歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
美國聯邦通訊委員會(Federal Communications Commission, FCC)自2010年推動「國家寬頻計畫」(National Broadband Plan)以來,即進行多項寬頻建設,使民眾於生活、工作及旅行途中,都能享受到行動寬頻網路與語音服務。而FCC於2012年2月規劃利用原普及服務基金(Universal Service Fund)下的行動通信基金(Mobility Fund)(兩者於2011年底均已劃入連接美國基金“Connect America Fund”)提撥出3億美金,一次性的提供業者於訊號未涵蓋區域進行3G網路基礎建設,並在未來三年內提供5億美金以供業者持續營運。 FCC預計於2012年9月2日,以反向拍賣(reverse auction)方式進行。由業者提出佈建方案、使用技術,並證明在競標區域內擁有足夠頻譜與建設能力,方能進入投標,最後由需要補助最少之業者得標。FCC希望利用此方式能促進市場競爭,使業者提出更積極之佈建方案。得標業者除獲得建設與營運補助外,並能為商用經營。本次拍賣將與其他頻譜執照拍賣方式類似,但就細部拍賣規則,將徵詢公眾意見後做出決定。 而為避免補助區域與已有3G訊號區域重疊,FCC就無3G訊號涵蓋區域繪製全國地圖,並公佈予投標者參考。原規劃區域為491,000區,但因過於狹小恐難以經營,故合併後為6,200區供業者競標。得標者負有義務必須於兩年之內於標得區域內完成3G網路佈建,或於3年內完成4G建設。
人工智慧即服務(AI as a Service, AIaaS)人工智慧即服務(AIaaS)之定義為由第三方提供人工智慧(AI)外包服務,其可使個人和公司基於各種目的進行AI相關實驗,同時毋須於初期即大規模投資或承受高度風險。著名之四大AIaaS供應商為Amazon AWS雲端運算服務、Microsoft Azure 雲端運算平台與服務、Google雲服務、以及IBM雲服務。 AIaaS之優點主要有:(1)降低成本:一般公司無須投資軟體、硬體、人員、維護成本以及不同任務之修改成本,AIaaS供應商可供應不同之硬體或機器學習供公司嘗試運用。(2)即用性:AIaaS供應商提供之AI服務為即用性,無須太多專家介入修改即可使用。(3)可擴展性:可由較小之項目開始試驗,逐步擴張調整服務,因此具有戰略靈活性。然而,AIaaS亦有以下潛在缺點:(1)降低安全性:公司必須交付大量資料給AIaaS供應商,因此資料之機密保護與預防竄改即為重要。(2)增加依賴度:若發生問題時,必須等待AIaaS供應商進行處理。(3)降低透明度:由於是即用性之AI服務,對於內部演算法之運作則屬於未知之黑盒子領域。(4)限制創新:因AIaaS供應商所供應之AI服務需一定程度之標準化,因此限制公司創新發展之可能。
日本總務省展現電信產業改革決心,提出「電信創生計畫」日本總務省於2014年10月31日公布了「電信創生計畫(モバイル創生プラン)宣示其對電信產業改革之決心。鑒於智慧型手機已成為日本國民生活中不可或缺的一環,加上以智慧型手機為行動中心,另結合可攜式裝置、機器間通信(Machine to Machine, M2M)及智慧聯網(Internet of Things, IoT)技術之普及,電信產業將會廣泛地影響社會整體之經濟活動,因此總務省喊出了「更自由、更貼近、更快速、更便利」的政策口號。 首先在自由化的部分,總務省於本月宣布了自明年2015年5月開始,日本將全面解除「SIM卡解鎖限制」,未來電信用戶將可以自由地帶機或攜碼,移轉到通信費率更適合自己的電信業者,並同時展開「SIM卡解鎖指南」(SIMロック解除に関するガイドライン)改正案之意見募集。未來,電信業者有義務為提出需求的消費者進行解鎖,此外,若無任何理由予以回絕,將會受「電氣通信事業法」下授權之業務改善命令之約束。然而,對於消費者而言,若有尚未履行完畢之契約,亦應於繳交違約金後,才得以進行解鎖。 第二,為了使消費者能夠安心、安全地使用智慧型手機,日本政府開始積極推動虛擬行動網路(Mobile Virtual Network Operator, MVNO)之服務。所謂的MVNO係指通訊網路與服務分離之概念,業者本身無須擁有通訊網路,但須申請經營執照,並可向其他傳統電信業者(Mobile Network Operator, MNO)租用系統,經營自有品牌之行動通訊業務。因此日本政府為了盡快推行MVNO之服務,已開始與相關業者做系統整備之促進協議。 第三,為了使電信網路之傳輸更快速,除了持續推行3.5G網路外,自2016年將開始進行4G之商業化。最後在便利化之方面,鑒於未來之電信產業將會涵蓋更多樣化的服務,如自動更新導航地圖、提供居家安全服務等,因此日本政府認為,應透過法規制度之改善,給予電信業者於提供服務時,更友善之環境。除了已在近期開始促進,MVNO業者利用MNO業者之資訊管理資料庫協議外。並預計在下期國會提出之「電氣通信事業法」草案進行以下變更:(1)鬆綁對電信業者之規定,例如從促使業者跨界合作之角度,鬆綁不公平競爭之處理;(2)進一步推動電信業者(包括MNO跟MVNO等)費率之調降。 總務省預測,在整體政策同時推動之下,2016年相較2013年底,將增加約兩倍之MVNO契約(從670萬份倍增到1500萬份);而2016年,相關電信產業之規模將比現行之34.3兆日圓增至45兆日圓。
歐盟第七期研發綱要計畫定案,有條件支持幹細胞研究歐盟日前正在加緊腳步為第七期研發綱要計畫( R&D Framework 2007-2013 )之規劃定案,與此同時,歐盟研發經費究竟應該如何挹注也成為討論焦點。歐洲議會產業研究暨能源委員會( Industry, Research and Energy (ITRE) Committee )最近通過第七期研發綱要計畫的預算,預算額度雖然從原本規劃的 72 億歐元減至約 54.5 億歐元左右,但相較於第七期研發綱要計畫,該經費仍成長許多。 此外 ITRE 也決定,基於倫理考量,以下的科技研究領域將無法獲得歐盟補助:複製人、人類基因體的遺傳性改變( heritable modifications of the human genome )、為取得幹細胞進行研究而複製人類胚胎。與此同時, ITRE 也重申,歐盟經費可以用於補助人類幹細胞的研究,只要幹細胞的來源不是經由複製人類胚胎兒取得,但研究者必須切實遵守會員國之相關科技政策及法令規定,研究之進行並應依法予以嚴格審核。 ITRE 前述決定目前已提交歐洲議會討論,預計在六月底前歐洲議會即可就此表決。儘管歐盟希望未來在第七期的研發綱要計畫期間內,對幹細胞研究仍延續其目前所採的政策 -- 資助一部份的幹細胞研究但禁止使用複製的幹細胞進行研究(目前歐盟會員國中,僅英國、瑞典、比利時三會員國允許複製胚胎幹細胞),惟由於幹細胞研究議題甚為敏感,且 2004 年 5 月 1 日 新加入的東歐會員國,其大多數在歐洲議會的代表都是天主教徒,故而有關幹細胞研究的議題,恐怕仍有一場激辯。