歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
菲律賓於今(2015)年05月13日發布共乘服務(如:Uber)新法令,成為全球第一個針對以APP招車及相關營運進行明確具體規範的國家。在該法令規範之下,車齡在七年以下之私人轎車、休旅車及小貨車得經如「優步」(Uber)或GrabCar等共乘服務公司之認證合格後參與營運。 菲律賓交通部長阿巴亞(Joseph Emilio Abaya)說明,根據全球資料庫 “Numbeo”公司之調查研究,由於首都馬尼拉(東南亞第二壅塞,僅次於印尼首都雅加達的城市)缺乏足夠的大眾運輸工具,故共乘服務有其需求及必要性。 「我們不應將共乘服務視為傳統計程車產業的損害者,而應該認為它可以提供更優質的服務、同時迫使傳統業者現代化及革新。」阿巴亞在本週就該規範即將施行的簡報中如此闡述。 總部設立於美國的「優步」(Uber),係全球最具價值之風險投資新創公司,估計市值400億美元。關於優步如何支付駕駛報酬、向乘客收取車資費用並確保其安全、以及違反交通法令規範等層面,業已在全球面臨諸多法律挑戰。共乘服務運用科技來連結市民利用其自有私家車與欲搭乘車輛之消費者,而傳統計程車經營者之忿怒則在於其毋須支付許可(執照)費、也毋須遵守當地相關規範。 優步考量到馬尼拉人口達1,500萬之眾,因此預期菲律賓將會是有利可圖的市場。優步菲律賓總經理Laurence Cua於接受路透社(Reuters)訪問時表示:「此次修法,係將消費者的安全置於優先考量,亦認同如優步這類型公司之價值,以及其運用科技改善城市運輸品質之能力。」 然而優步及其他同類公司發現:要在經濟快速成長的東南亞經營,未必是一件輕而易舉的事情。傳統計程車業者揚言要控告政府,以促其保護在馬尼拉攬客維生的27,000部計程車。 「世界各地政府均瞭解計程車業者投資多少於經營,卻僅有菲律賓的業者未受保護。」菲律賓全國計程車駕駛協會主席Jesus Manuel Suntay對路透社如是說。 根據日本獨立行政法人國際協力機構估計,馬尼拉因交通阻塞,每日生產力損失的價值高達5,700萬美元之譜。
美國國會通過《2022年保護美國智慧財產法》,加強營業秘密保護力道美國國會於2022年12月22日通過《2022年保護美國智慧財產法》(Protecting American Intellectual Property Act of 2022),經美國總統拜登(Joe Biden)於2023年1月5日簽署後正式生效。鑒於近年來美國營業秘密外洩事件頻傳,中國大陸和駭客透過各類方式竊取美國的智慧財產,對美國的經濟和國家安全產生重大危害。因此,共和黨參議員Ben Sasse與民主黨參議員Chris Van Hollen於2020年6月共同提出本法,並於2021年4月提出修正版本,期待美國政府進一步採取保護美國營業秘密的具體措施。 本法授權美國政府對涉及營業秘密重大竊盜的外國人及外國實體(foreign entity)實施制裁。重點包含: 1.要求美國總統每年應向國會提出報告,且第一份報告應於本法正式施行後6個月內提出,報告應列出符合以下條件之外國人、外國實體名稱及外國實體的執行長或董事會成員: (1)故意竊取美國營業秘密,且其行為很可能或已經對美國國家安全、外交、經濟、金融構成重大威脅者; (2)對上述故意竊取美國營業秘密之行為提供重要的財務、物質、技術、商品、服務等支援,或從中獲得利益者。 2.實施制裁 (1)針對外國實體,本法授權美國政府得實施的制裁手段有12項,包含根據國際緊急經濟權力法(International Emergency Economic Powers Act)凍結其資產、將該實體列入美國商務部的出口管制名單(Entity List)、禁止美國金融機構對該實體提供貸款、拒絕向該實體採購、禁止該實體的外匯交易、禁止美國人投資該實體的股票或債券、限制該實體成員入境、將該實體成員驅逐出境等。美國總統應針對名單中的對象實施至少5項制裁,並可對該外國實體之高層實施上述制裁。 (2)針對外國人,制裁手段包含凍結資產、拒絕入境、撤銷簽證等 3.豁免 總統若認為符合美國國家利益,得豁免對外國人及外國實體之制裁,但應於15天內向國會提交豁免的理由。 本法施行後,美國除了既有的《保護營業秘密法》(Defend Trade Secrets Act of 2016)外,將透過上述的制裁手段強化營業秘密的保護力道。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國衛生部門公布個人健康資訊外洩責任實施綱領美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。 本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。 HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。 HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。 值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
防制洗錢金融行動工作組織針對虛擬資產與其服務提供業者發布進一步監理指引防制洗錢金融行動工作組織(Financial Action Task Force on Money Laundering, FATF)為因應虛擬資產(Virtual Assets)對於打擊洗錢與資恐主義措施所帶來的衝擊,協助各國建立可供遵循的一致性標準,於2018年10月修改FATF建議書(The FATF Recommendations),定義「虛擬資產」與「虛擬資產服務提供業者」(Virtual Asset Service Providers, VASPs),將其納入國際洗錢防制之範疇。 為使各國監管機關依據FATF相關建議,正確評估與降低虛擬資產與VASPs所可能涉及的洗錢與資恐風險,有效進行管理並建立公平競爭的虛擬資產產業體系,FATF於2019年6月21日,針對建議書中第15點-新科技所可能隱藏的洗錢隱憂,加入解釋性說明,列出FATF對於虛擬資產和VASPs的應用標準,包含建議監管機關採取註冊或許可制度,以利進行監督與審查,而非透過自律組織方式進行督導,並與他國進行國際合作。以及為防止不法份子與其同夥擁有對VASPs的控股權(controlling interest)或管理職能(management function),各國主管機關須採取必要的法律或監管措施。另監管機構應有足夠權力監督並確保VASP遵守打擊洗錢和恐怖主義融資的要求,包括進行檢查,強制公開資訊和實施金融制裁。 FATF同時公布「虛擬資產與虛擬資產服務商之風險基礎指引」(Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers),指導各司法管轄區如何應用風險基礎方法,針對虛擬資產相關活動與服務商,進行洗錢與資恐防制。相關主管機構在進行風險評估時,應考量特定的虛擬資產類型或VASP活動,了解其具體架構與運作在金融體系和國家經濟的作用,以及對洗錢與資恐防制的影響,將類似風險的產品或服務應用類似的監理原則處理,並針對虛擬資產的匿名性加強客戶識別機制。隨著VASP活動發展,主管機關亦應審視其他監管措施(如消費者保護、資訊安全、稅務等)與洗錢與資恐防制之間的關聯,進行短期與長期的政策擬定,以制定全面性的監管框架。 FATF預計於2020年6月開始啟動上述新審查機制,為期12個月,檢視各國對於前述具體要求之落實情況。以及持續與民間企業合作,共同探討虛擬資產的基礎技術、使用類型、相關業務模式。