歐盟發布新版「向第三國傳輸個人資料標準契約條款」

  歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。

  新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:

  1. 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
  2. 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
  3. 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
  4. 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)

  本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。

  在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。

  隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 歐盟發布新版「向第三國傳輸個人資料標準契約條款」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8759&no=55&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
美國紐約州通過《政府自動化決策監督法》規範州政府使用自動化決策系統

紐約州州長於2024年12月21日簽署《政府自動化決策監督法》(Legislative Oversight of Automated Decision-making in Government Act, LOADinG Act),用以規範紐約州政府使用人工智慧自動決策系統的方式以及相關義務,成為美國第一個通過這類法律的州。 該法所定義之「自動化決策系統」係指任何使用演算法、計算模型或人工智慧技術,或其組合的軟體,用於自動化、支援或取代人類決策;這類系統亦包括應用預定義規則或機器學習演算法進行資料分析,並在自動產生結論、建議、結果、假設、預測。 針對政府使用自動化決策系統之情形,《政府自動化決策監督法》有三大重點:人類監督、影響評估以及資訊揭露。 一、人類監督 州政府在提供社會福利資源或其他可能實質影響人民權益與法定權利的業務時,除非是在「有意義的人工審查」下進行操作,否則不得使用自動化決策系統。同時,此法也強調,州政府亦應確保其員工現有權利不會受到自動化決策系統的影響,例如不得因此受到解雇、調職或減薪等。 前述有意義的人工審查,係指對自動化決策流程進行審查、監督及控制的工作人員,必須是受過訓練、對該系統有一定之了解且擁有權力干預、變更系統最終決策的人。 二、影響評估 州政府如欲使用自動化決策系統,應進行影響評估且每兩年應至少重新評估一次;系統在進行重大更新前,也應重新進行影響評估。若評估發現系統產生歧視性或有偏見的結果,機關必須停止使用該系統及其生成的資訊。 影響評估的項目除了性能、演算法及訓練資料外,亦應進行準確性、公平性、偏差歧視、以及個人資料安全等相關測試。 三、資訊揭露 影響評估需在系統實施前至少30天提交給州長與州議會,並在相關機關的網站上公布;僅機關在特殊情況下(例如涉及公共安全考量),州政府可針對報告揭露之資訊進行必要的刪改,但必須說明做出此決定的原因。此外,州政府亦需於本法通過後向州議會提交報告,說明包括系統描述、供應商資訊、使用開始日期、用途、人類決策的支持或取代情況、已進行的影響評估摘要等。 本法強調對人工智慧技術的審慎應用,特別關注其對勞工權益的影響。該法明確規定,禁止在無人類監督的情況下,使用自動化系統進行失業救濟或育兒補助等福利的審核決策,並保障州政府員工不因人工智慧的實施而減少工作時間或職責。此類規定在現行立法中較為罕見,顯示出立法者對勞工權益的高度重視。該法的實施效果及影響,值得未來持續保持關注。

美國國家標準與技術研究院「隱私框架1.0版」

  美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。   NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。   本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。

Tommy Gun商標侵權之爭—槍械製造商v.s.伏特加酒商

  一間紐約州槍械製造公司Saeilo Enterprises Inc.(以下簡稱S公司)於今年(2013)3月向紐約聯邦法院提起商標侵權訴訟,請求一家伊利諾州酒類製造公司Alphonse Capone Enterprises Inc.(以下簡稱AC公司)停止製造及販售新品「Tommy Gun」伏特加。   S公司從1981年開始營運機械金屬零件製造生意,1994年成立了Kahr Arms部門,於1999年Kahr Arms部門買下一家製造Tommy Gun(輕型衝鋒槍)的公司Auto-Ordance後,持續製造相關槍械。S公司並取得了Tommy Gun商標權,此商標從1920年就開始持續被使用。   AC公司則為一家酒類製造商,其推出兩款伏特加,一款為酒瓶上貼有Tommy Gun字樣,一款為酒瓶本身形狀即為Tommy Gun樣式。雖然尚未確定AC公司製造的Tommy Gun兩款伏特加是否已經對外販售或是否目前仍持續販售,但仍可於其官網搜尋到商品相關資訊。   AC公司製造販售Tommy Gun伏特加的行為引來S公司強力捍衛商標地盤的積極維權行動。根據S公司的起訴書,其共提起10項訴因(cause of action),包含商標侵權、商標淡化、錯誤指示商品來源、商業表徵(trade dress)侵權、詐欺商業交易、不公平競爭等。S公司主張AC公司的行為對其造成無法弭補的損害(irreparable harm),請求法院發出永久禁制令(permanent injunction)禁止AC公司製造及販售Tommy Gun伏特加,並支付損害賠償額及律師費用。此外,S公司更進一步要求法院判決AC公司應將所有庫存的Tommy Gun伏特加交由S公司進行銷毀。   而事實上,S公司主動捍衛Tommy Gun商標權的行為已非頭一遭,其於今年初對一家販售Tommy Gun複刻品玩具槍的公司提告,並於2011年對一家類似玩具槍製造公司提起相關商標侵權訴訟。甚至早於2008年,對一家販售Tommy Gun復刻品的公司提起訴訟維護商標權。   在S公司大動作保護Tommy Gun商標權的持續攻勢下,相信對於之後欲以Tommy Gun為名販售相關產品的公司將產生警示作用。

美國音樂授權平台營運觀察─以BMI為例

美國音樂授權平台營運觀察─以BMI為例 資策會科技法律研究所 法律研究員 丘瀚文 104年10月22日 壹、前言   我國著作權法採「創作保護主義」[1],於著作完成之時,立即取得著作權保護,惟亦因如此,實務上難以證明何人為著作權人,常使利用人鋌而走險非法使用著作,使我國著作權流通、發展受到限制。如何讓著作人可以安心授權著作、利用人得以透過合法授權管道,簡單的取得授權,國外已有透過建立著作權授權平台來解決問題的先行實例。本文為研析我國著作權授權平台可行之營運方式、授權契約、費用計算方式,故觀察分析美國第二大音樂授權平台Broadcast Music Inc.(以下簡稱BMI),之特色,希望對我國著作權授權平台建立,有所助益。 貳、BMI音樂授權平台介紹 一、BMI音樂授權平台介紹   American Society of Composers Authors and Publishers(以下簡稱ASCAP)是美國最大的音樂授權平台,自1914年成立以來,凡是以公開播放方式利用音樂著作皆須向ASCAP支付授權費用,長久壟斷音樂授權市場[2]。在1940年ASCAP大幅提高授權費用後,以美國廣播協會為首廣播業者,為了因應ASCAP之調整價格,便聯合了500多家廣播公司自行組織了BMI進行抵抗,並蒐集大量非ASCAP管理之音樂供廣播業者利用,但由於後續運作獲得許多利潤,因而繼續經營。   美國司法部於1941年對ASCAP提出反托拉斯訴訟,結果達成和解,之後又於2001年司法部再度與ASCAP達成協議,完成了第二最終修正裁判(Second Amended Final Judgement),該協議讓司法部得藉司法監督,去控制ASCAP授權音樂費率於一定額度內,使BMI跟ASCAP能維持競爭關係。上開原因使BMI能慢慢發展成美國第二大音樂授權團體。 二、BMI授權方式觀察   BMI授權方式分為兩種,一為非即時性授權契約,其提供著作利用人定型化授權契約,但需經由傳真、客服確認時間,故不具有授權即時性;此一類型又區分為概括授權和單一節目授權兩種形式;二為即時性線上授權契約,利用BMI自行創設之數位授權中心,經線上填入資料、金融轉帳後,即可立即獲得授權,惟目前依網頁介紹觀察,授權對象僅限網站[3]。下列即分述兩種授權方式。 (一)非即時性授權契約   BMI非即時性授權契約分為媒體授權合約(Media Licensing)和一般授權契約(General Licensing)等兩大類型,媒體授權合約主要以公開播放業者為授權交易對象,並區分概括授權與個別節目授權;概括授權即繳納年費後不限次數使用,而個別節目授權則限定特定節目使用,如需在其他節目使用則需另外繳納授權費。   一般授權契約對象則多是廣播以外其他行業,如遊樂園、舞廳、餐廳、政府機關、健身俱樂部、手機…等,其使用授權費率皆不同,利用人填入行業內容後,該授權系統會線上提供與該行業相關授權契約內容供利用人參考,利用人填寫後可上傳至BMI管理中心即可完成授權作業[4]。不過亦非所有行業BMI均提供授權契約範本,仍有部分如餐館等,尚需使用人自行連絡BMI代理人方得進行授權。   以零售商(Retail Establishments)為例,本文登入BMI授權系統,並點選「Apply for License」按鈕,即出現下載授權契約選項,其內容包含[5]:有人對使用方提出訴訟,其訴訟標的關於BMI所提供授權服務,BMI將會負責損害賠償部分。使用人若想結束或轉讓生意,應於30日email至licensing @bmi.com,BMI會將授權金額重新計算,並寄送於使用人。   費用計算上BMI對每個行業皆有不同「計算基準」,據此計算出授權費用。例如零售商是以「場地大小」為計算基準;2000平方英呎以下零售商撥放一般音樂,授權費用為一年為227.6美元,播放具有視覺性音樂(MV),授權費用為一年307美元。計算基準是隨行業不同而有所變化,例如健身房則與零售商相異,其一年最少費用為311美元,費率亦非以「場地大小」單價計算,而是用「會員數量」作計算基準,並區分音樂是否使用於健身課程,而有不同費率;用於健身課程則一個會員0.279美元,非用於健身課程則一個會員0.195美元[6]。   最後,申請人應將此一表格掃描後做成電子檔,並藉由BMI網頁的上傳功能,上傳至BMI管理中心,中心審核後並確認匯款無誤,即會通知申請人開放授權[7]。 (二)即時性線上授權   BMI即時性線上授權是透過「數位授權中心」(Digital Licensing Center)進行,和非即時性一般授權契約不同,著作利用人只須登入該系統,線上填妥相關利用資訊,並以信用卡、線上轉帳等方式給付授權費用,即得線上完成與BMI締結授權契約程序。BMI將此一授權方式簡化為線上處理,避免授權契約雙方往返溝通繁雜手續,並具有即時性,是更為便利的交易模式。 x數位授權中心有兩種計價方式,總收入計算法與網頁流量計算法。總收入計算法是將網站一定比例收入計算為音樂授權金額。網頁流量計算法則是依據網頁上的流量為基準計算音樂授權金額[8]。而BMI將網站使用區分為三類:1.音樂網站2企業網站3.非營利網站,三者會讓使用者選擇計價方式不同。   舉例來說,企業網站、非營利網站關於音樂使用,其音樂使用與網站業務目的無關,音樂使用僅為提升形象,故不宜使用總收入計算法,應採網頁流量計算方式會較為節省[9]。簡言之,音樂使用與網站業務目的相關,則多使用總收入計算法,使用音樂與網站業務目的無關,則多使用網頁流量計算法。而網站可對財政報告進行分析,並選擇最經濟的方案,並可在一年中進行四次的變更,以符合網站商業運作模式。 參、結論   藉由觀察國外著作權平台授權方式並參考營運模式,對於我國類似平台建置營運提出三點或許可以借鏡之建議: 一、依行業區分不同授權標準   BMI之授權契約多樣化,並以行業做為區分標準,滿足不同需求,此區分各種行業不同收費方式,值得借鏡。例如廣播業者與零售商播放音樂軟體,使用權利雖可能皆為公開播送權,但播放時間、地點、影響程度可能皆不相同,如一律依使用權利態樣定收費標準,似有失公平,應可參考BMI以行業區分授權契約種類模式。 二、即時性線上授權   BMI將授權契約區分為即時性授權契約與非即時性授權契約,而即時授權對於使用人而言,較為方便,我國則可考慮以即時線上授權為基礎,並將對象擴張至一般行業皆能運用。 三、費用計算方式   BMI即時線上授權收費方式區分為總收入計算法與網頁流量計算,在授權對象為網站時,給予多重選擇,例如使用者為一般網站時,網頁流量計算法是對其比較有利的。這種費用的計算方法,讓使用人可依據網站業務不同,選擇利益最大化之優點,增加了使用人使用平台誘因,故此方式值得借鏡。   綜上,BMI之授權方式與契約內容、經營方式有獨到之處,可成為我國著作權平台建立之參考範本,使著作得以順利流通,促進我國產業發展。惟各式授權契約擬定,除有賴大量契約範本蒐集方得完善,授權費用如何設定仍是未來類似平台建置營運必須透過交易經驗與資料統計分析始能克服之難題。 [1] 著作權法第10條:著作人於著作完成時享有著作權。 [2] Music Licensing History,National Religious Broadcasters Music License Committee,http://www.nrbmlc.com/music-licensing/music-licensing-history(last visited Sep. 8, 2015). [3] BMI,https://apps.bmi.com/licensing/nmwebsite.jsf(last visited Aug. 12, 2015). [4] Musuc Users,BMI,http://www.bmi.com/licensing(last visited Aug. 12, 2015). [5] Music License For Retail Establishments,BMI,http://www.bmi.com/forms/licensing/gl/rtl.pdf (last visited Sep. 12, 2015). [6] Music License For Fitness,Clubs,BMI, http://www.bmi.com/forms/licensing/gl/fit1.pdf,(last visited Sep. 8, 2015). [7] BMI,http://www.bmi.com/digital_licensing(last visited Sep. 8, 2015). [8] 例如來站人次、瀏覽人數。 [9] BMI,http://www.bmi.com/digital_licensing(last visited Aug. 11, 2015).

TOP