歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
知識發展研究中心於今年2014年第二次發布整體中國大陸智慧財產權的發展指標數,該單位往後將持續觀察深入研究並提供報告指標,以反應中國大陸於專利、商標、著作權等智慧財產權的發展狀況,以利引導國家智慧財產權戰略實施,進一步強化推動國家於智慧財產權事業與科技創新研發發展。 報告顯示,中國大陸知識產權局綜合發展指數在2013年有增加趨勢,不論在創造、運用、保護或環境等四項發展指數上,皆有穩定成長趨勢。報告中除地區特徵顯示出智慧財產權的發展與完備外,穩定的數據更突顯整體智慧財產權環境的完善。從世界排名第一的受理發明專利申請82.5萬件、受理通過PCT提交國際專利申請案2.2924萬件、連續12年居世界第一受理商標註冊申請共188.15萬件,以及首度突破百件著作權登記案等,顯示出中國大陸在智慧財產權的整體保護與落實推動。 另外,中國大陸知識產權局不斷在擴大智慧財產權的保護,由2012年至2013年共提升了1.79,侵害假冒偽劣案件上,執法移送與審判起訴案件皆有所成長,顯示出中國大陸對智慧財產權的保護重視與落實。尤其,在整體智慧財產權環境提升與優化上,指標顯示出由2012年至2013年明顯上升5.97,主要是專責服務機構、人員購置的逐年增加與穩定成長之因,亦使智慧財產權整體環境營造有優化、加速與強化的提升。
冰島政府對英國同名Iceland Foods 採取法律行動冰島政府日前對自1970年成立至今,已擁有8百多間超市的英國連鎖食品超市「Iceland Foods」,向歐盟智慧財產局(European Union Intellectual Property Office)提起註冊無效之訴訟。該超市為創辦人Malcolm Walker)與南非投資集團Brait共同擁有,以銷售冷凍肉類、乳製品、乾貨及微波食品為主要業務。 冰島政府指稱英國Iceland Foods企業使用「Iceland」於歐洲註冊商標,而該文字商標含蓋範圍廣泛且定義模糊。多數冰島企業於商品或商標中使用英文「冰島」一詞,除與英國Iceland Foods無販賣相似性質之產品,也無存在競爭關係,但卻使冰島企業無法將(Iceland)做為產品之描述用。對此,Iceland Foods發出聲明希望冰島政府可以直接與Iceland Foods聯繫,並強調該企業以Iceland名稱經營已經46年,並不認為未來消費者或一般社會大眾在商標上會有混淆。 目前若要在歐洲的任一個國家獲得商標權的保護,可分別在不同的國家提出註冊申請或向歐盟內部市場協調局(The Office of Harmonization for the Internal Market,簡稱OHIM)提交歐盟商標申請(Community Trade Mark,簡稱CTM)。商標註冊申請人並不限於歐盟成員國的國民,而商標獲准註冊後即可在27個成員國內享有商標權的保護。
美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面: 一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且: 1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務: 1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。 2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。 3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
美國聯邦交通部公布自駕車4.0政策文件美國交通部(Department of Transportation)於2020年1月8日公布「確保美國於自動駕駛技術之領導地位:自駕車4.0」(Ensuring American Leadership in Automated Vehicle Technologies : Automated Vehicles 4.0)政策文件,提出三個核心原則及相對應的策略規劃: 一、 使用者與社會的保護: 整合自動駕駛技術之安全性,包括防堵對自駕車性能之詐欺或誤導行為,以強化民眾對此新興技術的信心。 與自駕車技術開發商、製造商及服務商合作,預防與降低惡意使用自動駕駛技術所造成的公共安全威脅及犯罪,如制定網路安全標準、於運輸系統之資料傳輸媒介及資料庫設計能夠防止、反應、偵測潛在或已知危險之可行作法。 要求製造商於設計和結合相關自動駕駛技術時,採取具整體風險考量之方式,以確保資料安全性與公眾隱私保護,特別是針對駕駛者與乘客,以及第三人資料存取、分享及使用。 支援與協助自動駕駛技術研發,並透過提供多樣化商品和服務,滿足消費者需求並增加自駕車的普及性,使國人能使用安全且能負擔的移動載具。 二、 保障市場效率: 採取靈活及技術中立政策,由大眾選擇具經濟及有效率的運輸方案。 透過相關智慧財產法規,保護相關技術,並持續推動經濟增長之政策及提升國內技術創新競爭力。 收集與研擬國內外法規資料,並使自動駕駛技術產品及服務能夠與國際標準接軌。 三、 促進與協調各方合作: 積極協調全國自動駕駛技術研究、法規和政策,以利有效運用各機構資源。 參考國際間自動駕駛技術標準及監理法規,並與各州政府及業界共同研擬與整合自動駕駛技術至現行運輸系統標準與相關法規。