歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
防制洗錢金融行動工作組織(Financial Action Task Force on Money Laundering, FATF)為因應虛擬資產(Virtual Assets)對於打擊洗錢與資恐主義措施所帶來的衝擊,協助各國建立可供遵循的一致性標準,於2018年10月修改FATF建議書(The FATF Recommendations),定義「虛擬資產」與「虛擬資產服務提供業者」(Virtual Asset Service Providers, VASPs),將其納入國際洗錢防制之範疇。 為使各國監管機關依據FATF相關建議,正確評估與降低虛擬資產與VASPs所可能涉及的洗錢與資恐風險,有效進行管理並建立公平競爭的虛擬資產產業體系,FATF於2019年6月21日,針對建議書中第15點-新科技所可能隱藏的洗錢隱憂,加入解釋性說明,列出FATF對於虛擬資產和VASPs的應用標準,包含建議監管機關採取註冊或許可制度,以利進行監督與審查,而非透過自律組織方式進行督導,並與他國進行國際合作。以及為防止不法份子與其同夥擁有對VASPs的控股權(controlling interest)或管理職能(management function),各國主管機關須採取必要的法律或監管措施。另監管機構應有足夠權力監督並確保VASP遵守打擊洗錢和恐怖主義融資的要求,包括進行檢查,強制公開資訊和實施金融制裁。 FATF同時公布「虛擬資產與虛擬資產服務商之風險基礎指引」(Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers),指導各司法管轄區如何應用風險基礎方法,針對虛擬資產相關活動與服務商,進行洗錢與資恐防制。相關主管機構在進行風險評估時,應考量特定的虛擬資產類型或VASP活動,了解其具體架構與運作在金融體系和國家經濟的作用,以及對洗錢與資恐防制的影響,將類似風險的產品或服務應用類似的監理原則處理,並針對虛擬資產的匿名性加強客戶識別機制。隨著VASP活動發展,主管機關亦應審視其他監管措施(如消費者保護、資訊安全、稅務等)與洗錢與資恐防制之間的關聯,進行短期與長期的政策擬定,以制定全面性的監管框架。 FATF預計於2020年6月開始啟動上述新審查機制,為期12個月,檢視各國對於前述具體要求之落實情況。以及持續與民間企業合作,共同探討虛擬資產的基礎技術、使用類型、相關業務模式。
歐洲議會通過《關鍵原物料法案》強化供應鏈韌性及提升戰略自主權歐盟執委會(European Commission)於2023年3月16日提出《確立關鍵原物料安全及永續供應框架規則草案》(Proposal for a regulation of establishing a framework for ensuring a secure and sustainable supply of critical raw materials,以下簡稱關鍵原物料法案),歐盟理事會和歐洲議會於2023年11月13日就草案內容達成政治協議,歐洲議會於2023年12月12日通過草案,有望於2024年完成立法。 《關鍵原物料法案》設有「關鍵原物料清單」(List of critical raw materials)和「戰略性原物料清單」(List of strategic raw materials),前者包含34種對歐盟經濟至關重要之關鍵原物料,而其中17種關鍵原物料又因具戰略重要性且預期將有全球供需失衡問題,而被劃分至「戰略性原物料清單」。為確保上述關鍵原物料之永續供應,《關鍵原物料法案》採取以下措施: (1)強化歐盟關鍵原物料價值鏈,制定2030年戰略性原物料基準:於2030年前,每年消費之戰略性原物料,至少10%於歐盟境內開採、40%於歐盟境內加工製造、25%於歐盟境內回收再利用。 (2)確保戰略性原物料供應多元化:未來加工階段使用之戰略性原物料,來自單一第三方國家之比例,不得超過總需求量65%。 (3)強化供應鏈韌性:提高歐盟監控和減輕關鍵原物料供應鏈風險之能力。 (4)關鍵原物料循環利用:確保關鍵原物料和含有關鍵原物料的產品在歐盟市場內能自由流通,並透過提高循環性和永續性,落實高水準環境保護政策。 歐盟期望透過上開目標之落實,並配合法案中之簡化開採許可程序及優惠融資管道等經濟鼓勵措施,促進關鍵原物料研發及供應鏈多元化,以落實綠色和數位轉型,並提升歐盟及其會員國之戰略自主權(strategic autonomy)。
英國金融主管機關針對銀行資訊安全問題處以重罰英國金融監理機關,針對RBS集團旗下之三間銀行2012年所發生的資訊安全問題,共處以五千六百萬英鎊的罰款。 RBS、NayWest以及Ulstet的客戶於2012年6月,因為銀行執行的軟體更新發生技術上問題,在使用服務(包含線上服務)時,遇到存款結餘及付款執行的正確性問題。 針對此項資訊上的問題,英國金融行為監管局(FAC)處以四千二百萬英鎊的罰款;另一機關,英國審慎管理局(PRA)亦罕見地再以違反「金融機構應以適當風險管理系統以及合理之注意義務,有效管控其服務」規定之理由,另對該銀行處以一千四百萬的罰款。這是首次2個主管機關對於銀行未能有效辨識及管理其已暴露之資訊風險共同處罰之案例。 PRA指出,資訊風險管理系統適當的發揮功能以及控制,是一個公司健全不可或缺的部份,同時對於英國金融體系的穩定也特別重要。 FCA亦試圖開始評估銀行對於他們所曝光的資訊風險的管理程度,以及銀行的管理階層如何去掌握自己銀行,因為技術錯誤所造成的影響程度。 RBS聲明公司已經在主營運系統外建置了鏡像系統,可以繼續處理「主要客戶服務」的顧客交易;同時也可以修復主營運系統。
美國推動創新研究獎勵方案,鼓勵中小企業投入潔淨能源研發美國能源部今(2012)年5月宣布1千1百萬美元的預算,獎勵小型企業發展潔淨能源創新研究與科技。美國的小型企業並非以營運的領域來區分,而且必須合於美國聯邦法規(13 CFR 121)中對於小型企業的規範,另外,美國小型企業管理局(U.S. Small Business Administration,SBA)對於各種營利活動亦建立有大小區分的標準,依照不同的行業別,就員工人數或營業額的數目訂立區分標準。因為企業大小的區分,在美國政府採購契約發包的程序上極為重要,因為他們確保,為大小不等的小企業之間提供公平的競爭基準,而這些區分標準同時也適用在SBA的貸款/補助計畫以及能源部小型企業創新研究計畫(Small Business Innovation Research ,SBIR)與小型企業技術移轉計畫(Small Business Technology Transfer ,STTR)上。 能源部此次小型企業創新研究計畫是歐巴馬政府為扶持小型企業,增加美國就業機會政策的一部分,計畫內容在於,給予每個小型企業最高15萬美元的補助金,只要企業的業務致力於發展創新能源技術,製造新的工作機會,以提高美國在世界的經濟競爭力,這些獲選企業在未來兩年內,可以參加第二階段的競賽,並將有機會獲得高達2百萬美元的獎勵金,目前已有67個小型企業,總共75項創新研究計畫,包括風力渦輪機、燃料電池技術以及煤炭能源等的相關研究工作,這些獲選的小型企業遍佈全美各州。 美國政府認為,小型企業為其經濟體的主幹,提供全美二分之一的工作機會,並且在國內持續製造三分之二的新就業機會,重要的是,這些企業正在幫助美國減輕對進口石油的依賴,保護美國的環境,降低環境污染。而為了支持這些小型企業在國內經濟體所扮演的重要角色, 在能源部主責進行的SBIR計劃和STTR計劃中,持續支持科學卓越和技術創新,以達強化國家經濟的目標。