歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
Apple在對Psystar的法律訴訟上贏得重要的勝利,美國政府聯邦法院已判決複製品製造者Psystar於販售個人電腦時事先安裝Mac OS X作業系統,已侵犯Apple的著作權。 在雙方提起簡易判決訴訟後一個月,美國地方法院法官William Alsup 表示Psystar已侵害Apple專用之重製權、散布權及衍生著作權,於判決中針對著作權侵害一事已被承認。並且確認Apple於Mac OS X產品之直接用戶授權合約,是限制使用於Apple生產的電腦,更特別禁止安裝此作業系統於其他電腦;在此同時,法官否決Psystar的論點:首次銷售原則所允許,買家可以任意使用此作業系統。 此外,法官同意Apple的聲明,Psystar侵害數位化千禧年著作權法案之反規避條款及反交易條款,另一方面,法官也否決Psystar對Apple濫用著作權的論點。 此判決並未包含其他Apple所提出的主張,包括:合約的侵害、商標的侵權及商標稀釋,法官也未提出給予Apple救濟上的權利,包括先前提及之永久禁止令,要求中止Psystar販售任何帶有Apple軟體的硬體並強迫其召回所有已售出帶有此作業系統之機器。 此判決對Apple而言,是決定性的勝利,但並非結束所有在法律上的爭議,12月14日將進行賠償的審訊,其餘審判也預訂於明年1月開始。
電力市場2.0--2015德國電力市場改革最新發展 實現綠色工業 政府推動PC業G計畫將於 2006年中實行之歐洲環保指令,規定輸入歐盟的電子產品材料、及其後續回收等作業流程,皆須符合廢電子電機設備(Waste Electronics and Electrical Equipment,WEEE)以及有毒物質禁制令(Restriction of Hazardous Substances,ROHS)兩大法規。為此,經濟部於27日宣布啟動「寰淨計畫(G計畫)」,將結合系統廠商、檢測驗證機構、資訊服務業者等單位,以系統廠商帶動下游供應商的方式,加速國內電腦廠商推出符合環保規範的產品,目前所知包括華碩、神達、大眾等電腦廠商,都已經投入了此計畫。 本次所涉廢電子電機設備 (WEEE) 法規,是關於廢棄電子、電機產品的回收再利用,規定自2005年8月13日後所生產的產品需由生產者進行回收,範圍含括家用設備、資訊通訊設備、玩具休閒與運動設備、醫療裝置等產品。 另一則是有毒物質禁制令 (ROHS),其明列自2006年7月後,製程、設備及材料處理研發禁止使用6種有毒物質,如鉛、汞、鎘等,內含六項管制物質的產品將不可在市面流通,屆時輸歐的電子、電機產品皆必須符合該標準。 另針對回收問題,經濟部表示將輔導國內廠商建立綠色產品回收體系及回收管理平台之示範系統,並在日後將 G計畫推廣對象擴及產險公司,以協助業者因應違反歐盟規範所生之求償索賠,並建立風險控管機制。
新加坡通過第一個個人資料保護法制新加坡於2012年10月15日通過該國第一個消費者個人資料保護法案,該法案主要規範私人機關蒐集、利用以及揭露個人資料之行為,將於2013年1月正式施行。 該法案亦成立新加坡個人資料保護委員會(Personal Data Protection Commission, 以下簡稱PDPC),並成立拒絕來電登記處(Do-Not-Call Registry),該處由PDPC進行維運。PDPC將是新加坡主要掌管個人資料保護的主管機關,而且也負責推動個人資料保護法案以及被賦予增進新加坡人民個人資料保護認知之任務。 於該法案之規劃中,資料當事人可以在拒絕來電登記處註冊其位置在新加坡之電話號碼,以防止私人機關為了商業行銷之理由而進行電話行銷。假設資料當事人已完成相關登記卻持續收到行銷電話時,可以向PDPC進行申訴。 除此之外,私人機關於蒐集、儲存個人資料前,必須尋求消費者之同意,而且必須通知當事人資料蒐集之目的。私人機關於傳輸個人資料至新加坡境外時,也必須確保以提供相對安全的個人資料保護作法,例如透過契約或者協議之簽訂等。 違反個人資料保護法規之公司,每一個違反事件可能被科以最高美金820,000元之罰鍰,對於每一個消費者最高可能必須負上美金8200元之賠償責任。法律施行後,企業被賦予18個月的法規遵循準備期間,而停止打來登記處預計將於2014年年中設置完成。