美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令
美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下:
1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。
2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。
3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。
4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。
我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
- Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, THE WHITE HOUSE
- Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Executive Order 14117 of February 28, 2024, FEDERAL REGISTER
- National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Advance notice of proposed rulemaking, FEDERAL REGISTER
- 〈進/出口趨勢〉,台經院產經資料庫
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳政陽
法律研究員 編譯整理
Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/, (last visited Mar. 21, 2024).
Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Executive Order 14117 of February 28, 2024, FEDERAL REGISTER, https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related, (last visited Mar. 21, 2024).
National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Advance notice of proposed rulemaking, FEDERAL REGISTER, https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and, (last visited Mar. 21, 2024).
〈進/出口趨勢〉,台經院產經資料庫,https://tie.tier.org.tw/number_db/twnio/dbmain.aspx,(最後瀏覽日:2024/03/21)。
美國國會於1980年通過了拜杜法案(Bayh-Dole Act),正式名稱為1980年大學與小型企業專利程序法(University and Small Business Patent Procedures Act of 1980, 35 U.S.C. 200 et seq.)。經濟學人(The Economis)曾對美國拜杜法評價為「可能是過去半世紀在美國所成立之最具創見之法律」,其目的是讓大學、中小企業等與聯邦機構締約,執行聯邦政府資助的研發計畫後仍能保有其研究成果之專利,亦即將此研究成果的專利申請權歸屬於受資助之大學或中小企業,而非聯邦政府。 拜杜法案(Bayh-Dole Act) 35 U.S.C. § 201(c)對立約人(contractors)定義為,任何簽署資助協議的自然人、小型企業、或非營利機構。而權利歸屬部分,規定於35 U.S.C. § 202,非營利機構、中小企業等與聯邦機構簽訂資助契約之承攬人可以選擇是否擁有受資助發明(elect to retain title to any subject invention)之權利。再者,立約人負責專利管理事務之人員,應於知悉受資助發明的合理期間內,向聯邦機構揭露該發明,若未於合理期間內揭露,則該發明歸屬於聯邦機構。並且,立約人應於揭露發明後2年內,以書面行使其選擇權,逾期則該發明權利歸屬於聯邦機構。另 35 USC § 203有介入權規定,聯邦機構認為有必要時,得要求立約人、其受讓人或其專屬被授權人將發明專屬、部分專屬(partially exclusive)或非專屬授權予申請人,聯邦機構得自行為之。
英國核准全球首例人類胚胎基因體編輯研究英國人類生殖及胚胎學管理局(Human Fertilisation and Embryology Authority)的執照委員會(Licence Committee)於2016年1月14日更新(renew)了法蘭西斯克利克研究中心(Francis Crick Institute)所持有的研究執照。該項更新的內容,成為全球首例由政府核准的人類胚胎基因體編輯研究。 本次更新的執照,是針對標號R0162實驗計畫(research project)所簽發的。該計畫全名是「人類剩餘胚胎幹細胞之研究:人類胚胎幹細胞之培養、維持多能性之因子特性以及形成可移植組織所需的特殊分化」(Derivation of stem cells from human surplus embryos: the development of human embryonic stem cell (hES) cultures, characterisation of factor necessary for maintaining pluripotency and specific differentiation towards transplantable tissues),該計畫的執照是在2005年時核准,有效期限至2016年3月26日。本次申請更新主要的變動有二,一是將計畫全名中的「剩餘」(surplus)二字拿掉,一是在執照內新增基因體編輯的研究技術──「CRISPR/Cas9」,並計劃將其運用在人類胚胎之上。 審查由人類生殖及胚胎學管理局所屬的執照委員會負責,該委員會由四位委員組成,有兩位行政機關人員負責行政事務,並有一名來自民間律師事務所的法律顧問負責提供法律意見諮詢的服務。 在審查的過程中,委員會依據申請人提交的計畫以及兩份同儕審查(peer review)的意見,審查了該計畫對人類胚胎進行人體試驗的可行性、必要性及合法性等議題。委員會確認該計畫的研究目的符合相關法令的要求,亦遵守規定不會使胚胎、卵子或精子置入女性身體或使其發育超過14天,同時該研究並確實為研究人類胚胎發育上所必要,也嚴格限制了使用的數量。 委員會僅對於其基因體編輯技術上未取得研究倫理委員會(Research Ethics Committee)的同意一事有所疑慮。委員會認為申請人應先取得研究倫理委員會的同意,才可申請執照。申請人解釋研究倫理委員會要求申請人要先取得執照更新後才願意開始審理,並承諾在通過倫理委員會同意後,才會開始相關實驗。在法律顧問的建議下,委員會最終通過了本次執照的更新,但在執照上加註相關實驗需待取得研究倫理委員會同意,並通知人類生殖與胚胎學管理局後,才可以實施。 委員會最終決定核發有效期限3年的執照給予該研究機關,於有效期限內,該研究機構可以保存、利用、儲藏胚胎。
美國有線電視法節目載送規則實務現況簡介 美國馬里蘭州法案禁止雇主近用(access)其員工及應徵者之社群網站資訊日前報導指出,在美國有部分的企業在面試時要求應徵者交出其臉書(Facebook)帳號及密碼,以供企業做為評估是否錄取之參考。企業這樣的舉動,遭論者類比為要求應徵者交出自家大門的鑰匙。據悉,企業此一傾向在九一一後有明顯增加之趨勢。 為因應此一趨勢所帶來的隱私疑慮,馬里蘭州在四月初已立法(撰稿時,此法尚待該州州長簽署)禁止雇主要求瀏覽或進入員工與應徵者的臉書或其他社交網站頁面,當然也包括禁止雇主取得員工或應徵者的臉書或社交網站帳號與密碼,或企圖成為員工及應徵者的「朋友」。 馬里蘭州此一立法,除了在保護員工或求職者的隱私之外,也是為了保障言論自由;且此一看似亦在保護應徵者及員工之法律,其實對企業亦有助益:其使原本處於法律灰色地帶的爭議問題明朗化,因而可使企業瞭解應如何因應,而可避免許多不必要的訴訟。 雖然輿論對此立法有許多贊同之聲,但亦不乏反對此一立法者,例如馬里蘭州的許多商業團體即認為瞭解求職者的社交活動,對於剔除不適任的應徵者,有其必要。 馬里蘭州此一立法乃率全美之先,其他各州可能亦陸續會提出類似法案。