「未來的網際網路」發展上,歐盟將「智慧網路與新穎網路體系」(Smart Networks and novel Internet Architectures)、「先近雲端基礎建設與服務」(Advanced Cloud Infrastructures and Services )與「智慧光學與無線網路技術」(Smart optical and wireless network technologies)列為發展方向。 在「內容技術與資訊管理」上,巨量資料的研究(Big data-research)與創新與社群行銷的整合(Big data Innovation and take-up),則是歐盟未來1年發展項目之一。我國從2010年推動「數位匯流發展方案」(2010-2015年),其中如何促進新興媒體的發展與增加網路間競爭,一直為我國發展重點。因此,我國除了可透過歐盟所推動的「展望2020」為參考,從中思索是否具有政策盲點外,亦可成為2015年後科技政策進行先導計畫。
建立基因資料庫 台灣可行賽雷拉( Cel-era)公司創始人溫特克萊首度來台,他是四年前完成人類基因體解碼的靈魂人物,他建議可運用基因解碼技術,建立基因資料庫,解決台灣醫療資源浪費。 事實上,早在2004年2月行政院科技顧問組為追蹤研究國人常見疾病與基因之間的關係,宣布推動「台灣疾病與基因資料庫」建置計畫。希望透過該基因資料庫的建立,確實掌握國人致病基因,奠定基因治療基礎,除了有效節省醫療資源浪費,更可鎖定特有亞洲疾病為研發重心,作為生技產業發展的優勢利基。台灣人口數約有二仟多萬,且具有完整健全的全民健保及戶籍資料,再加上台灣生物科技產業技術的蓬勃發展,想要建立大型的基因資料庫技術性應相當可行。國外有冰島和英國等多國發展之經驗可參考。 由於涉及人權自主、個人隱私、安全保密、社會倫理、研究成果的利益分享、以及由誰來擔任執行單位等方面的爭議,加上目前國內法令規範不足,既有相關法令多為位階較低的指導性公告,確實有必要建置相關配套制度及法律,以協助該計劃落實執行與發展。