歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
美國國會能源及商業委員會( Energy and Commerce Committee )於 2006 年 3 月 8 日 透過匿名表決的方式,通過「防止詐欺取得通聯記錄法」草案( Prevention of Fraudulent Access to Phone Records Act ),希望透過立法的方式保障消費者之隱私權,並要求電信公司加強保護消費者之通聯記錄。由於各黨派對本法案已有共識,故預計於近期排入國會議程後,順利完成立法。 根據美國國會議員 Joe Barton 表示,美國目前對於電話通聯記錄的取得並未進行規範,任何人均可輕易的透過網路購得相關資料。由於通聯記錄中往往包含許多個人之隱私或是敏感性資料,部分不肖之徒(如身份竊盜者、非法的個人資料販賣商)會藉此故意取得個人通聯記錄,以窺探隱私,甚或以此進行犯罪行為。 有鑑於此,美國計畫透過本法案,嚴格禁止以詐騙方式取得電話記錄的情形,並賦予聯邦公平交易委員會( Federal Trade Commission )有權對違反本法規定者進行民事處罰。此外,本法案亦要求電信業者必須符合本法規定之資料安全保護的要求,若違反本法之規定而造成損害,單一案件得處以最高 30 萬元之罰鍰,若為多重案件,則得處以 10 萬元以上 300 萬元以下之罰鍰。
FCC建議調整普及服務基金以推動寬頻建設美國聯邦通訊委員會(The Federal Communications Commission, FCC)擬於3月17日向國會提出未來的國家寬頻計畫,並預計於2012年開始,調整目前用來補助電話服務的普及服務基金(Universal Service Fund),以推動高速網際網路。 美國普及服務基金的建立,原本是用以確保所有美國居民接取基本的電話網路。依目前的普及服務基金計畫,除了補助低收入居民電話服務、學校與圖書館的網際網路接取,與鄉間醫療單位的高速網路連結之外,最主要部份是對於由民營事業建設網路不符經濟效益的偏遠鄉區提供電話服務;此部份基金的預算是來自電信業者跨州與國際長途電話收益之稅收,於2010年達約為80億美元,未來將轉作推動寬頻網路之用,至於普及服務基金中的其他部份,則將繼續維持。 在FCC的計畫中,不僅在普及服務基金下設立連結美國基金(Connect America Fund)來補助寬頻服務,並將設立行動基金(Mobility Fund)發展3G無線網路。另外,FCC預計向國會提出的計畫包含多項選擇,包括在不要求國會另行增加預算下,達成在2020年99%美國家戶接取寬頻之目標,以及經由國會同意於未來三年投入額外的90億美元,以加速寬頻網路建設等方案。
美國通過「智慧財產資源及機構優先法案」,強化打擊侵權力道2008年9月26日美國國會通過「智慧財產資源及機構優先法案」(the Prioritizing Resources and Organization for Intellectual Property Act, PRO-IP Act),該法案的內容將加強跨單位合作與國際間打擊仿冒、盜版之動作,例如增加主管機關可沒收或扣押侵害著作權相關物品的權力等,以遏止日益增加之侵權案件。 在10月13日的時候,美國總統布希終於簽署PRO-IP法案。其中特別的是,該法案增設一個行政部門:「智慧財產執行協調官」(Intellectual Property Enforcement Coordinator, IPEC),IPEC可掌控與管理美國境內各行政機關之智慧財產保護措施,並直接向總統報告。一般預料布希總統雖簽署該法案,但應該不會在其任內發布任何命令,而會將IPEC之人事任命權留給下一任總統。 許多人對PRO-IP法案的通過仍存有疑慮,例如:設立IPEC的功能不明,且有疊床架屋之嫌。但美國唱片業協會(RIAA)卻十分支持該法案,其認為有助於保護美國的智慧財產,RIAA引用最近的調查報告指出,全球智慧財產仿冒、盜版等行為讓美國一年損失580億美元及37萬份以上的工作機會,並讓美國勞工損失160億美元的收入,故RIAA認為通過該法案可以減緩此一損害。
瑞士聯邦委員會發布氣候揭露規則,規範企業非財務資訊揭露義務標準瑞士聯邦委員會(The Swiss Federal Council)於2022年11月23日發布氣候揭露規則(L'ordonnance relative au rapport sur les questions climatiques),旨在補充《瑞士債法典》(Code des Obligations)企業非財務資訊揭露義務之標準,要求瑞士大型企業呈現明確、可供比較的氣候資訊,並於2024年1月1日起生效。 依照《瑞士債法典》第32章第6節「非財務事項之透明度(Transparency on Non-Financial Matters)」規定,擁有500位以上員工,且資產負債表總額為2000萬瑞士法郎以上或營業額超過4000萬瑞士法郎之上市公司、銀行和保險公司(下稱大型企業)每年應揭露非財務資訊。氣候揭露規則就此進一步補充該章節的內容,要求大型企業依照國際公認標準揭露氣候資訊,要點如下: (1)明定包括氣候對大型企業造成的影響與企業活動對氣候造成的影響在內的資訊,皆應於大型企業的非財務資訊報告中公布。 (2)將氣候相關財務揭露工作小組(Task Force on Climate-related Financial Disclosure, TCFD)公布之「TCFD建議書(Recommendations of the Task Force on Climate-related Financial Disclosures)」與附件「TCFD建議書之實施(Implementing the Recommendations of the Task Force on Climate-related Financial Disclosures)」納為瑞士大型企業氣候揭露標準,包括治理、戰略、風險管理及關鍵指標與目標四項主題,並應留意建議書「適用所有部門(all-sectors)」與「個別部門(certain sectors)」之指引。 (3)如未依規定揭露者,則應說明其遵循氣候揭露義務的其他方式,或說明無須遵循的正當理由。