美國總統簽署《強化美國訊號情報活動命令》,具體落實美歐跨大西洋資料保護框架
美國總統拜登於2022年10月簽署了《強化美國訊號情報活動行政命令》(Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities),指示美國將採取哪些步驟以落實歐盟與美國間資料隱私架構下的承諾。其目的在於解決歐盟法院(Court of Justice of the EU)在2020年7月的Schrems II判決中宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。
新的行政命令為美國的情報監視活動規定了某些「隱私和公民自由保護措施」,並且為非美國人制定了一種新的權利救濟管道,該行政命令主要規定了以下幾點:
1.規定美國的訊號情報活動應為必要的,並且符合有效的情報優先事項。
該行政命令規定,美國的訊號情報只有在「促進有效情報優先事項所必需」,並且「只有在與授權事項相襯的範圍與方式下」才能進行。該命令規定,基於了解或評估對美國、其盟友或夥伴的國家安全構成當前或潛在威脅的國外組織的能力、意圖或活動;防止由外國政府、外國組織或外國個人實施或代表其實施的恐怖主義、劫持人質;以及了解或評估影響全球安全的跨國威脅等目的,可以對某些合法目標進行情報偵察活動。且不得對與新聞自由、異議、思想或政治觀點的自由表達造成限制或使其立於不利地位,也不得蒐集商業訊息;這些訊息的蒐集僅限用於美國、其盟友或夥伴的國家安全。
2.規定訊號情報活動蒐集到的個人資料之處理方式。
針對通過訊號情報活動所蒐集的個人資料,美國情報系統在處理資料的每個環節必須建立制度和相關程序,以盡量減少個人資料的傳輸和保存環節。且只有在適用法規允許蒐集、保留美國人特定類型的資訊之情況下,才能夠保留非美國人的該類型訊息,不得因被蒐集資料的對象並非美國人而有所差異。並要求資訊處理的單位人員保持適當的培訓,以確保相關人員能夠理解規範的要求。
3.規定非美國人的權利救濟程序,以審查美國情報界的訊號情報活動。
在此行政命令頒布後60天內,國家情報總監(DNI)在與美國司法部和情報界各部門協商後,針對非美國人「藉由相應國家機構所移轉符合資格之投訴」建立處理程序。而美國的司法部長可以與國務卿、商務部長和DNI進行協商,將一個國家或是經濟區域、組織指定為符合資格的國家或是國際群體,其人民可以進行權利救濟。DNI的公民自由保護辦公室(Civil Liberties Protection Officer, CLPO)將對這些非美國人的申訴進行審查,並於必要時進行適當的補救措施,包含刪除未經合法授權獲得的資料,或是將合法蒐集資料的訪問權限限制於經過適當培訓的人員。
4.建立資料保護審查法院,以審查CLPO對於合格申訴的判定結果。
新成立的資料保護審查法院應任命針對資料隱私和國家安全法領域具備適當經驗的法律從業人員來擔任法官。投訴人可於CLPO做出決定後,向該法院申請審查CLPO的決定。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
王育章
副法律研究員 編譯整理
President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework, https://www.lexology.com/library/detail.aspx?g=a11293b9-5cb4-40be-a49e-a97758c6e2fc (last visited Oct. 24, 2022).
林玉書,資訊工業策進會科技法律研究所,美國修正通過外國情報偵察法(FISA),https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=7982 (最後瀏覽日期:2022年10月24日)
廖振宇,資訊工業策進會科技法律研究所,美國與歐盟宣布跨大西洋資料保護框架,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8820&no=64 (最後瀏覽日期:2022年10月24日)
WHITE HOUSE, Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (Oct. 7, 2022),https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/ (last visited Oct. 24, 2022).
為降低美國人民在醫療保險費用的支出,同時加強管理現有的保險產業,同時提供美國人民一更易負擔的醫療保險制度,美國總統歐巴馬自上任以來遂特別加強推動美國健康保險制度,與相關現有醫療保險制度的建置與改革,並於2010年3月23日通過「病患保護與平價醫療法案」(The Patient Protection and Affordable Care Act,本法暱稱Obamacare),並計劃於今(2013)年10月正式啟動上路。 為集中且便利相關機構快速讀取單一個人之相關資訊,Obamacare計畫透過聯邦數據服務樞紐(The Federal Data Services Hub)的建置,彙整目前美國各單一政府單位所保有之全民個人資料,該類資料涵蓋個人醫療、教育、和財務等相關資訊,提供各州政府單位機關有需求時得以讀取。然而,儘管該服務樞紐的用意係為提供更完整的個人資料,然而其卻也因其本身具集中單一個人資料於一身的特性而受到各界的質疑。反對人士認為,由於該服務樞紐彙整龐大單一個人資料,因此若其未建立完善資訊安全機制,而遭受到不肖駭客入侵竊取個人資料的話,所造成的後果將影響甚遠,再加上未來將管理服務樞紐的美國衛生及公共服務部(The Department of Health and Human Services, HHS),遲遲未能讓外界信服其已建立充分的資訊安全保全系統來保障全美國人民的個人資料,因此反對人士對於該服務樞紐對於個人資料安全與隱私的保全能力感到堪慮。 根據美國隱私法(Privacy Act of 1974),美國政府需提供適當的隱私保全機制來保障美國人民的個人資料,同時,美國聯邦資訊安全管理法(Federal Information Security Management Act of 2002)亦要求美國政府需確保美國人民的個人資料不被濫用,故在該二法案的明文要求下,歐巴馬政府於推行Obamacare之際,相關資訊安全保全系統機制仍須符合標準始得合法運作。Obamacare上路在即,歐巴馬政府與相關部會該如何解決個人資料保護問題,其後續發展實值得觀察。
JD SUPRA研析發布企業員工營業秘密管理戰略根據JD SUPRA於2022年4月29日研析美國Bay Fasteners & Components, Inc. v. Factory Direct Logistics, Ltd.案例,並刊出「制定全面性的營業秘密戰略」一文指出,員工的入職和離職是企業營業秘密糾紛產生的主要風險之一。企業在僱用員工時須避免營業秘密的污染和竊取。員工離職時,企業應採取離職面談與提醒,以防止離職員工洩露營業機密。以下針對員工入職、員工離職兩個情形,整理建議企業應採取之對策。 員工入職時,為避免新員工帶來任何營業秘密的污染,企業應教育新進員工保護前雇主營業秘密的重要性、如何將營業秘密從know-how區分出來,或是要求員工證明他們不會透露與持有前雇主的機密資訊或任何非公開資訊。然而,為保護企業的營業秘密不被員工竊取,最直接的方法是使用契約中的保密協議、競業禁止條款進行約束,作為保護企業的證據。 離職面談是防止離職員工向未來雇主揭露企業營業秘密的有效方法。在離職面談時,企業應提供員工入職時所簽訂的保密協議條款與相關任職期間的協議約定,並要求離職員工簽屬確認書證明已被告知應遵守的營業秘密內容範圍及其所負義務,同時企業應記錄離職面談過程的內容。若知悉離職員工未來任職公司,建議以信件通知該公司提醒應尊重彼此的營業秘密。此外,企業在得知員工要離職時,應指示IT部門確認員工電腦登錄及下載歷史紀錄是否有洩漏營業秘密之可疑活動,例如大量讀取文件、使用非公司的IP登入。員工離職後,IT部門應盡快停用該離職員工相關帳號權限,同時考慮資料備份,即使沒有檢測到可疑的活動,也建議備份員工的設備使用狀況和帳號log紀錄,以作為日後面臨爭訟時之證據。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟執委會提出《淨零產業法》草案,促進歐盟淨零技術的發展歐盟執委會(European Commission)於2023年3月16日提出《淨零產業法(Net-Zero Industry Act)》草案,以擴大歐盟潔淨技術的製造,並為歐盟的潔淨能源轉型作好準備,同時亦為綠色政綱產業計畫的一部分。其中適用之淨零技術則包含太陽光電和太陽熱能、陸域風電和離岸再生能源、電池和儲能設備、熱泵和地熱能、電解槽和燃料電池、沼氣和生質甲烷、碳捕捉利用和封存、電網技術、永續替代燃料、少量核廢的新興核能、小型反應爐,以及相關的先進燃料。而推動措施之重點如下: (1)建立有利發展的環境 將加強資訊的流通、減少成立專案的行政成本、簡化核准許可程序,以及設立單一聯繫窗口(One Stop Shop),以發展利於投資淨零技術的環境。另外,也將優先考慮能加強歐盟工業韌性和競爭性的淨零排放策略計畫,例如能安全儲存被捕捉之二氧化碳的場址規劃和建置。 (2)加速二氧化碳的捕捉 設定歐盟2030年的目標-二氧化碳儲存場址每年的注入容量應達到50百萬公噸(Mt),並要求歐盟石油和天然氣的生產業者需按其產量之比例做出貢獻,以促進二氧化碳捕捉和封存的發展,作為經濟上可行的氣候解決方案,特別是對於難以減少排放的能源密集產業。 (3)促進業者進入淨零市場 應在公共的採購和拍賣中,要求政府需考量產品的永續性和韌性並建立標準,促進公私部門對於淨零技術的需求,鼓勵業者們發展淨零技術,以提升該技術的供應多樣性。 (4)提升技能 設立專門的歐盟淨零學院,為潔淨能源轉型提供成熟的勞動力;並將與成員國、產業和其他利害關係人合作,設計培訓課程,重新訓練以及提升相關人才的技術能力。 (5)推動創新 支持成員國設立監理沙盒,在靈活的監管條件下對於新興的淨零排放技術進行測試以促進創新。 (6)設置淨零歐洲平台 建立淨零歐洲平台(Net-Zero Europe Platform)協助歐盟執委會和成員國進行合作和交換資訊。並且,透過該平台確認計畫之財務需求、瓶頸和最佳方案,以促進淨零相關產業的投資。