美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
伴隨IoT和AI等技術發展,業者間被期待能合作透過資料創造新的附加價值及解決社會問題,惟在缺乏相關契約實務經驗的狀況下,如何締結契約成為應首要處理的課題。 針對上述狀況,日本經濟產業省於2017年5月公布「資料利用權限契約指引1.0版」(データの利用権限に関する契約ガイドラインVer1.0),隨後又設置AI、資料契約指引檢討會(AI・データ契約ガイドライン検討会),展開後續修正檢討,在追加整理資料利用契約類型、AI開發利用之權利關係及責任關係等內容後,公布「AI、資料利用契約指引草案」(AI・データの利用に関する契約ガイドライン(案)),於2018年4月27日至5月26日間公開募集意見,並於2018年6月15日正式公布「AI、資料利用契約指引」(「AI・データの利用に関する契約ガイドライン)。 「AI、資料利用契約指引」分為資料篇與AI篇。資料篇整理資料契約類型,將資料契約分為「資料提供型」、「資料創造型」和「資料共用型(平台型)」,說明個別契約架構及主要的法律問題,並提示契約條項及訂定各條項時應考慮的要點,希望能達成促進資料有效運用之目的。 AI篇說明AI技術特性和基本概念,將AI開發契約依照開發流程分為(1)評估(assessment)階段;(2)概念驗證(Proof of Concept, PoC)階段;(3)開發階段;(4)進階學習階段,並針對各階段契約方式和締結契約時應考慮的要點進行說明,希望達成促進AI開發利用之目的。
台幹入股台資企業亦屬在大陸大區從事投資,必須事前向投審會提出申請近幾年來,為了增加台籍員工向心力,不少台商都辦過「增資認股」,多數的情況是,企業辦理增資時,讓出一部分股權,開放員工入股。不論,員工入股是否自行買單,企業辦理「增資入股」時,都會先由台灣母公司辦理增資海外控股公司,再將計畫入股的員工載入控股公司名冊。 隨著台資企業開放員工入股漸成風潮,士林電機董事會日前通過,將以士電蘇州恆通增資為首例,讓台籍幹部入股百分之二十,未來海外子公司,都將循相同模式,這是首次有上市櫃台商清楚表明,增資用途是讓員工入股,引起外界關注。 經濟部投資審議委員指出,依「在大陸地區從事投資或技術合作許可辦法」第4條第1項第3款規定,台灣地區人民在大陸地區取得當地現有公司股權,視為「在大陸地區從事投資」,必須在行為發生前,依同法第7條第1 項備具申請書件向投審會申請許可,縱投資金額在公告限額以下,亦應填具申報書並檢附相關文件向投審會申報。 根據上開規定,台幹入股台資企業,視為「投資」行為,必須事前提出申請,否則恐將挨罰。另員工入股之後,按在大陸地區從事投資或技術合作審查原則第3點規定,也必須遵守台灣地區個人對大陸投資累計金額不得超過八千萬元的上限。
歐盟《企業永續盡職調查指令》草案,將永續治理內化至企業經營歐盟執委會(The European Commission)於2022年2月23日發布《企業永續盡職調查指令》草案(Proposal for a Directive on corporate sustainability due diligence),其目的在於促進永續及負責任企業行為,並使企業將人權與環境考量內化至企業營運與公司治理。 本指令要求各歐盟成員國,須確保企業確實執行人權及環境盡職調查,具體要求企業之作為如下: (1) 將盡職調查納入公司政策(第5條); (2) 採取適當的措施,以鑑別企業自身或子公司於營運及其既有商業關係價值鏈之現有或潛在的不利衝擊(adverse impacts)(第6條); (3) 採取適當措施,預防及減緩潛在的不利衝擊,並消弭現有不利衝擊或縮小其影響範圍(第7、8條); (4) 建立並維持申訴制度,確保受前述不利衝擊影響或有相當理由信其將受影響之人、價值鏈中之工作者代表以及關注相關領域的民間社團等利害關係人之申訴管道暢通(第9條); (5) 定期針對自身及子公司之盡職調查政策及措施進行評估,以確保其有效性(第10條); (6) 企業須於每年4月30日前揭露盡職調查相關資訊,受《企業永續報告指令》(Corporate Sustainability Reporting Directive, CSRD)規範之企業須於企業年報中揭露,其他企業則須於企業網站揭露(第11條)。 另一方面,本指令也明定公司董事義務,依據第25、26條,董事於其決策過程須考量短、中、長期之人權、氣候及環境因素;企業亦須指定部分董事負責盡職調查相關治理作為,並定期向董事會進行報告。 適用本指令的歐盟企業有兩種:(1) 員工人數500人以上且全球年營業額1億5,000萬歐元以上之大公司;(2) 員工250人以上之且全球年營業額4,000萬歐元的高衝擊產業(如:紡織、農業、採礦業等)。另外,非歐盟企業若符合前述員工人數之要求,且於歐盟境內之營業額達到前述標準,亦適用本指令。
美國新創企業啟動法(JOBS Act)聽證進展2014年7月24日美國眾議院金融服務資本市場附屬委員會(House of Representatives Committee on Financial Services’ Capital Markets Subcommittee)針對新創企業啟動法(Jumpstart Our Business Startups Act,簡稱JOBS法)舉行聽證,由證券交易委員會(United States Securities and Exchange Commission,簡稱SEC)企業融資處基思‧希金斯(Keith Higgins)處長(Director of the Division of Corporation Finance)向委員會說明。 各界對於JOBS法相當重視,委員們於聽證會中提出相關疑慮,處長回應包括: 期望今年底提出JOBS法所漏未規定之「存款與貸款」(savings and loans)部分之補救計畫(proposal)。 關於2013年SEC舉行之小型企業資本形成之企業論壇(Business Forum on Small Business Capital Formation)」之建議,例如創業者仰賴朋友與家人資助,仍應發行群眾募資證券(crowd-funding securities)給予此類非合格投資者(non-accredited investor)等,將部分建議納入考慮。 SEC正考慮將JOBS法原設定50萬美元的籌資門檻提高,以因應門檻(過低)對於群眾募資可能之負面影響。 本法提供股票初次上市的快速入口程序(onramp process),及快速成長公司(emerging growth companies)發行報告給潛在投資人,其執行緩慢原因在於投資人之顧慮,但相信此程序將經常被運用。 希金斯處長雖就部分疑慮進行解答,然後續仍須觀察SEC將如何完成JOBS法相關規範之制定與執行狀況。