歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估

  歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含:

  今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。

  至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障?

  而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)?

  於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」

相關連結
你可能會想參加
※ 歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8752&no=67&tp=1 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
中國大陸國家食品藥品監督總局為落實食品安全法所涉保健食品管理項目,修訂《保健食品備案工作細則》

  中國大陸食品及保健食品法制主要規定於《中華人民共和國食品安全法》、《食品生產許可管理辦法》、《保健食品註冊與配案管理辦法》及《食品生產許可審查通則》。惟,近年來,中國大陸國家食品藥品監督總局因應日前食品安全法修正 ,為進一步落實其所涉之保健食品備查及管理項目之執行,補強保健食品之法制缺口,即依據《保健食品註冊與備案管理辦法》訂定《保健食品備案工作細則》,另於今年度(2017)年2月7日公布該細則內容,進行為期一個月之公眾意見徵集。《保健食品備案工作細則》共分為八個章節,依序規範保健食品所涉之備查項目、相關適用資格及應備齊之文件,例如:中國大陸製造及生產之保健食品之特殊備查要求、外國進口之保健食品備查要件…相關變更及效力等多項內容。茲就重要內容說明如下: 一、適用範圍及基本原則 凡用於凡於中國大陸境內生產製造或欲進口之保健食品皆適用之。並應當遵循規範統一、公平公正之備查原則保健食品備查。 二、保健食品備查概念 係指保健食品生產企業應依據辦法及細則規定之法定程序、要件,將可茲證明該項產品之安全性、功能性等相關資料及應備文件提交權責當為進行存檔備查之過程。 三、食品藥品監督管理部門之權責 中國大陸國家食品藥品監督總局為保健食品註冊及備查之主管單位、應對各省、自治區、直轄市食品藥品監督管理部門之保健食品註冊及備查相關項目具有指導監督之責。

日本設置「創新藥品等實用化支援基金」促進創新藥品及再生醫療製劑研發上市

日本在2025年2月12日閣議決定「藥機法等部分法律修正案」(原文:医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律等の一部を改正する法律案),送國會本會期審議。其中明文設置「創新藥品等實用化支援基金」,政府預先編列複數年度所需財源,並設有10年時限措施。此項基金業務預定由國立研究開發法人醫藥基盤、健康暨營養研究所(下稱研究所)負責實施,追加創新藥品等實用化支援事業為研究所新業務,並明定至令和18年(2036年)3月31日為止實施,說明如下: (1)為了「創新藥品及再生醫療製劑」(下稱創新藥品等)之實用化,整備研發所必要之具規模的設施及設備,並提供從事於創新藥品等實用化之人得以共同使用,以增加創新藥品等實用化之交流與合作之機會,對於從事此等業務以及其他提供必要支援之事業者(下稱創新藥品等實用化支援事業者),由研究所提供其必要資金及其他支援。 (2)創新藥品等實用化支援事業者欲從事前述支援事業,向厚生勞動大臣提出申請書取得認定。 該基金由政府與製藥企業等共同出資設立,以強化「製藥新創得以創造出創新藥品等之製藥基盤及基礎設施」為目標,對於實施創新藥品等新創進行支援之「創新藥品生態系園區之整備事業者」(例如:育成事業者或製藥企業等),整備育成實驗室(Incubation Lab)、動物實驗設施、臨床試驗用藥製造等設施,以及致力於新創支援之事業者作為補助之對象範圍,明文於實施3年後進行檢討,期能透過此一基金之運作強化創新藥品等之製藥基盤。

美國衛生暨福利部於09年8月公布關於醫療資訊外洩通知義務之暫行最終規則

  於2000年基因圖譜解碼後,「基因歧視」議題成為各界關注焦點,而在電子通訊技術之配合下,更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下,如何能在善用相關技術所帶來的便捷同時,也對於相關資訊不甚外流時,得以有適切的因應措施以保障患者之隱私,成為了必須處理的問題。   美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中,強化了對醫療資訊之保護,其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS ),針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理,該項規則亦於今年(2009年)8月24日公布。值得注意的是,HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」(the Health Insurance Portability and Accountability Act of 1996, HIPAA)之定義。然而,與HIPPA最大的不同在於, HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件,但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體,基於其注意義務,應於得知或可得而知之日起算,60日內完成通知義務;視醫療資訊外洩之嚴重程度,其通知之對象亦有所不同,必要時應通知當地重要媒體向外發布訊息,HHS也將會以表單方式公布於其網站中。   整體而言,HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務,此為HIPPA過去所未規範者;其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法,於法規上直接對於洩露醫療資訊之相關主體課以刑責,強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是,受限於美國國會對HHS提出最終規則之期限要求,HHS現階段所提出的版本僅屬暫行規定,最終規定之最終確切內容仍有待確定,也值得我們持續觀察。

美國參議院於2022年4月提出《演算法問責法案》對演算法治理再次進行立法嘗試

  《演算法問責法案》(Algorithmic Accountability Act)於2022年4月由美國參議院提出,此法案係以2019年版本為基礎,對演算法(algorithm)之專業性與細節性事項建立更完善之規範。法案以提升自動化決策系統(automated decision systems, ADS)之透明度與公平性為目的,授權聯邦貿易委員會(Federal Trade Commission, FTC)制定法規,並要求其管轄範圍內之公司,須就對消費者生活產生重大影響之自動化決策系統進行影響評估,公司亦須將評估結果做成摘要報告。   《演算法問責法案》之規範主體包括:(1)公司連續三年平均營業額達5000萬美元,或股權價值超過2.5億美元者,並處理或控制之個人資料超過100萬人次;以及(2)公司過去三年內,財務規模至少為前者之十分之一,且部署演算法開發以供前者實施或使用者。ADS影響評估應檢視之內容包括:   1.對決策過程進行描述,比較分析其利益、需求與預期用途;   2.識別並描述與利害關係人之協商及其建議;   3.對隱私風險和加強措施,進行持續性測試與評估;   4.記錄方法、指標、合適資料集以及成功執行之條件;   5.對執行測試和部署條件,進行持續性測試與評估(含不同群體);   6.對代理商提供風險和實踐方式之支援與培訓;   7.評估限制使用自動化決策系統之必要性,並納入產品或其使用條款;   8.維護用於開發、測試、維護自動化決策系統之資料集和其他資訊之紀錄;   9.自透明度的角度評估消費者之權利;   10.以結構化方式識別可能的不利影響,並評估緩解策略;   11.描述開發、測試和部署過程之紀錄;   12.確定得以改進自動化決策系統之能力、工具、標準、資料集,或其他必要或有益的資源;   13.無法遵守上述任一項要求者,應附理由說明之;   14.執行並記錄其他FTC 認為合適的研究和評估。   當公司違反《演算法問責法案》及其相關法規有不正當或欺騙性行為或做法時,將被視為違反《聯邦貿易委員會法》(Federal Trade Commission Act)規定之不公平或欺騙性行為,FTC應依《聯邦貿易委員會法》之規定予以處罰。此法案就使用ADS之企業應進行之影響評估訂有基礎框架,或可作為我國演算法治理與人工智慧應用相關法制或政策措施之參酌對象,值得持續追蹤。

TOP