歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估
歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含:
今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。
至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障?
而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)?
於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
羅健倫
副法律研究員 編譯整理
EDPB adopts opinion on draft South Korea Adequacy Decision, https://edpb.europa.eu/news/news/2021/edpb-adopts-opinion-draft-south-korea-adequacy-decision_en, (last visited Nov. 17, 2021).
澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年9月發布「健康隱私指引」(Guide to health privacy)協助健康服務提供者了解及實踐相關規範所制定之隱私義務以確保個人資料安全。依據1988年澳洲隱私法(Privacy Act 1988)規定,健康服務指所有評估、維持、改善或管理個人健康狀況;或是診斷、治療或紀錄個人疾病或健康狀況之行為。而健康服務提供者除了醫院及醫療人員,更包含其他專業人員例如健身房及減肥診所、私立學校及托兒所、遠端醫療服務等所有涉及健康資料並提供健康服務之單位及人員。由於澳洲隱私法要求服務提供者必須積極建立、實施及維護隱私合法處理程序,為了協助所有健康服務提供者確實遵守法定義務,以減少健康資料之隱私風險問題,OAIC制定「健康隱私指引」提出八大步驟要求健康服務提供者確保遵守義務並保障所持有之個人資料: 制定並實施隱私管理計畫,確保遵守澳洲隱私原則(Australian Privacy Principles, APPs)。 制定明確的責任制以進行隱私管理,並及時提供員工幫助與指導。 建立個人資料檔案紀錄,以確認持有之個人資料。 了解法律規範之隱私義務並實施法定流程以履行義務。 定期舉辦員工隱私培訓課程以強化團隊基礎知識。 建立隱私權政策並於網頁上呈現或是提供手冊說明相關內容。 保護所持有之資料不被濫用、遺失或未經授權的修改及揭露等。 制定資料外洩因應措施,針對資料外洩進行危機處理。
歐洲藥物管理局修正發布「藥品交互作用試驗指針」提升用藥安全與效用歐洲藥物管理局(European Medicines Agency, EMA)今(2012)年7月6日修正發布「藥品交互作用試驗指針」(Guideline on the Investigation of Drug Interactions),EMA表示這是該指針自1997年發布以來最大的修正,內容包括藥廠如何進行新藥與已經流通使用的藥品的潛在交互作用研究,以及新藥與食品的交互作用研究。 「藥品交互作用試驗指針」內容包括用藥建議方案,其乃基於臨床相關交互作用以及調整用藥劑量、監控病人用藥情形之可行性研究為基礎。同時,有關草藥使用的建議方案也包括在內。 EMA表示,新的修正內容使「藥品交互作用試驗指針」與藥品交互作用研究科學之發展現況趨於一致,例如現已能透過少數的精密設計研究,即可預測臨床相關藥品交互作用的結果,以及在了解近年酵素觸發技術(enzyme induction)與藥物載體(drug-transporter)間的交互作用上的科學進展。 藥物交互作用對於用藥的安全與效用極為重要,許多病人,尤其是年長者經常需要同時服用多種藥物,因多種藥物交互作用而產生的負作用(adverse effects)是患者反覆就醫的重要因素之一,且可能減低個別藥物原有的療效。 「藥品交互作用試驗指針」新修正內容將於2013年1月1日生效,全文共計七部分,主要重點在第五部分的藥物動力學(Pharmacokinetic)交互作用研究,內容包括:從研究進行方式即藥品的吸收、分布、代謝、移轉到人體試驗設計、草藥與特殊食品產品、以及產品特性標示事項等都有建議規範,其全文可至EMA官方網站下載。
美國消費者金融保護局擬納管一般性數位支付應用程式2023年11月7日美國消費者金融保護局(Consumer Financial Protection Bureau, CFPB)發布擬議規則制定通知(notice of proposed rulemaking),計劃將一般性數位支付應用程式提供者的「較大參與者」(larger participants)納入監管,基於非銀行支付市場對消費者的日常金融生活日益重要,考量相關消費者保護風險,而有必要將此類支付公司納入《消費者金融保護法》(Consumer Financial Protection Act, CFPA)的監管範圍。 根據擬議規則,「提供一般性數位支付應用程式」是指消費者藉由應用程式的資金轉帳功能和數位錢包功能,進行「一般性」數位支付交易的應用程式。申言之,該數位支付應用程式係用於一般性產品或服務的消費,而非特定供應商所提供,且僅限用於支付其所提供商品或服務之數位交易手段。 此外,「較大參與者」之定義為透過行動通訊或網路應用程式提供數位錢包或個人對個人(person-to-person, P2P)支付的非銀行機構,並每年完成超過500萬筆支付交易,且該機構不屬於《小型企業法》(Small Business Act, SBA)所定義的小型企業(small business),根據CFPB估計,擬議規則將擴大監管於現行17家非銀行支付機構,其全年交易金額將近130億美元。 有鑑於消費者資訊貨幣化(Monetization)之資料治理議題,及數位支付領域的大型科技公司因持續發展而產生市場壟斷疑慮,CFPB擬藉由此項擬議規則擴大監管措施,將美國大型數位支付科技公司納入監管,要求其遵守CFPA的規範,使數位支付領域的非銀行機構及存款機構同步受到監管,一方面維持數位支付市場之公平競爭環境,並同時確保消費者受到CFPA的保障,降低消費者在使用數位支付時的交易風險。 近年我國因疫情的零接觸政策及數位經濟時代來臨,數位支付應用因而蓬勃發展,我國於2023年11月21日三讀通過《金融消費者保護法》修正案,將電子支付業納入金融服務業,逐步加強金融消費者權益保護,我國應持續追蹤外國金融消費者保障動態,在金融消費者保障上持續前進。
美國加州網路身分冒用法2011年01月正式生效2010年12月,加州參議院通過網路身分冒用法(Criminal “E-personation”,Senate Bill 1411),針對在網路上惡意冒用他人名義的行為態樣處罰,法案提案人加州參議員Joe Simitian表示:「現有的身分冒用法規係1872年所訂,無法規範現代科技所衍生的身分冒用態樣。」所以法院一般認為網路上的冒用屬於身分剽竊的態樣,但此類型通常不涉及金錢的損失,法庭上證明困難,受害者求償不易,因而制定此一法案。 本法針對故意、未經同意在網路或其他電子途徑冒用身分,傷害、恐嚇、威脅、詐欺他人的行為,判定為輕罪(standard misdemeanor),最高可處以1000元美金或一年以下有期徒刑。因此,在社群網站中冒用他人名義,發表不雅言論的行為往後可能會受到處罰。 但「傷害、恐嚇、威脅、詐欺」的行為態樣的認定,可能會造成法院實際執法上的困難,而且可能侵害人民憲法第一增修條文的權利。以The Yes Man組織為例,該組織假冒美國商會(American Chamber of Commerce)在網路上發表支持眾議院通過氣候變遷法案,其主要目的在於遊說美國商會改變其立場,本法尚未通過前,美國商會向加州法院提出訴訟,美國商會曾就訴訟過程表達不滿,認為現行法對於身分被冒用者無所助益,然新法正式施行後,本案如何在不侵犯憲法第一增修條文的情況下,嚇阻真正帶有惡意的身分冒用者,值得進一步觀察。