2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制
2024年保護美國人資料免受外國對手侵害法案(Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA)於2024年6月生效。該法案為美國國家安全補充法案(H.R. 815, the National Security Supplemental)的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA,而PADFA將於簽署日後60天發生效力。
PADFA禁止資料經紀人將美國人民的敏感個資(personally identifiable sensitive data)傳輸到指定的外國對手國家,以及由這些國家控制的實體,如公司等。
PADFA所指之資料經紀人(data broker),是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式,將個人資料提供給特定實體,並收取對價者。而該法所稱之敏感個資,定義則相當廣泛,從個人日常活動資料如行事曆資訊、電子郵件,到個人醫療、財務資料皆包含在內。
目前PADFA指定之外國對手國家,是引用自美國法典第十編4872(d)(2)條(4872(d)(2)of title 10, United States Code.),包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 :
1.前述國家擁有20%以上所有權的實體。
2.主要營業據點、總部、住所位於前述國家的實體。
3.依前述國家法律建立的實體。
4.受前述國家指導、控制之人。
由於PADFA適用範圍廣泛,未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會(Federal Trade Commission)執行,該委員會將有權對違規者進行民事處罰。
- H.R.815 - Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes,
- H.R.7520 - Protecting Americans’ Data from Foreign Adversaries Act of 2024
- Remarks by President Biden on the Passage of H.R. 815, the National Security Supplemental, THE WHITE HOUSE
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李思萱
副法律研究員 編譯整理
H.R.815 - Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes, Congress.Gov, https://www.congress.gov/bill/118th-congress/house-bill/815/text#toc-H8A6F028CF82F488A974B9159A0CFBE01 (last visited May 09, 2024).
H.R.7520 - Protecting Americans’ Data from Foreign Adversaries Act of 2024, Congress.Gov, https://www.congress.gov/bill/118th-congress/house-bill/7520/text (last visited May 09, 2024).
Remarks by President Biden on the Passage of H.R. 815, the National Security Supplemental, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/speeches-remarks/2024/04/24/remarks-by-president-biden-on-the-passage-of-h-r-815-the-national-security-supplemental/ (last visited May 09, 2024).
10 U.S. Code § 4872 - Acquisition of sensitive materials from non-allied foreign nations: prohibition, Cornell Law School, https://www.law.cornell.edu/uscode/text/10/4872 (last visited May 09, 2024).
我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 我國關於個資去識別化實務發展,依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡,實務上爭議在於達到合理利用目的之個資處理,參酌法務部103年11月17日法律字第10303513040號函說明「個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍」,在保護個人隱私之前提下,資料於必要時應進行去識別化操作,確保特定個人無論直接或間接皆無從被識別;還得參酌關於衛生福利部健保署資料庫案,健保署將其所保有之個人就醫健保資料,加密後提供予國衛院建立健保研究資料庫,引發當事人重大利益爭議,終審判決(最高行政法院106年判字第54號判決)被告(即今衛福部)勝訴,法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準,該案之資料收受者(本案中即為衛福部)掌握還原資料與主體間連結之能力,與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用,在於確保社會大眾無法從資料內容輕易推知該資料所屬主體,並有提到關於再識別之風險評估,然而應採行何種標準,並未於法院判決明確說明。 我國政府為因應巨量資料應用潮流,推動個資合理利用,行政院以推動開放資料為目標,104年7月重大政策推動會議決議,請經濟部標檢局研析相關規範(如CNS 29191),邀請相關政府機關及驗證機構開會討論,確定「個人資料去識別化」驗證標準規範,並由財政部財政資訊中心率先進行去識別化驗證;並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191,同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例,第二波示範案例則由內政部及衛生福利部(105年12月通過)接續辦理。 經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術-安全技術-隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication),轉換為國家標準CNS 29100及CNS 29191,並據此制訂「個人資料去識別化過程驗證要求及控制措施」,提供個資去識別化之隱私框架,使組織、技術及程序等各層面得整體應用隱私權保護,並於標準公報(107年第24期)徵求新標準之意見至今年2月,草案編號為1071013「資訊技術-安全技術-個人可識別資訊去識別化過程管理系統-要求事項」(Management systems of personal identifiable information deidentification processes – Requirements),主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項,提供維護並改進個人資訊去識別化過程及良好實務作法之框架,並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 由於前述說明之草案編號1071013去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 去識別化係以個資整體生命週期為保護基礎,評估資料利用之風險,包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序,分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法(下稱個資法)說明如下:首先,組織應先確定去識別化需求為何,究係對「個資之蒐集或處理」或「為特定目的外之利用」(對應個資法第19條第1項第4、5款)接著,對應重點在於「適當安全維護措施」,依據個資法施行細則第12條第1項規定,公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施;而依據個資法施行細則第12條第2項規定,適當安全維護措施得包括11款事項,並以與所欲達成之個資保護目的間,具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法: 一、隱私權政策 涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 組織蒐集、處理、利用PII應符合之11項原則,包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」,以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫,且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者,組織於進行去識別化處理時,應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 參、小結 國際上目前無個資去識別化驗證標準及驗證作法可資遵循,因此現階段控制措施,係以個資整體生命週期為保護基礎,評估資料利用之風險,使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊進行去識別化之過程,透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項,內化為我國業者因應資料保護與資料去識別化管理制度。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心,個人資料去識別化過程驗證,https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx(最後瀏覽日:2019/6/4) 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容,該網站並未公告「個人資料去識別化過程驗證要求及控制措施」,故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。
美國消費者金融保護局擬納管一般性數位支付應用程式2023年11月7日美國消費者金融保護局(Consumer Financial Protection Bureau, CFPB)發布擬議規則制定通知(notice of proposed rulemaking),計劃將一般性數位支付應用程式提供者的「較大參與者」(larger participants)納入監管,基於非銀行支付市場對消費者的日常金融生活日益重要,考量相關消費者保護風險,而有必要將此類支付公司納入《消費者金融保護法》(Consumer Financial Protection Act, CFPA)的監管範圍。 根據擬議規則,「提供一般性數位支付應用程式」是指消費者藉由應用程式的資金轉帳功能和數位錢包功能,進行「一般性」數位支付交易的應用程式。申言之,該數位支付應用程式係用於一般性產品或服務的消費,而非特定供應商所提供,且僅限用於支付其所提供商品或服務之數位交易手段。 此外,「較大參與者」之定義為透過行動通訊或網路應用程式提供數位錢包或個人對個人(person-to-person, P2P)支付的非銀行機構,並每年完成超過500萬筆支付交易,且該機構不屬於《小型企業法》(Small Business Act, SBA)所定義的小型企業(small business),根據CFPB估計,擬議規則將擴大監管於現行17家非銀行支付機構,其全年交易金額將近130億美元。 有鑑於消費者資訊貨幣化(Monetization)之資料治理議題,及數位支付領域的大型科技公司因持續發展而產生市場壟斷疑慮,CFPB擬藉由此項擬議規則擴大監管措施,將美國大型數位支付科技公司納入監管,要求其遵守CFPA的規範,使數位支付領域的非銀行機構及存款機構同步受到監管,一方面維持數位支付市場之公平競爭環境,並同時確保消費者受到CFPA的保障,降低消費者在使用數位支付時的交易風險。 近年我國因疫情的零接觸政策及數位經濟時代來臨,數位支付應用因而蓬勃發展,我國於2023年11月21日三讀通過《金融消費者保護法》修正案,將電子支付業納入金融服務業,逐步加強金融消費者權益保護,我國應持續追蹤外國金融消費者保障動態,在金融消費者保障上持續前進。
論析各國之企業智慧資產揭露機制 歐盟立法成員對整體生質燃料目標仍存有不同意見為確認是否採行歐盟整體生質燃料目標(即於2020年應達20%)而欲進行協商之前夕,歐洲各政黨團體立法成員們間,對於設定環境永續性基準與將用以種植生產生質燃料作物土地等方面之意見,至今仍分歧不一。 鑑於歐洲環保團體紛盼能儘快看見那些未來將被間接利用來生產生質燃料之土地,其可一併被涵括在正式評估公式之內,來評估對整體CO2濃度影響;因此,各會員國遂轉而朝向歐洲執委會,要求其應提出詳細之規則,並希望能在將相關基準納入整體法律架構之前,完成對間接利用土地所產生衝擊之評估方法與標準的建立。 環保團體代表Turmes指出,日前執委會對歐洲議會所提出之建議提案,已表達其意見並且認為:由於對間接利用以生產生質燃料之土地其未來將對CO2排放產生衝擊方面,尚未獲得足夠之科學性證據來做為日後評估之參考;因此,就整體生質燃油利用之最終版本而言,其認為需將「新方法學」(new methodologies)部分一併納入,以填補前述科學性知識之缺口與不足。 另外,各會員國政府對歐洲議會所提出,要求透過未來利用生質燃料來達到減少碳排放目標時,至少應有40%之比例,需透過運用第二代生質燃料來達成之「附屬目標」(sub-targets),亦表示反對。目前各政府代表僅同意25%,而至於剩下之15%,則將留待後續協商時,再進行討論。 最後,Turmes指出,關於前述次要性目標之確定,歐洲議會將待解決間接利用土地問題後,再做更進一步之協商。