新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。
隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點:
(1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版;
(2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等;
(3)說明生物特徵識別資料在個資法之義務及例外;
(4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。
該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。
2023年9月27日,韓國個人資訊保護委員會(Personal Information Protection Commission, PIPC)就《個人資料保護法》(Personal Information Protection Act, PIPA)執行命令之指引修正(Enforcement Decree Amendment Guide)草案展開諮詢,諮詢將持續至2023年11月30日為止。韓國於2023年3月修正個人資料保護法,該修正於2023年9月15日生效,而指引修正之目的即是協助各界能夠遵循新修法後的義務,因此該指引草案詳細說明了修法後有關資料蒐集、獲得當事人同意之條件、使用和提供存取要求等內容。最終版的指引預計將於2023年12月發布。 韓國個人資料保護法於2023年的修訂範圍廣泛,特別是關於跨領域和行業個人資料處理標準等,使得公私部門中的資料處理人員和資料隱私人員必須深入瞭解此些變化,以確保能遵守最新的法律規定。 修訂後的韓國個人資料保護法強調實際保障資料主體的權利,並調整網路和實體業務之間不一致的資料處理標準,藉以迎接全面的數位轉型。此次韓國個人資料保護法修正重點如下: 1.強調確保資料主體的權利,即使在緊急情況下蒐集或處理個人資料時仍須提供足夠的保護措施。 2.釐清並調整網路和實體業務的不明確或不一致的法規,例如資料外洩的報告和通知時限、蒐集和利用14歲以下兒童個人資料需要獲得法定監護人同意的要求,以及對違規行為實施行政處罰的標準等。 3.要求處理大量個人資料的公共機構需強化保護措施,包括應分析和檢查存取記錄、指定負責每個系統的管理員,以及通知使用公共系統未經授權存取個人資料的事件等。 4.跨境資料傳輸條件調整為可傳輸至保護程度與韓國相當的國家或地區;並調整處罰金額,防止處罰金額過高超出責任範圍。。 韓國PIPC主委表示,此次對韓國個人資料保護法的修訂,反映了對資料主體權利更強大保護的需求。同時,考慮到此次修法的變動較大,建議各領域從業人員皆須仔細確認相關法遵內容,PIPC將針對不同領域需求來量身定制說明活動,積極提高大眾對修訂後的《PIPA》內容的理解程度,以確保韓國個人資料保護法修正後的實施。
歐盟執委會提案將電子設備之充電連接埠統一為USB Type-C自2009年起,歐盟執委會(European Commission,下稱執委會)開始推動統一化歐盟境內手機及其他類似電子設備之充電器,以減少不必要的電子垃圾,並改善電子設備充電器規格紊亂所造成消費者的不便利。多年來,市面上充電連接埠的規格已從過去的三十多種減少為USB Type-C、USB micro-B以及Lightning三種規格。執委會更於今(2021)年9月23日提出《無線電設備指令》(Radio Equipment Directive, 2014/53/EU)增修條文提案,欲透過立法建立統一的充電解決方案,該提案包括: 1.統一充電連接埠 USB Type-C為所有智慧型手機、平板、相機以及耳機等電子設備的通用充電連接埠,一個USB Type-C充電器將能為各種廠牌的產品充電。 2.統一快速充電技術 防止各製造商無正當理由地限制充電速度,並確保電子設備在使用任何可相容的充電器時都能有相同的充電速度。 3.電子設備及充電器的分拆販售 防止消費者被迫購買不必要的充電器,並減少未使用的充電器數量,進而達成降低電子垃圾之目的。 4.提供消費者更多資訊 製造商應提供消費者其產品之充電性能相關資訊,以利消費者判斷其現有的充電器與該產品是否相容,該資訊亦有助於消費者為該產品選購相容的充電器。 此提案仍需待歐洲議會(European Parliament)及歐盟部長理事會(Council of the European Union)決議,若決議通過,製造商將有24個月的過渡期來調整產品設計。
日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。 日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。
美國基改動物法規研擬中基改動物的技術研發腳步雖不如植物快速,不過自1980年出現重大的技術突破後,基改動物的研發成果不斷產出,目前基改動物的研發方向以醫藥用途最多,其次像是環保、食用、抗氣候變遷等,均有相關的研究投入。隨著研發成果的累積,美國也開始構思基改動物的規範議題,2008年9月,美國FDA及APHIS分別就基改動物提出規範細節及資訊調查的公告。 由於美國並未對基改生物訂定管理專法,而是利用既有的法規體系來管理基因改造生物,而既有法規原各有其規範目的,因此如何從這些既有法規的規範目的出發,闡述其用來規範基改動物的適當連結,以及相關主管機關將如何運用既有法規來管理基改動物,便成為研議的重點。 目前FDA內的CVM(Center for Veterinary Medicine)已率先宣告其對基改動物的主管權限,並公告「基因重組動物管理之產業指導原則(草案)」(Draft Guidance for Industry on the Regulation of Genetically Engineered Animals)。FDA認為,由於轉殖進入基改動物體內的重組DNA構體(rDNA construct),已對動物本身的結構與功能(construct and function)產生影響,符合其依聯邦食品藥品及化妝品管理法(Federal Food, Drug, and Cosmetic Act)規定所稱之藥(drug)的定義,因此,FDA宣告其對所有的基改動物(精確來說是轉殖於其體內的重組DNA構體),將視以動物用新藥(new animal drug)管理之,至於基改動物後續可能有不同的用途,則另須符合相關的產品主管法規,始可上市。在APHIS部分,其主要負責動物健康之把關,目前APHIS正對外進行廣泛的資訊蒐集與調查,以作為其後續研擬進一步的管理規則或政策之參考依據。