歐盟個資保護委員會對英國個資傳輸適足性認定之意見
英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。
2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見:
一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。
但同時,EDPB也向歐盟執委會提出以下幾點注意事項:
- 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。
- 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。
- 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。
- 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。
二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。
針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。
- European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions
- Statement 04/2021 on international agreements including transfers
- Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊孟綺
副法律研究員 編譯整理
European Data Protection Board issues opinions on European Commission’s draft UK adequacy decisions, https://www.lexology.com/library/detail.aspx?g=951c8f89-5f58-45a3-ad8d-2d1776c24d89 (last visited:May. 2, 2021)
EBPD, Statement 04/2021 on international agreements including transfers, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-042021-international-agreements-including_en (last visited:May. 2, 2021)
EBPD, Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom, https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/opinion-152021-regarding-european-commission-draft_en( last visited:May. 2, 2021)
美國在醫療費用的支出常常超乎預期,其中處方藥之花費就佔了相當大的比例。為了減少醫療費用支出,並讓藥物之價格更為透明,加州州長傑瑞布朗(Jerry Brown)在2017年10月9日簽署了第17號法案(藥價透明化法案),要求藥物製造商若要調高處方藥價格超過一定程度,則須事前通報給主管機關;該法預計於2018年10月1日生效。 藥價透明化法所稱之處方藥(prescription drugs),包含學名藥、原廠藥或特種藥品。本法之主管機關為「加州衛生計畫與發展辦公室」(Office of Statewide Health Planning and Development, OSHPD),掌管本法之執行並對違規製造商處罰民事罰款,本法案施行之相關細節亦由OSHPD訂定。OSHPD依據本法所得之罰款或收入,將全數交給「照護管理基金」(Managed Care Fund)做運用。 依據藥價透明化法規定,處方藥製造商對於其處方藥產品若欲調高產品公告目錄價(Wholesale Acquisition Cost, WAC)超過40美元/療程之漲幅者,須將處方藥漲幅、漲價原因、藥品使用情況或市場等資訊,以「季」為單位,至少於漲價生效60天前通報給加州衛生計畫與發展辦公室。若該藥品為新產品,其WAC超過「醫療保險處方藥物改良和更新法」(Medicare Prescription Drug, Improvement, and Modernization Act)所定之價格區間者,須於新產品上市後3天內通報給OSHPD。 OSHPD在收到處方藥製造商的通報資訊後,則須依法將資訊公開於其網站上。
Tommy Gun商標侵權之爭—槍械製造商v.s.伏特加酒商一間紐約州槍械製造公司Saeilo Enterprises Inc.(以下簡稱S公司)於今年(2013)3月向紐約聯邦法院提起商標侵權訴訟,請求一家伊利諾州酒類製造公司Alphonse Capone Enterprises Inc.(以下簡稱AC公司)停止製造及販售新品「Tommy Gun」伏特加。 S公司從1981年開始營運機械金屬零件製造生意,1994年成立了Kahr Arms部門,於1999年Kahr Arms部門買下一家製造Tommy Gun(輕型衝鋒槍)的公司Auto-Ordance後,持續製造相關槍械。S公司並取得了Tommy Gun商標權,此商標從1920年就開始持續被使用。 AC公司則為一家酒類製造商,其推出兩款伏特加,一款為酒瓶上貼有Tommy Gun字樣,一款為酒瓶本身形狀即為Tommy Gun樣式。雖然尚未確定AC公司製造的Tommy Gun兩款伏特加是否已經對外販售或是否目前仍持續販售,但仍可於其官網搜尋到商品相關資訊。 AC公司製造販售Tommy Gun伏特加的行為引來S公司強力捍衛商標地盤的積極維權行動。根據S公司的起訴書,其共提起10項訴因(cause of action),包含商標侵權、商標淡化、錯誤指示商品來源、商業表徵(trade dress)侵權、詐欺商業交易、不公平競爭等。S公司主張AC公司的行為對其造成無法弭補的損害(irreparable harm),請求法院發出永久禁制令(permanent injunction)禁止AC公司製造及販售Tommy Gun伏特加,並支付損害賠償額及律師費用。此外,S公司更進一步要求法院判決AC公司應將所有庫存的Tommy Gun伏特加交由S公司進行銷毀。 而事實上,S公司主動捍衛Tommy Gun商標權的行為已非頭一遭,其於今年初對一家販售Tommy Gun複刻品玩具槍的公司提告,並於2011年對一家類似玩具槍製造公司提起相關商標侵權訴訟。甚至早於2008年,對一家販售Tommy Gun復刻品的公司提起訴訟維護商標權。 在S公司大動作保護Tommy Gun商標權的持續攻勢下,相信對於之後欲以Tommy Gun為名販售相關產品的公司將產生警示作用。
美國《國際緊急經濟權力法》(IEEPA)美國《國際緊急經濟權力法》(International Emergency Economic Powers Act, 50 U.S.C. §1701-1708,下稱IEEPA)是美國總統針對國際經濟局勢,進行多種經濟交易相關限制之法源依據─只要外來任何威脅造成美國家安全、外交政策或者經濟出現隱憂,美國總統即可按IEEPA依職權調查、管制或限制「任何與特定國家的外國匯兌交易、透過金融機構進行任何涉及該國利益的信貸移轉或支付、輸入或輸出外幣或證券;亦可凍結與特定國家或該國人民有關的財產權」。1979年,卡特總統(Jimmy Carter)援引IEEPA因應伊朗人質危機(Iran Hostage Crisis),係迄今最長時間的經濟制裁(sanction);2001年的911空襲事件之後,美國國會大幅擴張IEEPA,同時制裁阿富汗(Blocking Property and Prohibiting Transactions with the Taliban)。近期的中美貿易戰中,IEEPA亦扮演重要角色。舉例而言,2019年5月15日,美國總統川普(Donald Trump)即以IEEPA發布〈行政命令:保護資通訊技術及服務之供應鏈〉(Executive Order on Securing the Information and Communications Technology and Services Supply Chain),並於翌日將華為及其遍布26國的68間子公司列入《出口管制規則》(Export Administration Regulations, EAR)之管制名單。 美國憲法起草時,並無談及緊急權力(emergency powers)之概念,所以在過去的兩個世紀,美國總統僅能個案處理(ad hoc)緊急狀況,國會再後續追認。20世紀以降,美國開始出現緊急權力模式─透過國會立法,將原應由國會代表人民行使的權力(delegated powers)授予總統在緊急狀況下直接行使。復有1976年的《國家緊急法》(National Emergencies Act,下稱NEA),而1977年通過的IEEPA即是依NEA為法源所設。當美國總統行使IEEPA,必須遵守NEA:立即向國會發送緊急命令公告,並且將之發布於聯邦公報(Federal Register),總統亦須闡明其發布該緊急命令所援引之法源依據。《國際緊急經濟權力法》中,公權力對於私經濟的介入,則可溯及第一次世界大戰末期的《1917年對敵貿易法》(Trading with the Enemy Act of 1917),當時出現始料未及的經濟動員(economic mobilization)與制裁。
芬蘭提出群眾募資法案,鬆綁證券模式群眾募資並釐清債權模式群眾募資法制芬蘭財政部(Ministry of Finance)在2016年4月7日將群眾募資法(Crowdfunding Act)草案提交國會,本法案預訂在2016年7月1日生效。芬蘭金融監管局(Finnish Financial Supervisory Authority)曾於2014年7月1日針對債權模式群眾募資(loan-based crowdfunding)以及投資模式群眾募資(investment-based crowdfunding)發布指導原則 ,為其法制進行說明與解釋,然而並未進行立法為群眾募資作出法規鬆綁。 本次芬蘭所提出的法案將有助於企業運用債權(debt)以及證券(securities)模式群眾募資進行籌資活動,本法案將鬆綁證券模式群眾募資並釐清債權模式群眾募資法制基礎。芬蘭財政部長表示:「本法案目標在於創造新的融資來源,特別是在傳統融資管道經歷困難的新創成長公司。群眾募資將增加融資可能,特別是中小企業以及新創公司。透過群眾募資,將可以提升他們的成長機會,投資選項,商業化創新,我們希望進而能增加就業率。」。 目前歐洲投資模式群眾募資市場規模為1550萬歐元,債權模式群眾募資約6890萬歐元。歐洲2015年群眾募資整體市場規模為8440萬歐元,較去年成長48%。 芬蘭群眾募資法只規範證券模式群眾募資以及債權模式群眾募資,不包含P2P借貸(peer-to-peer lending)。目前在芬蘭,P2P借貸由消費者保護法(Consumer Protection Act)規範;捐贈模式群眾募資(Donation-based crowdfunding)由集資法(Money Collection Act)規範,由內政部(Ministry of the Interior)管理;回饋模式群眾募資(Reward-based crowdfunding)由消保法規範,消費者之間以及企業之間則有商品銷售法(Sale of Goods Act)。 新法規定,經營群眾募資必需要取得芬蘭金融監管局取得執照。目前投資模式的群眾募資所適用的法規為投資服務法(Investment Services Act),同樣為金融監管局主管之範疇。信用機構則無需依照新法另外取得執照即可於其原營運執照下提供群眾募資中介服務。 新法做出下述變革: 1. 過去繁重耗時的營運執照申請行政程序,將被簡化,由較便宜、簡易且快速的註冊程序所取代。 2. 群眾募資中藉機構不需要再參加投資人補償基金(Investors’ Compensation Fund)。 3. 群眾募資中介機構的最低資本額由目前的125,000歐元降低為50,000歐元。 4. 提供最低資本額替代方案,例如專業的責任保險、銀行擔保或者是其它金融監管局認為足夠的相應的擔保。 5. 本法只是用於在芬蘭境內擔任群眾募資中介機構或者取得群眾募資,如果要在其它歐盟國家營運,建議中介機構仍應取得投資服務公司營運執照,以加速進入歐盟市場。 目前債權模式群眾募資被認定為金融中介機構,但是不受任何法規範。新法對於債權模式群眾募資提出管理規範,將適用證券模式群眾募資的管理規範,包含: 1. 群眾募資中介者以及募資人都具備資訊揭露義務。 2. 管理群眾募資中介者流程,以及對於投資人的義務。 3. 群眾募資中介者的監管規範,包含處罰規定。 目前具備群眾募資法制的歐洲國家包含義大利、法國、英國、德國、西班牙、奧地利以及葡萄牙。比利時、荷蘭以及立陶宛法案則預計在近期生效。而瑞典、愛沙尼亞以及拉脫維亞則仍在探詢法制之需求。雖然歐洲早於2011年就成立歐洲群眾募資網路(European Crowdfunding Network),但迄今歐盟尚未有群眾募資指令。歐洲各國不同的群眾募資國內法制造成目前歐盟協商群眾募資法制之困難。