2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制
2024年保護美國人資料免受外國對手侵害法案(Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA)於2024年6月生效。該法案為美國國家安全補充法案(H.R. 815, the National Security Supplemental)的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA,而PADFA將於簽署日後60天發生效力。
PADFA禁止資料經紀人將美國人民的敏感個資(personally identifiable sensitive data)傳輸到指定的外國對手國家,以及由這些國家控制的實體,如公司等。
PADFA所指之資料經紀人(data broker),是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式,將個人資料提供給特定實體,並收取對價者。而該法所稱之敏感個資,定義則相當廣泛,從個人日常活動資料如行事曆資訊、電子郵件,到個人醫療、財務資料皆包含在內。
目前PADFA指定之外國對手國家,是引用自美國法典第十編4872(d)(2)條(4872(d)(2)of title 10, United States Code.),包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 :
1.前述國家擁有20%以上所有權的實體。
2.主要營業據點、總部、住所位於前述國家的實體。
3.依前述國家法律建立的實體。
4.受前述國家指導、控制之人。
由於PADFA適用範圍廣泛,未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會(Federal Trade Commission)執行,該委員會將有權對違規者進行民事處罰。
- H.R.815 - Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes,
- H.R.7520 - Protecting Americans’ Data from Foreign Adversaries Act of 2024
- Remarks by President Biden on the Passage of H.R. 815, the National Security Supplemental, THE WHITE HOUSE
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李思萱
副法律研究員 編譯整理
H.R.815 - Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes, Congress.Gov, https://www.congress.gov/bill/118th-congress/house-bill/815/text#toc-H8A6F028CF82F488A974B9159A0CFBE01 (last visited May 09, 2024).
H.R.7520 - Protecting Americans’ Data from Foreign Adversaries Act of 2024, Congress.Gov, https://www.congress.gov/bill/118th-congress/house-bill/7520/text (last visited May 09, 2024).
Remarks by President Biden on the Passage of H.R. 815, the National Security Supplemental, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/speeches-remarks/2024/04/24/remarks-by-president-biden-on-the-passage-of-h-r-815-the-national-security-supplemental/ (last visited May 09, 2024).
10 U.S. Code § 4872 - Acquisition of sensitive materials from non-allied foreign nations: prohibition, Cornell Law School, https://www.law.cornell.edu/uscode/text/10/4872 (last visited May 09, 2024).
全球皆認同奈米科技具有策略性潛質,而安全性確保與公眾接受度尤為其應用與產品商業化的先決條件,因此各界同意奈米科技之發展與使用不應有所失衡。在此背景下,歐盟在「歐洲奈米科技策略」﹙Towards A European Strategy for Nanotechnology﹚及「奈米科學及奈米技術︰歐洲在二○○五至二○○九的行動計畫」﹙Nanosciences and Nanotechnologies︰An Action Plan For Europe 2005-2009﹚兩份重要文件中,皆表示對於此一議題的高度重視。據此,執委會﹙Commission﹚於去﹙2007﹚年7月19日提出「負責任奈米科技研究活動行為準則﹙草案﹚」﹙Code of Conduct for Responsible Nanosciences and Nanotechnologies Research﹙draft﹚﹚並對外進行公開諮詢直到同年9月21日為止,其後修正而於今年2月通過正式版本。 本準則之規範特色主要有三: 1、明確各項定義:為合理圈畫適用範圍,本準則特別針對奈米物體﹙Nano-objects﹚、奈米科技研究﹙N&N research﹚、奈米科技利害關係人及市民團體等用詞予以界定。 2、提列管理原則:包括意義﹙meaning﹚、永續﹙sustainability﹚、預防﹙precaution﹚、含括性﹙inclusiveness﹚、卓越﹙excellence﹚、創新﹙Innovation﹚、有責性﹙accountability﹚。 3、操作指引舉隅:為落實各項原則,本準則針對「奈米科技研究之良好管理」、「踐行預防措施」及「本準則之宣導及監管」等三大部分提供細部指引。 整體而言,本準則正式版本係在預防原則及保障基本人權之思維下,先行設立各項管理原則,而後提供各項操作指引。歐盟執委會以推薦方式邀請各會員國及利害關係人參與並落實,原則上各會員國應於2008年6月30日前通知執委會其意向,並於其後每年定期報告其所採取之具體措施、建議、運用成效,以及提供實際作法;而執委會亦將定期每二年檢視相關建議並監控後續發展。
日本設置「創新藥品等實用化支援基金」促進創新藥品及再生醫療製劑研發上市日本在2025年2月12日閣議決定「藥機法等部分法律修正案」(原文:医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律等の一部を改正する法律案),送國會本會期審議。其中明文設置「創新藥品等實用化支援基金」,政府預先編列複數年度所需財源,並設有10年時限措施。此項基金業務預定由國立研究開發法人醫藥基盤、健康暨營養研究所(下稱研究所)負責實施,追加創新藥品等實用化支援事業為研究所新業務,並明定至令和18年(2036年)3月31日為止實施,說明如下: (1)為了「創新藥品及再生醫療製劑」(下稱創新藥品等)之實用化,整備研發所必要之具規模的設施及設備,並提供從事於創新藥品等實用化之人得以共同使用,以增加創新藥品等實用化之交流與合作之機會,對於從事此等業務以及其他提供必要支援之事業者(下稱創新藥品等實用化支援事業者),由研究所提供其必要資金及其他支援。 (2)創新藥品等實用化支援事業者欲從事前述支援事業,向厚生勞動大臣提出申請書取得認定。 該基金由政府與製藥企業等共同出資設立,以強化「製藥新創得以創造出創新藥品等之製藥基盤及基礎設施」為目標,對於實施創新藥品等新創進行支援之「創新藥品生態系園區之整備事業者」(例如:育成事業者或製藥企業等),整備育成實驗室(Incubation Lab)、動物實驗設施、臨床試驗用藥製造等設施,以及致力於新創支援之事業者作為補助之對象範圍,明文於實施3年後進行檢討,期能透過此一基金之運作強化創新藥品等之製藥基盤。
FCC同意基本型電子閱讀器可於一年期限內豁免於無障礙義務 歐盟理事會將嚴格執行資料保護基本權歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。 是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰: (1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。 (2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。 (3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。 (4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。 六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。