歐盟發布新版「向第三國傳輸個人資料標準契約條款」
歐盟執委會以(EU)2021/914號執行決定(Implementing Decision)所發布的新版「向第三國傳輸個人資料標準契約條款(New Standard Contractual Clause for the transfer of personal data to third countries,下稱SCC)」已於9月27日起正式取代舊版條款。
新SCC發布於2021年6月27日,旨在滿足歐盟法院(the Court of Justice of the European Union, CJEU)以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分(substantially sufficient)」標準。該版SCC為因應不同情境之跨境資料傳輸,而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者(控制者與接收者)依循參採,包括:
- 規範模組一:從資料控制者(Data Controller)到資料控制者的資訊傳輸(Transfer from controller to controller, C2C)
- 規範模組二:從資料控制者到資料處理者(Data Processor)的資料傳輸(Transfer from controller to processor, C2P)
- 規範模組三:從資料處理者到資料處理者的資料傳輸(Transfer from processor to processor, P2P)
- 規範模組四:從資料處理者到資料控制者的資料傳輸(Transfer from processor to controller, P2C)
本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整:雖然舊版已於2021年9月27日廢止不再適用,原已適用舊版SCC之契約,至遲仍得實施至2022年12月27日止。(亦即新版SCC公佈後的18個月內)。
在此執行決定下,歐洲資料保護委員會 (European Data Protection Board)亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)」釐清GDPR「傳輸影響評估(Transmission Impact Assessment, TIA)之機制流程 。
隨著資通科技之快速崛起跨境個資傳輸已成為企業常態,而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別,其中全球航運和物流公司在全球範圍內傳輸個資,其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態,應儘速因應相關法制之發展,解決全球範圍內快速發展的隱私合規問題。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳文葳
法律研究員 編譯整理
European Commission, Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance) C/2021/3972, June 4, 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en (last visited Nov. 2, 2021).
孫鈺婷,〈資料中介者於資料共享應用之實踐-以歐洲資料治理規則草案為例〉,2021年10月,科技法律透析,第33卷第10期。
延續本中心前幾期對於法國國會於今年5月所通過的「支持網路創作傳佈及保護法」(loi favorisant la diffusion et la protection de la création sur Internet,簡稱loi création et internet;又因該法中特別設立所謂的「網路著作散佈及權利保護高等署」(Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet,通常簡稱HADOPI)作為執行本法相關任務之獨立行政機關(autorité administrative indépendante),故本法又被稱為HADOPI法)中相關議題的報導,本次將簡要介紹法國憲法委員會(Conseil constitutionnel)於今年6月10日所作出(Décision n° 2009-580 DC du 10 juin 2009)對於該法所制定「三振條款」認定違憲之理由。 在進入憲法委員會此一決定前,須先說明HADOPI法的性質:依據本法第1條及第2條之指示,此一法律主要係修正及增補「法國智慧財產權法典」(Code de la propriété intellectuelle)之相關規定,特別是透過電子及網路傳輸之著作物(œuvres)的保護措施,並將原法典中「技術措施管理署」(l'Autorité de régulation des mesures techniques)更改為前述之「高等署」,並透過調整權限及組織內容之方式,賦予其「獨立行政機關」之地位─而特別值得注意的,則是此一獨立行政機關的9位委員中亦包括由中央行政法院(Conseil d'État)、法國最高法院(或稱「廢棄法院」;Cour de cassation )、審計法院(Cour des comptes)等指派之成員。而所謂的「三振條款」,即是本法第5條(亦為增補後之智慧財產權法典第L. 331-25〜331-27條、)中所規定之:如網路用戶於接獲兩次由HADOPI所寄發之「違反勸阻通知」(recommandation)後依然違反智慧財產權法典第L. 336-3條所賦予之義務(禁止透過網路傳送服務對於受著作權及其他相近權利保護之著作進行非法複製、再現等;最常見之形式即為非法下載)時,HADOPI即可在進行「對辯程序」(procédure contradictoire,包括事前通知、卷宗閱覽、書面陳述意見,以致若經當事人要求須進行有律師或輔佐人陪同之正式聽證程序)後,對其進行裁罰(sanctions),最長可處使用者全面中斷(suspension)一年的網路服務。 因此,在法國憲法委員會對於此一法案的審議中,其關注重點即落在對於HADOPI是否可做出此種對於網路服務使用者進行中斷服務的裁罰之上。而主要基於2項理由,憲法委員會認為此一裁罰違反憲法: 1.此一中斷服務之裁罰雖可視為係達成此一法律任務所必要之措施,但因其涉及限制人民之自由及權利,故其實具有刑罰(punition)之性質;從而依據權力分立原則,能夠享有判斷並做出此一裁罰決定之權限者,僅為法院,而非行政機關。 2.而就算強調此一裁罰係由包含司法部門成員的獨立行政機關所做成,其依然違反了憲法前言、1789年法國人權及公民權宣言中所指涉及保護的基本權利,其中包括宣言第9條的「無罪推定」,以及在本案中具備決定性之宣言第11條「思想及意見自由傳達」的權利:因為在現代民主社會發展中,使用傳播工具及網路服務已是實現此一自由所不可或缺者;從而政府中斷網路服務之裁罰行為本身,已損及人民接近使用網路服務的基本權利。 然而,儘管法國憲法委員會在其決定中否認了HADOPI法中「三振條款」的合憲性,但因除去此一部份違憲條文外,整體HADOPI法仍通過了本次的憲法考驗,且HADOPI此一機關本身之正當性亦藉此取得確定。從而,HADOPI於後續實際案例中將會如何解釋適用此一法律,顯然是日後必須持續關心的重要議題。
專利連結(Patent Linkage)-藥品研發與競爭之阻力或助力? - 談藥品查驗登記程序與專利權利狀態連結之發展 德國交通部與歐洲道路安全資料工作組簽署多方協議,透過車聯網分享交通狀況資料以提升道路安全德國聯邦交通及數位基礎設施部(Bundesministerium für Verkehr und digitale Infrastruktur, BMVI)於2020年12月2日公布與道路安全資料工作組(Data Task Force for Road Safety)成員簽署多方協議,以促進交通資料於道路維運單位、聯網車、智慧基礎設施間傳輸交換,進而透過最新技術識別道路危險狀況,以提升交通安全。 道路安全資料工作組係由歐盟成員國、車輛製造商、相關應用服務提供商所組成的公私合營夥伴關係,其任務為透過政府與產業相關利益者之合作,促進道路安全性資料可跨品牌和跨國界共享,並於公平可靠的合作夥伴關係下,促進公平競爭。 而在多方協議中,歐盟成員國,道路交通管理單位,汽車製造商和供應商以及地圖服務提供商等成員,承諾進行長期資料交換,並於協議中定義如何在安全相關交通資訊(Safety Related Traffic Information, SRTI)生態系統內,以公平、可靠的方式近用相關資料,並規定合作夥伴於SRTI價值鏈中應扮演的角色與責任,和透過分享安全相關的的資料,進而提供安全性服務。而在簽署本協議前,已成功完成可行性研究,在2019年6月至2020年10月間,不斷地測試SRTI系統並交換共數百萬筆資料,包括危險事故現場、暫時性濕滑路面、視野受限、特殊天候狀況等資訊。而在初步測試報告指出,透過上述資料交換,可發出相關危險交通狀況警告,能迅速有效因應各狀況作出適當的決策。
英國資訊委員辦公室(ICO)發布當事人近用請求權實務準則英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2013年8月8日發布當事人近用請求權實務準則(subject access code of practice),以協助資料控制者遵循1998年資料保護法(Data Protection Act 1998,DPA)有關當事人行使近用權(access right)之規定。 根據DPA,任何資料主體都有權利接觸、查詢其被資料控制者擁有之個人資料,即當事人向資料控制者請求近用其個人資料之權利。當事人近用請求權實務準則闡明資料主體的查閱請求權、製給複製本請求權等權利,與資料控制者回應當事人近用請求權的責任,該項權利允許當事人查詢其信用卡紀錄、健康紀錄等資料,資料控制者一旦收到當事人請求,必需於40天內回覆。 ICO同時發布10項簡易步驟,以協助資料控制者衡量回應當事人近用請求權。內容包括:1.確認當事人提出之請求是否為當事人近用請求權;2.確保有足夠資訊可識別請求者的身分;3.若需要更多資訊以釐清請求者之需求,立即向請求者提出;4.若需收費,及時向請求者提出;5.確認是否有請求者需求的資訊;6.即使紀錄不正確或令人尷尬,都不要試圖更改該紀錄;7.衡量紀錄中是否含有他人資訊;8.確認是否有提供資訊之義務;9.確認能解釋資訊中的複雜名詞;10.於適當的情形下,永久保存回覆當事人資訊的副本。 這項實務準則將協助資料控制者更即時且有效地處理當事人對其資料近用請求之相關事項,同時證明資料控制者係以公開且透明之方式妥善管理其所蒐集之顧客資料。