韓國通過個人資料保護法修法並對其執行命令指引提出修正草案
2023年9月27日,韓國個人資訊保護委員會(Personal Information Protection Commission, PIPC)就《個人資料保護法》(Personal Information Protection Act, PIPA)執行命令之指引修正(Enforcement Decree Amendment Guide)草案展開諮詢,諮詢將持續至2023年11月30日為止。韓國於2023年3月修正個人資料保護法,該修正於2023年9月15日生效,而指引修正之目的即是協助各界能夠遵循新修法後的義務,因此該指引草案詳細說明了修法後有關資料蒐集、獲得當事人同意之條件、使用和提供存取要求等內容。最終版的指引預計將於2023年12月發布。
韓國個人資料保護法於2023年的修訂範圍廣泛,特別是關於跨領域和行業個人資料處理標準等,使得公私部門中的資料處理人員和資料隱私人員必須深入瞭解此些變化,以確保能遵守最新的法律規定。
修訂後的韓國個人資料保護法強調實際保障資料主體的權利,並調整網路和實體業務之間不一致的資料處理標準,藉以迎接全面的數位轉型。此次韓國個人資料保護法修正重點如下:
1.強調確保資料主體的權利,即使在緊急情況下蒐集或處理個人資料時仍須提供足夠的保護措施。
2.釐清並調整網路和實體業務的不明確或不一致的法規,例如資料外洩的報告和通知時限、蒐集和利用14歲以下兒童個人資料需要獲得法定監護人同意的要求,以及對違規行為實施行政處罰的標準等。
3.要求處理大量個人資料的公共機構需強化保護措施,包括應分析和檢查存取記錄、指定負責每個系統的管理員,以及通知使用公共系統未經授權存取個人資料的事件等。
4.跨境資料傳輸條件調整為可傳輸至保護程度與韓國相當的國家或地區;並調整處罰金額,防止處罰金額過高超出責任範圍。。
韓國PIPC主委表示,此次對韓國個人資料保護法的修訂,反映了對資料主體權利更強大保護的需求。同時,考慮到此次修法的變動較大,建議各領域從業人員皆須仔細確認相關法遵內容,PIPC將針對不同領域需求來量身定制說明活動,積極提高大眾對修訂後的《PIPA》內容的理解程度,以確保韓國個人資料保護法修正後的實施。
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
洪宜菁
專案經理 編譯整理
「개인정보 보호법」 개정 안내서 초안 공개, https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9210#LINK (last visited Oct. 11, 2023)
Republic of Korea: Opened consultation on the Personal Information Protection Act and Enforcement Decree Amendment Guide, https://digitalpolicyalert.org/event/14673-opened-consultation-on-the-personal-information-protection-act-and-enforcement-decree-amendment-guide (last visited Oct. 11, 2023)
Amended Personal Information Protection Act (PIPA) and its Enforcement Decree Become Effective, https://www.pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2331 (last visited Oct. 11, 2023)
根據歐盟條約,國家補助的行為原則上為條約所禁止,例外須經歐盟執委會核准。為使會員國得以事先瞭解哪些行為會被認為符合共同市場的精神,歐盟執委會在11月22日針對國家補助規則,通過了「研究發展與創新綱要架構」(Community framework for state aid for research and development and innovation,以下簡稱為R&D&I Framework),期能加速此類案件的審理效率。新綱要架構規定預計自2007年1月1日起開始生效適用。 根據新的綱要架構,會員國在規劃其國家補助措施之際,仍有義務通知執委會,經執委會確認或核准後,始符合歐盟相關法制。不過執委會認為,會員國在規劃國家補助措施時,如能依循綱要架構的指導說明,將可加速執委會的作業,提升審查效率。 過去僅有研發補助可例外被認為符合歐盟條約之精神,惟根據新的綱要架構,除了研發補助以外,創新補助亦是可以獲得豁免管制者。此外,綱要架構對特定有助於研究發展與創新的國家補助措施類型,提供了詳細的指導原則說明,這類國家補助措施可以帶動私人企業的研發與創新投資,有助於經濟成長與就業,因而可提升歐盟的競爭力。 R&D&I Framework同時也允許會員國視其國內發展狀況與特殊條件,設計符合該國之補助措施,前提是要符合可矯正特定市場失靈的檢視要件,且其所設計的措施可能帶來的優惠超出補助對競爭可能造成之損害。 另新綱要架構也指出阻礙研發與創新的主要市場失靈的因素如下:知識外溢(knowledge spill-overs)的效果有限、資訊不足與不對稱(imperfect and asymmetric information)、缺乏協調與網絡建構(coordination and network failures)。此外,新綱要架構中亦針對各類行的國家補助措施,逐項為會員國解說如何妥善運用,以符合補助規則(state aid rules)。這些政策措施如下: ●研發計畫(aid for R&D projects); ●技術可行性之補助研究(aid for technical feasibility studies); ●對中小型企業智慧財產權費用給予補助(aid for industrial property right costs for SMEs); ●對新創事業提供補助(aid for young innovative enterprises); ●對服務流程及組織功能創新所提供之補助(aid for process and organisational innovation in services); ●對智慧財產提供諮詢或支援服務之補助(aid for innovation advisory services and for innovation support services); ●對中小型企業因晉用高級專業人員所需之貸款提供融資的補助(aid for the loan of highly qualified personnel for SMEs); ●對創新育成事業提供的補助(aid for innovation clusters)。 新的綱要架構同時希望可以改善歐盟對國家補助的管控機制,集中資源於管理對可能破壞競爭的案件,故綱要架構對於具有高度破壞競爭與交易風險的鉅額案件,詳細說明了執委會如何進行個案評估。
英國提出通訊資料法之草案英國內政部於2012年6月提出「通訊資料法」之草案(Draft Communications Data Bill),並將於10月舉行公聽會討論。 所謂通訊資料,非指通訊內容本身之資料,而係指通訊過程中所留下的相關紀錄性資料,包括通訊帳號所有人之資料、通訊之時間、長度、來源、位置等。而目前蒐集通訊資料之用途,多半為犯罪之偵防、避免緊急危難或反恐怖活動。其所牽涉之議題重點則為向提供通訊服務之公司調閱相關資料時,該公司是否有提供之義務,及調閱機關是否有相關權限或對資料之應用是否符合調閱之目的。 此次所提出之草案,主要可分為三大部分:第一部分賦予公務機關調閱資料之權限,並規定使用該等資料過程中,相關的安全保護措施與法定程序要求。第二部分規定調閱資料所必須的法定審查流程,包括主管機關內具備權限的高階主管,應依據比例原則,決定是否可調閱資料,並在一定情況下,須經司法機關審查。另外,國務大臣應建立一定審查機制,審核各主管機關之調閱目的與調閱程序恰當與否。最後,第三部分則是有關提升審查制度運作可能性之規定,諸如明訂各個機關所享有之調閱權,以及提供郵務及電信業務經營者相當之資源以配合機關調閱資料之需求。
美國有線電視法節目載送規則實務現況簡介 美國廢止FCC對ISP之隱私權規則2016年10月27日,FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點: 選擇加入(Opt-in):當使用或分享消費者之「敏感資訊」,須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄,以及通訊內容。 選擇退出(Opt-out):對於符合消費者期待的「非敏感資訊」,除非客戶Opt-out,ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外:推定客戶會同意之資訊,例如在客戶與ISP業者建立關係後,不須額外取得寬頻服務或計費之同意。 2016 Privacy Order通過後受到ISP業者大力抨擊,尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分,其認為如此可能扼殺電子商務發展,消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平,因此通過後半年,美國參議院與眾議院分別於2017年3月投票廢止,總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 廢止《寬頻用戶隱私保護規則》之原因為,消費者之個人資料雖可受到保護,但該規則僅適用於寬頻服務提供者與其他電信供應商,並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制,其餘網路服務則由FTC管轄,而FTC對隱私權之規範較為寬鬆,因此可能發生提供不同服務的兩家業者使用同一份客戶資料,受到的管制程度卻不同之情形。 贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範,因消費者能輕易在網站間轉換,卻不能輕易更換ISP,且ISP得以取得消費者在所有網站上之瀏覽資料,但如Google與Facebook等大廠雖非ISP業者,卻亦能取得不限於自身網站的客戶瀏覽資料。 由於《寬頻用戶隱私保護規則》已正式廢止,FCC將不得再通過其他相同或實質上相同之規範,對ISP業者之管制回歸《傳播法案》第222條,亦即,對於網站瀏覽與應用程式使用紀錄之使用或分享,不須取得客戶之事先同意。