美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA),將於2025年7月31日生效
美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有:
一、 適用對象:於明尼蘇達州內經營商業之營利組織(下簡稱企業或資料控制者),或生產製造商品、提供服務予該州居民之企業,且符合下列情形之一者:
1. 在前一年度控制或處理超過10萬筆消費者個人資料。
2. 控制或處理超過25,000筆消費者個人資料,且總營收超過百分之二十五係源自於銷售個人資料者。
3. 高等教育機構(postsecondary institutions)、非營利組織則自2029年7月31日起適用。
二、 消費者權利:賦予明尼蘇達州居民對個人資料的基本權利,且強調消費者不應因行使權利而受歧視。分別為:
1. 近用權:請求瀏覽企業對其所蒐集個人資料,但如導致企業商業機密洩露之虞者除外。
2. 修正權:請求企業修正不正確或不完整的個人資料。
3. 刪除權:請求企業刪除其個人資料。
4. 請求製給複製本:採取可便利取用格式,或資料可攜(Data Portability) 之方式。
5. 選擇退出權(opt out):就個資利用行為,消費者得行使退出權:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料。
6. 取得企業揭露或提供個資利用之對象清單。
7. 消費者得向企業請求基於特定決策所作成剖析結果之原因,以及消費者未來得據以採取確保不同決策之作為。
三、 企業主要責任與義務:
1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外,尚須:
(1) 依法回應當事人之請求:資料當事人向企業請求查詢、修改及刪除自己的資料,企業接到請求後,應於45天之期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
(2) 保存所有申訴與回覆之紀錄至少24個月;除此之外,企業須建立並採行合規政策,包括識別主要負責人,如:首席隱私長(Chief Privacy Officer)。
明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視,除了加強對消費者個人資料的保護,也賦予消費者的權利,使消費者不再屬於被動方,而能夠主動捍衛自己的個人資料隱私。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Minnesota Consumer Data Privacy Act, Minnesota Legislature, https://www.revisor.mn.gov/bills/bill.php?b=house&f=hf4757&ssn=0&y=2024 (last visited Sept.6, 2024).
Minnesota Passes a Comprehensive Consumer Data Privacy Law, JacksonLewis, https://www.workplaceprivacyreport.com/2024/08/articles/consumer-privacy/minnesota-passes-a-comprehensive-consumer-data-privacy-law/ (last visited Sept.6, 2024).
日本科技政策的制定依據來自日本「科學技術基本法」,該法第九條規定,要求國家在推動科技振興發展上,政府應制訂有關科學技術振興的「科學技術基本計畫」。「科學技術基本計畫」之推動以五年為一期,最近一期為第五期(2016-2020年),該期計畫以人工智慧與資通訊技術為核心,解決各式重要社會課題,打造「超智慧社會」,並命名為「Society 5.0」。 「Society 5.0」明訂日本實現超智慧社會的政策方向,其政策重點聚焦於產業創造與社會變革,並重新架構產業與整個社會的關係,因此,除了強化產業競爭力,實現產業變革以外,「Society 5.0」也規劃解決日本近年社會課題,包括老齡化社會、勞動力不足、能源短缺與自然災害等。而在前瞻性預測上,「Society 5.0」描繪20年後未來人類將生活在為高度電腦化、智慧化環境,為實現該目標,發展物聯網、大數據分析、電腦科學與技術、人工智慧與網路安全等相關科技基礎技術研發與應用,是「Society 5.0」的核心之一。 簡單來說,「Society 5.0」追求以人為中心的新經濟社會,運用高度融合網路虛擬空間及物理現實空間的相關技術,滿足未來人類生活上的各種需求,同步解決經濟發展與社會課題,並以此建構更貼近符合個人需求之社會。
法國CNIL對企業於職場監視行為劃出警告紅線法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年9月18日作成裁罰決定,認定巴黎百貨公司SAMARITAINE SAS(La Samaritaine)(莎瑪麗丹百貨公司,下稱該公司)於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機,該設備具備錄音功能且未適當評估風險與內部控制紀錄,並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》(General Data Protection Regulation, GDPR)規定,最終遭裁處10萬歐元(約新台幣355萬元)的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加,遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機,但員工並未事前知悉。然而,攝影機於裝設後數週即被員工發現,並在2023年9月被拆除而停止運作。CNIL之所以介入,係因2023年11月經媒體報導及後續申訴事件引發關注,進而啟動稽查程序。以下為CNIL認定本案的主要違規事項: 1.違反公平、透明與可歸責性(GDPR Art. 5(1)(a)、5(2)):隱藏式攝影機設計使員工難以察覺且未予以告知;該公司未完成事前分析或影響評估、未妥善文件化紀錄,因此難認有以公平且透明方式處理個資。 2.違反資料最小化(GDPR Art.5(1)(c)):攝影機具備「收音」功能,導致員工私領域對話等資料被蒐集,與所稱之防竊等特定目的未有相符,屬過度蒐集行為。 3.未建立個資侵害通報與紀錄(GDPR Art. 33(1)、33(5)):員工拆除設備時留存載有錄影錄音內容的SD卡,公司在知悉後未於法定時限內通報並建檔紀錄;CNIL指出此類「失去對載體控制」情形並無任何模糊空間,且因其中內含員工影音資料,對自由權具有風險,依法應通報。 4.個人資料保護長(Data Protection Officer, DPO)未及時參與(GDPR Art. 38(1)):DPO直至該攝影機拆除後才被告知,未能於事前提供風險控管與審酌是否符合法規範建議,而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告,雇主即使基於特定目的而採用不易察覺的監視措施,仍須在保護財產和人身安全的目標,與保護員工隱私間取得合理平衡,例如:蒐集期間具有「暫時性」;蒐集範圍最小化,無不必要收音等較小侵害手段;並應讓組織的DPO事前參與把關,完成比例性分析與風險評估,否則可能構成對員工基本權利與自由的重大干預。同時,內部也應建立事故應變流程,避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。
美司法部對Google書籍搜尋和解方案是否涉嫌壟斷展開美司法部於2008年介入Google與Yahoo網站上進行的搜尋動作提供相關廣告的合作案後,再次針對Google公司的網路版圖擴張動作,是否造成阻礙公平競爭採取調查行動,這次的目標是Google與書籍作者與出版商之間的圖書、文章數位化和解協議。 事實上Google 去年已與美國書籍作者與出版協會取得和解共識,前者願支付 1.25 億美元和解金,後者則撤銷其違反著作權的指控。但「無主」(orphan)的著作物,像是絕版書或不明著作的書籍作者必須在5月5日最後期限前選擇退出Google的計畫,否則就會被納入和解案。 不過,有七位作者上周向法院要求把5月5日截止期限再延長四個月,理由之一是提議的和解案太複雜。為讓Google有更多的時間,與其它作者商議和解協議,美國紐約聯邦法庭已將和解的期限延至 9 月4 日。Google表示會再花六十天的時間找到作者,並說服他們就Google線上書籍搜尋服務一案達成和解。如果Google的和解計畫順利完成,在其「Google Book Search service」搜尋服務中,將可找到數百萬件的作品。
美國針對政府雲端運算應用之資訊安全與認可評估提案為建構政府雲發展的妥適環境,美國於今年度啟動「聯邦風險與認可管理計畫」(Federal Risk and Authorization Management Program, FedRAMP),由國家技術標準局(National Institute of Standards and Technology, NIST)、公共服務行政部(General Service Administration)、資訊長聯席會(CIO Council)及其他關連私部門團體、NGO及學者代表共同組成的跨部會團隊,針對外部服務提供者提供政府部門IT共享的情形,建構一個共同授權與持續監督機制。在歷經18個月的討論後,於今(2010)年11月提出「政府雲端資訊安全與認可評估」提案(Proposed Security Assessment & Authorization for U.S Government Cloud Computing),現正公開徵詢公眾意見。 在FedRAMP計畫中,首欲解決公部門應用雲端運算所衍伸的安全性認可問題,因此,其將研議出一套跨部門共通性風險管理程序。尤其是公部門導入雲端應用服務,終究會歸結到委外服務的管理,因此本計劃的進行,是希望能夠讓各部門透過一個機制,無論在雲端運算的應用及外部服務提供之衡量上,皆能依循跨機關的共通資訊安全評定流程,使聯邦資訊安全要求能夠協調應用,並強化風險管理及逐步達成效率化以節省管理成本。 而在上述「政府雲端資訊安全與認可評估」文件中,可分為三個重要範疇。在雲端運算安全資訊安全基準的部份,主要是以NIST Special Publication 800-535中的資訊安全控制項作為基礎;並依據資訊系統所處理、儲存與傳輸的聯邦資訊的敏感性與重要性,區分影響等級。另一部份,則著重在持續性的系統監控,主要是判定所部署的資訊安全控制,能否在不斷變動的環境中持續有效運作。最後,則是針對聯邦資訊共享架構,出示模範管理模式、方策與責任分配體系。