英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局
英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。
下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明:
一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。
二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。
三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。
四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。
就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
- Data Protection and Digital Information Bill, UK Parliament
- The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament
- Data Protection and Digital Information (No. 2) Bill., UK Parliament
- British Businesses to Save Billions Under New UK Version of GDPR., Gov UK
- DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK
- Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO
- Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024)
- Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
蔡芷茵
副法律研究員 編譯整理
Data Protection and Digital Information Bill, UK Parliament, https://bills.parliament.uk/bills/3430 (last visited April 11, 2024).
The Data Protection and Digital Information (No. 2) Bill 2022-23, UK Parliament, https://commonslibrary.parliament.uk/research-briefings/cbp-9746/ (last visited April 12, 2024).
Data Protection and Digital Information (No. 2) Bill., UK Parliament, https://hansard.parliament.uk/commons/2023-03-08/debates/23030819000013/DataProtectionAndDigitalInformation(No2)Bill (last visited April 12, 2024).
British Businesses to Save Billions Under New UK Version of GDPR., Gov UK, https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr (last visited April 22, 2024).
DR UK says scrap DWP plans to use AI to scan benefit claimants bank accounts, Disability Rights UK, https://www.disabilityrightsuk.org/news/dr-uk-says-scrap-dwp-plans-use-ai-scan-benefit-claimants-bank-accounts (last visited April 22, 2024).
Information Commissioner’s view on the Data Protection and Digital Information Bill (DPDI Bill) – Lords Committee stage., ICO, https://ico.org.uk/about-the-ico/information-commissioner-s-response-to-the-data-protection-and-digital-information-bill/information-commissioner-s-view-on-the-dpdi-bill/#footnote-one (last visited April 19, 2024).
Emma Woollacott, MEPs Say UK’s DPDI Bill Could Jeopardize UK-EU Data Transfers, Forbes (Mar 13, 2024), https://www.forbes.com/sites/emmawoollacott/2024/03/13/meps-say-uks-dpdi-bill-could-jeopardize-uk-eu-data-transfers/?sh=b13f96c72c6c (last visited April 22, 2024).
Audre Verseckaite and Neil Ross, The Data Protection and Digital Information (No. 2) Bill: unlocking the potential of data-driven growth while maintaining high privacy standards, tech UK, https://www.techuk.org/resource/the-data-protection-and-digital-information-no-2-bill-unlocking-the-potential-of-data-driven-growth-while-maintaining-high-privacy-standards.html (last visited April 19, 2024).
歐盟執委會於2010年5月6日公布790-862 MHz頻段(簡稱800MHz)的統一技術規格決定(Commission Decision 2010/267/EU on harmonised technical conditions of use in the 790-862 MHz frequency band for terrestrial systems capable of providing electronic communications services in the European Union)。會員國以為,與其單純保留800MHz給地面廣播系統使用,不如開放該頻段供網路使用,故會員國必須立即根據決定,以一致性的技術規格,讓800MHz頻段可以供無線寬頻接取技術使用。 執委會下一步將對數位紅利的使用提出規劃草案,草案內容並將成為預計於6月底公布的「2011-2015年無線頻譜政策方案」(Radio Spectrum Policy Programme 2011-2015)的一部份。各界預期,該草案有可能包括制訂一個所有會員國都必須釋出800MHz供寬頻服務發展的實施日期。
英國最新追蹤定位服務恐引發新一波隱私爭議根據衛報指出,英國最新推出的手機行動定位追蹤服務恐將引發新一波個人隱私侵害爭議。該定位服務由業者World-Tracker提供,只要將欲追蹤的手機號碼輸入該服務網頁,就會有一通簡訊發到該手機介面上,詢問手機持有人是否希望被追蹤。若手機持有人以簡訊向系統回覆同意,World-Tracker就會在該服務網站上顯示出該手機位置地圖(目前使用Google地圖介面),精確值在50到500公尺。當手機移動,系統亦會隨時偵測手機位置並在網頁上顯示移動狀況。 經由電腦或手機等任何能上網的終端裝置即可使用該服務,目前能支援該服務的系統業者則包括Vodafone、O2、T-Mobile以及Orange。但已有人質疑,World-Tracker所提供的該項服務是否符合英國Ofcom所規範的個人隱私權保護正當程序,即定期發簡訊確認手機持有人之同意。此外,該服務將使非檢調機關得在未取得手機真正使用人同意之情形下,對手機位置進行監視,此亦有違反英國調查權法之虞(The Regulation of Investigatory Powers Act)。
首例中國大陸地方自主創新法規─廣東省自主創新條例公布中國大陸政府在《國民經濟和社會發展第十二個五年規劃綱要》,以及《國家中長期科學技術發展規劃綱要》中揭示繼續增強自主創新能力,進而推動中國大陸科技進步以及經濟發展。上述指導性的綱要落實到中國大陸立法層面,可從《科學技術進步法》第25條規定「政府必須優先採購自主創新產品」等類似的條文中發現這樣的精神。 2011年11月30日由廣東省第11屆人民代表大會所通過的《廣東省自主創新條例》,即是在這樣的立法背景下所訂定。該條例具體規定「自主創新」之定義、自主創新產業的人才培育措施、自主創新產業的財政性資金補助措施,以及鼓勵研究成果轉化與產業化之措施等,並分別設立專章予以規定。其中特別值得注意者,乃是該條例第18條明文鼓勵自主創新產業與澳門、香港,以及臺灣的企業、大學、研發單位合作科技研發,並建立科學技術創新平臺。 過去中國科研相關政策綱要中雖不乏有鼓勵兩岸產學研合作的宣示,但於法律條文位階中明文鼓勵「台灣參與中國大陸自主創新科技研發」卻還是首見,大幅提高了未來台灣產學研界主動參與大陸地區科技研發的可能性。由於中國大陸在立法特色上,通常係由地方法規率先就特定事務進行規範,爾後政府若認為有以中央法律位階作統一規範時,始進一步訂定法律或中央機關部門規章,因此本條例之制定是否會對於其他中國科研創新法制帶來拋磚引玉之效,頗值得觀察
2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制2024年保護美國人資料免受外國對手侵害法案(Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA)於2024年6月生效。該法案為美國國家安全補充法案(H.R. 815, the National Security Supplemental)的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA,而PADFA將於簽署日後60天發生效力。 PADFA禁止資料經紀人將美國人民的敏感個資(personally identifiable sensitive data)傳輸到指定的外國對手國家,以及由這些國家控制的實體,如公司等。 PADFA所指之資料經紀人(data broker),是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式,將個人資料提供給特定實體,並收取對價者。而該法所稱之敏感個資,定義則相當廣泛,從個人日常活動資料如行事曆資訊、電子郵件,到個人醫療、財務資料皆包含在內。 目前PADFA指定之外國對手國家,是引用自美國法典第十編4872(d)(2)條(4872(d)(2)of title 10, United States Code.),包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 : 1.前述國家擁有20%以上所有權的實體。 2.主要營業據點、總部、住所位於前述國家的實體。 3.依前述國家法律建立的實體。 4.受前述國家指導、控制之人。 由於PADFA適用範圍廣泛,未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會(Federal Trade Commission)執行,該委員會將有權對違規者進行民事處罰。