歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估

  歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含:

  今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。

  至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障?

  而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)?

  於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」

相關連結
你可能會想參加
※ 歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8752&no=16&tp=1 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
日本「個人編號(マイナンバー)」制度遭受違憲的質疑

  日本政府基於(1)行政的效率化(2)提升國民便利性及(3)實現公平、公正的社會等目的,於2015年10月以後開始分發記載國民姓名、住址、性別、個人編號等相關資訊的「通知卡(通知カード)」,日本民眾藉著通知卡至各地相關單位申辦正式「個人編號卡(マイナンバーカード)」,並於2016年01月正式開始實行。   然而此項制度在施行之初即爭議不斷,住在東京、大阪等地的156名居民於2015年12月01日向東京、仙台、新潟、金澤、大阪共五個地方法院提起民事訴訟,請求日本政府停止蒐集、利用並且刪除個人編號,同時要求給予每人十萬日圓的損害賠償。原告訴狀以日本年金機構受到網路攻擊而有125萬件個人資料流出為例,認為現今關於個人編號制度的行政機關及民間企業的安全防護對策並不充分,主張有極高洩漏「關於稅務及社會福利個人資料的危險性」,同時主張個人編號制度並未取得本人同意即蒐集個人資訊,侵害憲法第13條保障的「控制自我資訊的權利」,亦即隱私權及人格權。   2003年開始正式啟動的 「住民基本台帳網路系統(住民基本台帳ネットワーク)」先前也被提起類似訴訟,惟最高法院認定「制度或系統尚未不備、並沒有侵害隱私權」而認定合憲。本案原告律師團則認為住民基本台帳網路系統僅有行政機關接觸到個人資料,而個人編號制度則連民間企業都能接觸到個人資料,因此原告律師團的水永誠二律師即表示:「個人編號制度和住民基本台帳網路系統相比規模更大。就算住民基本台帳網路系統被認定合憲,也不構成個人編號制度合憲的理由。」   儘管本件訴訟的勝訴效力僅及於當事人,不會立刻決定個人編號制度存廢。惟若能動搖該制度適用於所有擁有住民票的人的前提,則日本政府將被迫重新檢討個人編號制度,本訴訟的後續發展值得繼續觀察。

美國環保署於提出首部「限制發電廠有毒氣體排放」國家管制標準草案並預定於2011年11月完成立法

  美國環保署(Environmental Protection Agency of the United States,以下簡稱EPA)於2011年3月16日首度對於國內發電廠有毒氣體的排放提出國家管制標準草案,並預定於2011年11月完成立法,此項立法措施被譽為近20年來美國空氣污染防治史上的重要里程碑。   美國對於發電廠所排放的有害氣體管制,最早源於美國清淨空氣法案(The Clean Air Act)在1990年要求EPA加強對於發電廠排放之汞(mercury)等有毒氣體之管制,而國會亦要求其須於2004年底以前提出國家管制標準。然而EPA於2005年正式公告「清靜空氣除汞管制規則(the Clean Air Mercury Rule,以下簡稱CAMR規則)」時,卻將燃煤電廠排放汞排除於管制名單外,引發紐澤西等14個州政府與相關環保團體的抗議,並對EPA提起聯邦訴訟。2008年2月8日聯邦上訴法院作出判決,除指出EPA對於發電廠空污之認定前後矛盾外,更認定其在未發現有新事證下擅自將發電廠所排放之空氣污染自CAMR管制名單中移除(delist),已違背反清靜空氣法案之程序要求,故推翻CAMR規則之有效性。   此後,經過密集的聽證會與討論,EPA最終於2011年3月16日正式提出「限制發電廠有毒氣體排放」的國家管制標準,對於發電廠所排放的汞、砷(arsenic)、鉻(chromium)、鎳(nickel)及其他酸性或有毒氣體加以管制,並要求電廠必須採用污染控制技術以減少製造量。   後京都議定書時代中,各國無不致力於新興能源替代方案之提出,惟於新興能源研發應用前的過渡期間仍需仰賴傳統發電技術,美國為解決傳統火力發電對於環境及人體健康所造成的傷害,提出首部國家管制標準草案,其後續對於該國能源結構可能產生何種影響,值得注意。

奈米產業民間導引規範先行-以美國推動奈米保險機制及自願性計畫法制為例

日本經濟產業省發佈「第四次產業革命競爭政策研究會報告書」

  2017年6月28日日本經濟產業省發佈「第四次產業革命競爭政策研究會報告書-以實現產業整合(Connected Industries)為目標-」。日本政府為能持續推動該國經濟,以建立創新附加價值的產業社會為目標,以實現產業整合並促進創新與競爭環境,於本年度一月至六月召開七次「第四次產業革命競爭政策研究會」,進行日本競爭政策檢討,並於28日發佈第一階段報告書。   本報告中提出四種大數據應用的商業模式,分別為:單獨成長型、附隨應用型、他面活用型與多面展開型四種。單獨成長型著重於產品或服務本身透過資料蒐集應用來改善品質。附隨應用型則除了透過資料搜集以進行產品與服務品質改善以外,亦擴散經驗運用到其他使用者的服務內容改善。他面活用型則透過產品或服務的資料蒐集,運用到其他的領域(例如駕駛資料的蒐集運用到保險費率的計算)。多面展開型則將多種不同的產品與服務的資料取得後綜整分析以能相互提升品質,或應用到新發展的領域。   報告中並提出資料運用對競爭環境影響的三個關鍵步驟。首先是資料本身的影響力,包括資料本身的必要性、資料品質、蒐集成本等。其次為資料蒐集的可能性,因其他競爭者也可能取得相同資料,故應確保資料的稀少性與蒐集能力的差異(與競爭者能區別)。第三是資料運用可能性,應注意資料應用上是否有資金、人才在競爭上的其他限制。

TOP