美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
日本外包法,正式名稱為外包價金給付遲延等防止法(下請代金支払遅延等防止法,又簡稱下請法),其制定目的在於確保大型企業外包其業務予中小型企業時之交易公正性,防止外包業者濫用其相對於承包業者之優勢地位,並保護承包之小型業者的利益,而該法的主管機關為公平交易委員會(公正取引委員会)。 依該法規定,於以下情形有本法之適用:(1)業者發包委託承包業者製造、修理物品與委託承包商提供該法授權行政命令訂定列舉的資訊成果產品(製作程式)或服務(運送、將貨品保管在倉庫、資訊處理),且發包之大型企業資本額 3億日圓以上、承包之小型企業資本額3億日圓以下,或發包企業資本額於3億元以下1000萬日圓以上、承包企業資本額在1000萬日圓以下時;或(2)業者發包委託承包業者作成非屬上述行政命令所列舉之資訊成果產品(如製作電視節目或廣告、設計商品、產品之使用說明書等)、或提供非屬行政命令列舉之服務(如維修建物或機械、提供客服中心服務等),且發包業者資本額5000萬日圓以上、承包業者資本額在5000萬日圓以下,或發包業者資本額在5000萬日圓以下1000萬日圓以上、承包業者資本額於1000萬日圓以下。 符合上開法定要件時,發包業者應訂定契約價金之給付期日,不得遲延給付價金,若給付遲延則有義務支付遲延之利息等,同時禁止發包業者拒絕受領承包業者交付的履約標的,禁止無故減少契約價金、退貨、或對承包業者採取報復性措施。若發包業者違反上述規定,則由日本中小企業廳或該發包業者之事業主管機關請求日本公平交易委員會(公正取引委員会)採取相應措施,該會則得據此針對該違反行為向發包業者作出書面勸告,同時對外公開該發包業者之公司名稱、其違反行為之事實概要、以及勸告內容的概要。此外,為防止口頭約定造成日後衍生交易糾紛,發包業者於下單時,應以書面明確約定並記載例如承包業者的履約標的、契約價金數額等法定應記載事項,並在下單後立即交付該書面予承包業者,如違反,得對該發包業者課予50萬日圓以下罰金。
美國2018年5月14日拜杜法修法生效,NIH同年10月因應修法公布對應修正的研發成果經費資助政策美國拜杜法案修改由美國商業部的國家標準暨技術研究院(National Institute of Standards and Technology;簡稱NIST)於2018年5月14日發布生效,美國各界稱此次修法案為新拜杜法或是2018拜杜法(new Bayh-Dole Act Regulations)。除此之外;國家衛生研究院(National Institutes of Health;簡稱NIH)也於同年10月公布對應修正的研發成果經費資助政策,並調整IEdison系統以符合新法規。本次修法釐清多項定義、減低法規負擔、解決受資助單位與資助單位共有發明的問題、簡化電子控管程序。修法內容簡要說明如下: 適用範圍不限組織規模,包括非營利機構、小企業、個人,並擴及大企業。 若聯邦雇員是研發成果的共同發明人,其所有權由聯邦資助單位擁有。 一連串時間修正。包括(1)聯邦政府取得研發成果所有權改為無時間限制(原來是60天)。(2)研究機構須在專利申請期限60天前回復聯邦不申請專利的決定(原來是30天)。(3)美國臨時案申請轉為正式專利申請案的時限改為10個月,因為還需要加上提前60天通知聯邦機構不申請專利。 研究機構有權在工作合約要求職員將研究發明權利讓與給研究機構。 最初專利申請的範圍擴及PCT申請以及植物發明品種申請(原本僅限專利申請以及臨時案申請)。
日本政府擬建構自動駕駛實驗資料收集和共享體制日本內閣下設之日本經濟再生本部(日本経済再生本部),為實現2017年6月於「未來投資戰略2017」所提出之建立實驗資料共享體制政策,於2017年8月31日起舉辦自動駕駛官民協議會(自動走行に係る官民協議会),邀請政府相關部門及民間專家等關係人士,檢討自動駕駛實驗結果、實驗資料之共享,以及根據民間需求進行實驗計畫之工程管理等制度的整備方向,預計於年內針對複雜的駕駛環境制定共通指標,以釐清哪些資料是應收集之實驗資料,建構自動駕駛實驗資訊共享、收集體制。自動駕駛官民協議會預計在未來幾次會議中,針對應收集之實驗資料、標準格式、體制、實驗計畫的進程管理、官民合作事項等進行討論,並將在未來投資會議中報告檢討結果,其結果將與明年度之成長戰略一同反映於「官民ITS‧構想藍圖」(官民ITS構想・ロードマップ)中。
歐盟執委會認可巴西資料保護能力,啟動適足性認定程序歐盟執委會(European Commission)於2025年9月4日提出對於巴西的適足性認定草案,並且開始啟動相關程序。根據《一般資料保護規則》第45條規定,如歐盟境內之個人資料將傳輸至第三國或國際組織時,須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同,使得為之。該認定即為「適足性認定」,目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中,審酌了巴西《一般資料保護法》(Lei Geral de Proteção de Dados, LGPD)當中的目的限制、必要性、透明性、安全性及問責機制等原則,以及個資監管與執法之獨立機構「巴西資料保護局」(Autoridade Nacional de Proteção de Dados, ANPD)之角色,認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外,ANPD於2024年發布,旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則,ANPS正依照該規則進行對歐盟進行法律評估,認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估,將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案,後續須經由歐洲資料保護委員會(European Data Protection Board, EDPB)審查並提出意見,並經過成員國代表參酌EDPB提出之意見並審查批准後,始得由歐盟執委會通過適足性認定。通過適足性認定後,將促進國際資料流動,並加強巴西與歐盟之間資料保護與監管領域方面的合作。