美國與歐盟宣布跨大西洋資料保護框架
美國和歐盟執委會於2022年3月25日宣布將建立新的跨大西洋資料保護框架(Trans-Atlantic Data Privacy Framework),該框架將促進美國與歐洲之間的資料流通,並解決歐盟法院在2020年宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。
該框架是重新建立美國與歐盟兩地個人資料傳輸的一個重要法律機制。美國承諾將實施新措施,以確保訊號情報活動(signals intelligence activities)是在必要且合法的國家安全目標下進行,並且不得不成比例地影響對個人隱私和公民自由的保護。基此,美國承諾的新措施包含強化美國訊號情報活動的隱私及公民自由保障機制、建立獨立且具約束力的救濟措施,以及強化美國情報機構對現有訊號情報活動的程序且分層監督。對於歐盟公民而言,將有全新且高標準的規範來保護個人資料;而對於美歐間的民眾和企業而言,該框架將可促進資料持續流動,足以鞏固歐美兩地每年高達一兆美元的跨境貿易,並使各種規模的企業能夠在彼此的市場中競爭。
資料流通對於美歐雙方的經濟關係以及所有企業而言都至關重要。事實上,美國和歐洲之間的資料流通所創造的經濟價值高達7.1兆美元,高居世界首位。在此背景下,新的跨大西洋資料隱私框架將強化美國與歐盟雙方對隱私、資料保護、法治和整體國家安全的共同承諾,未來美國與歐盟雙方將依此框架持續推進雙方各自相關的法律規範。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖振宇
研究助理 編譯整理
WHITE HOUSE, Fact Sheet: FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework (Mar. 25, 2022), https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/ (last visited Mar. 27, 2022)
European Commission , EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield (Feb. 02, 2016), https://ec.europa.eu/commission/presscorner/detail/en/IP_16_216 (last visited Mar. 27, 2022)
美國食品藥物管理局(U.S. Food and drug administration, FDA)於2024年1月31日發布《品質管理系統法規最終規則》(Quality Management System Regulation(QMSR)Final Rule),主要內容為修改美國聯邦法規(Code of Federal Regulations, CFR)第21章第820條,品質系統規範(Quality System Regulation, QSR)中現行優良製造規範(Current Good Manufacturing Practice, cGMP, CGMP)內容,以降低美國國內法規與國際醫療器材品質管理系統標準ISO 13485的差異,達到減輕醫材製造商、進口商的監管負擔之效。 與美國QSR相比,ISO 13485對「風險」與「透明度」規範的要求更加嚴格,故此最終規則主要將QSR中風險管理與透明度的規範依照ISO 13485進行補足。並增修QSR中未出現於ISO 13485中或即將取代ISO 13485中同義的名詞或術語的定義,用以降低原先QSR與ISO 13485的差異。同時增設對記錄保存、標籤和資訊可追溯性要求等FDA認為ISO 13485未涵蓋完全的額外規定,用以完善整體規則完整性。 該最終規則預計於2026年2月2日正式實施。FDA預估此次修訂會有效降低醫材製造、進口商的潛在金錢與時間成本,FDA提供近3年的緩衝期,即希望相關工作人員與醫材製造商能熟悉並遵循新的QMSR。未來FDA會追蹤並評估是否應將ISO13485的變更納入QMSR中,以促進醫材監管的一致性,並為病人及時推出安全、有效且高品質的醫材。
美國國會議員提出「網路盾」草案美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
美國對於聯網環境中「關鍵基礎設施」之資訊安全議題展開行動面對境外網路安全的風險,美國歐巴馬總統於2013年2月12日,正式簽署「改善關鍵基礎設施之網路安全」行政命令(Executive Order 13636–Improving Critical Infrastructure Cyber security),據該行政命令第二款,將「關鍵基礎設施」定義為,「對於美國至關重要,而當其無法運作或遭受損害時,將削弱國家安全、經濟穩定、公共健康或安全之有形或虛擬系統或資產」,遂採取相對廣義之解釋。該行政命令第七款,亦指示美國商務部「國家標準技術研究所」(National Institute of Standard and Technology, NIST),將研議ㄧ個提升關鍵基礎設施資通訊安全之架構(Framework to Improve Critical Infrastructure Cybersecurity),將美國聯邦憲法所保障的企業商業機密、個人隱私權和公民自由等法益納入考量。 針對關鍵基礎設施引發重要之法制議題,美國副司法部長Mr. James M. Cole表示,由於關鍵基礎設施影響所及者,乃人民在法律下的權益,公部門政府將在該項議題上與私部門共同合作(partnership),且未來將研議通過立法途徑(legislation),將隱私權和公民權保護(the incorporation of privacy and civil liberties safeguards)納入關鍵基礎設施資通訊安全法制之全盤考量,相關趨勢殊值注意。
法國通過具爭議性的iTune法法國眾議院與參議院於 2006 年 06 月 30 日 通過倍受爭議的 iTune 法,其主要理念在闡述著作權法的設計應該要防止將音樂著作消費者侷限在僅能利用特定設備聽取音樂的藩籬中,而目前 iTunes 提供的音樂格式僅可利用 iPod 設備播放,明顯違反此一理念。 眾議院原先通過之條文要求歌曲必須可以在任何設備上播放,但此一規範受到蘋果公司反對,認為如此規定將降低音樂檔案的安全性,而造成「鼓勵盜版」的結果。參議院為此修改規範內容,於規定中設計小部分空間賦予廠商可以運用 DRM 技術限制音樂於特定設備播放之音調;且若廠商獲得著作權人 ( 唱片公司及著作人 ) 之同意,仍得限制特定音樂格式僅得於特定設備中播放 ( 如: iTunes 的情況 ) 。 社會主義與綠黨之國會議員目前正針對此一規範提出違憲主張,若該主張無法成立,法國將成為歐洲訂定此一規範之先驅,預料其他歐洲國家將可能跟隨法國之腳步進行規範,如此情勢可以從挪威消費者保護官晚近作出之決議,認為 DRM 技術已破壞競爭法則,必須加以修正,以及其他國家包括丹麥、瑞典之類似決議窺知一二。