2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制
2024年保護美國人資料免受外國對手侵害法案(Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA)於2024年6月生效。該法案為美國國家安全補充法案(H.R. 815, the National Security Supplemental)的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA,而PADFA將於簽署日後60天發生效力。
PADFA禁止資料經紀人將美國人民的敏感個資(personally identifiable sensitive data)傳輸到指定的外國對手國家,以及由這些國家控制的實體,如公司等。
PADFA所指之資料經紀人(data broker),是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式,將個人資料提供給特定實體,並收取對價者。而該法所稱之敏感個資,定義則相當廣泛,從個人日常活動資料如行事曆資訊、電子郵件,到個人醫療、財務資料皆包含在內。
目前PADFA指定之外國對手國家,是引用自美國法典第十編4872(d)(2)條(4872(d)(2)of title 10, United States Code.),包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 :
1.前述國家擁有20%以上所有權的實體。
2.主要營業據點、總部、住所位於前述國家的實體。
3.依前述國家法律建立的實體。
4.受前述國家指導、控制之人。
由於PADFA適用範圍廣泛,未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會(Federal Trade Commission)執行,該委員會將有權對違規者進行民事處罰。
- H.R.815 - Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes,
- H.R.7520 - Protecting Americans’ Data from Foreign Adversaries Act of 2024
- Remarks by President Biden on the Passage of H.R. 815, the National Security Supplemental, THE WHITE HOUSE
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李思萱
副法律研究員 編譯整理
H.R.815 - Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes, Congress.Gov, https://www.congress.gov/bill/118th-congress/house-bill/815/text#toc-H8A6F028CF82F488A974B9159A0CFBE01 (last visited May 09, 2024).
H.R.7520 - Protecting Americans’ Data from Foreign Adversaries Act of 2024, Congress.Gov, https://www.congress.gov/bill/118th-congress/house-bill/7520/text (last visited May 09, 2024).
Remarks by President Biden on the Passage of H.R. 815, the National Security Supplemental, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/speeches-remarks/2024/04/24/remarks-by-president-biden-on-the-passage-of-h-r-815-the-national-security-supplemental/ (last visited May 09, 2024).
10 U.S. Code § 4872 - Acquisition of sensitive materials from non-allied foreign nations: prohibition, Cornell Law School, https://www.law.cornell.edu/uscode/text/10/4872 (last visited May 09, 2024).
菲律賓最高法院於2013年2月5日延長了之前(2012年10月9日)對於網路犯罪防制法(Cybercrime Prevention Act of 2012),所做出的120日暫時限制適用令(Temporary Restraining Order),表示此一法令暫時尚無法正式施行。對此,菲國參議員多表示贊成,而對於該法主要的批評包括過度侵害言論自由、違反程序正義、比例原則以及一事不兩罰原則,並可能導致「寒蟬效應」,先前聲請停止該法施行的相關人士則認為該法過於模糊且規範範圍過廣。 該法之具體適用爭議如:(1)ISP業者僅因刊登誹謗性言論,即可能遭致處罰。(2)該法12條授權主管機關可即時蒐集利用電腦系統之特定通訊資料。(3)網路使用者可能被認定為網路犯罪之幫助或教唆者而被處罰。(4)政府可能依據此法蒐集網路使用者之各種資料。 不過,菲國檢察總長Francis Jardeleza 對此則表示,此法雖有缺陷,但亦尚未至完全可廢止之程度。另外,尚有菲律賓全國記者聯盟(National Union of Journalists of the Philippines, NUJP)與菲律賓網路自由聯盟(Philippine Internet Freedom Alliance, PIFA)對此限制適用令表示支持,並認為對於法令與自由衝突爭議正方興未艾。
日本發布創新治理報告書,主張強化企業等對法規範形成的實質參與日本經濟產業省於2020年7月13日發布「創新治理:實現Society5.0的法規與結構設計(GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン)」報告書。其作成背景係依據日本在去(2019)年G20峰會時,基於大阪框架(大阪トラック、Osaka Track)下的「可資信任的資料自由流通機制(Data Free Flow with Trust(DFFT))願景,所提出的創新治理目標。該目標指出,過往的治理模式主要依靠法律規範,但明顯已追趕不及數位化與創新的快速步伐,致生新型態風險無法獲得有效控管、法律可能阻礙創新等問題,因而有必要革新治理模式,以掃除創新活動的障礙。基此,就上述創新治理模式的必要性與方式,日本召集國內外法律、經濟、科技、經濟等各界專家徵求意見進行討論,彙整後作成本報告書。 本報告書主張,應擺脫法規範的設計、法遵與執行,均由國家主導的傳統模式,建立提高企業參與規範擬定與實施程度的治理型態。具體主要包含以下作法: (1)法規範制定層面:規範之制定方向,改以作成價值決定的目的導向為主。至於細節性的行為義務,包含企業如何在數位化的虛擬場域內,透過程式語言等途徑落實上述法目的,則應由該些企業、以及在虛擬場域活動的社群或個人等利害關係人共同參與擬定相關的指引或標準。 (2)法遵層面:如上(1)所述,未來法規範制定將轉為形塑價值與目的為主,不會明確訂定企業的行為義務,而交由企業來擬訂。企業所制定之行為規範能否達成法規範目的,則須仰賴企業主動揭露其法遵方法,供外界檢視。因此,除企業應採用創新手法達成法目的、並對內落實法遵事項的說明外,應運用各種內外部查核機制來控管風險。同時,應著手研發相關技術或措施,讓利害關係人得取用企業之即時資料,以隨時確認企業所採取方法有無達成法遵,實現有效監督。 (3)執法層面:政府應以企業之行為對社會產生影響的程度,作為執法標準。若遭遇AI參與決策而衍生的事故,不應歸責於個人,而應建立獎勵機制,鼓勵企業積極協助究明事故原因。另一方面,亦應推動訴訟與訴訟外紛爭解決機制的線上化(Online Dispute Resolution, ODR),例如共享經濟平台服務的認證機制與標準、就電商平台上發生的小額消費糾紛由平台透過公告罰則等方式抑止與處理糾紛。
英國將重新檢視基因改造產品標示與銷售法規英國內閣辦公室於2008年7月7日公佈食品政策報告,內容為檢討衝擊該國食物供應之重大因素,並指出非基因改造動物飼料之取得已有困難,是以食品標準局(Food Standards Agency)預定與環保部門(Department for Environment, Food and Rural Affairs,Defra)合作,重新檢視基因改造產品之標示與銷售法規。 關於基因改造產品或食品添加物之標示,英國係遵循歐盟於2004年4月18日起適用之第1829/2003規則(Regulation (EC) No. 1829/2003),惟僅利用含有基因改造成分飼料所餵養之家禽與家畜,由於該等動物本身的基因並未受到改造,其所產出之肉類、奶類或蛋類,不需依前述規範標示為基因改造產品。一般而言,以供應大眾食用為目的之基因改造產品或添加物,皆負有強制標示之義務,如產品中出現偶發性或無可避免之基因改造成分時,其比例須低於0.9%方不適用該規定。 英國民眾對於基因改良產品的接受度不高,超市亦多嚴格要求畜牧業者使用非基因改造飼料;基於環境因素考量,歐盟對於進口產品如含有未經核准之基因改造成份,亦採取零忍受度的政策,是以目前歐盟僅允准一種基因改造穀物於市面上販售。 然而,隨著物價持續攀高,畜牧業者不堪負荷下選擇節省成本,反而可能導致諸多基因改造產品在標示不清或根本未為標示的情形下進口至英國。為此,英國政府將持續遊說歐盟修改現有相關制度,並加速核准基因改造飼料進入歐洲市場。
加拿大安大略省通過修正健康資訊保護法加拿大安大略省議會於2016年5月三讀通過修正健康資訊保護法(Health Information Protection Act, HIPA)。該法案藉由一連串措施,包括增加隱私保護、問責制與提升透明度,以提高病人地位。 1.在符合指令定義內,將違反隱私之行為強制性地通報與資訊與隱私專員; 2.強化違反個人健康資訊保護法之起訴流程,刪除必須於犯罪發生之六個月內起訴之規定; 3.個人犯罪最高額罰款提升到50,000元至100,000元,組織則為250,000元至500,000元。 而健康資訊保護法也將更新照護品質資訊保護法(Quality of Care Information Protection Act, QCIPA),有助於提升透明度,以保持醫療系統的品質,更新內容包括: 1.確認病患有權得知其醫療相關資料; 2.釐清不得對關於受影響的病患與家屬保留重要事項之資訊與事實; 3.要求健康與長照部(Minister of Health and Long-Term Care)每五年定期審查照護品質資訊保護法。 安大略省亦正著手研究由專家委員會提出,所有關於提升照護品質資訊保護法所稱重大事故透明度之建議。 藉著透過該目標,將可提供病患更快的醫療,更好的家庭與社區照顧,安大略政府希望可以透過上開手段以保護病患隱私以及加強其資訊透明度。