美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA),將於2025年7月31日生效
美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有:
一、 適用對象:於明尼蘇達州內經營商業之營利組織(下簡稱企業或資料控制者),或生產製造商品、提供服務予該州居民之企業,且符合下列情形之一者:
1. 在前一年度控制或處理超過10萬筆消費者個人資料。
2. 控制或處理超過25,000筆消費者個人資料,且總營收超過百分之二十五係源自於銷售個人資料者。
3. 高等教育機構(postsecondary institutions)、非營利組織則自2029年7月31日起適用。
二、 消費者權利:賦予明尼蘇達州居民對個人資料的基本權利,且強調消費者不應因行使權利而受歧視。分別為:
1. 近用權:請求瀏覽企業對其所蒐集個人資料,但如導致企業商業機密洩露之虞者除外。
2. 修正權:請求企業修正不正確或不完整的個人資料。
3. 刪除權:請求企業刪除其個人資料。
4. 請求製給複製本:採取可便利取用格式,或資料可攜(Data Portability) 之方式。
5. 選擇退出權(opt out):就個資利用行為,消費者得行使退出權:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料。
6. 取得企業揭露或提供個資利用之對象清單。
7. 消費者得向企業請求基於特定決策所作成剖析結果之原因,以及消費者未來得據以採取確保不同決策之作為。
三、 企業主要責任與義務:
1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外,尚須:
(1) 依法回應當事人之請求:資料當事人向企業請求查詢、修改及刪除自己的資料,企業接到請求後,應於45天之期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
(2) 保存所有申訴與回覆之紀錄至少24個月;除此之外,企業須建立並採行合規政策,包括識別主要負責人,如:首席隱私長(Chief Privacy Officer)。
明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視,除了加強對消費者個人資料的保護,也賦予消費者的權利,使消費者不再屬於被動方,而能夠主動捍衛自己的個人資料隱私。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Minnesota Consumer Data Privacy Act, Minnesota Legislature, https://www.revisor.mn.gov/bills/bill.php?b=house&f=hf4757&ssn=0&y=2024 (last visited Sept.6, 2024).
Minnesota Passes a Comprehensive Consumer Data Privacy Law, JacksonLewis, https://www.workplaceprivacyreport.com/2024/08/articles/consumer-privacy/minnesota-passes-a-comprehensive-consumer-data-privacy-law/ (last visited Sept.6, 2024).
2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。 本框架主要可分成三大部份: 1.框架核心(Framework Core) 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。 2. 框架實作等級(Framework Implementation Tiers) 共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。 3. 框架側寫(Framework Profile) 框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。 此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。
歐盟理事會公告延長對俄羅斯經濟制裁歐盟理事會(European Council)於2023年1月27日決定將針對俄羅斯特定經濟部門的限制措施延長六個月至2023年7月31日。歐盟對俄羅斯的制裁可回溯自2014年「克里米亞危機」,俄羅斯破壞烏克蘭局勢穩定。自2022年2月以來,鑑於俄羅斯對烏克蘭軍事侵略,歐盟制裁範圍大幅擴大(截至2022年12月16日共有9輪制裁)。歐盟的制裁範圍廣泛,涉及如下不同領域的措施: (1)貿易層面:對技術和軍民兩用貨品(dual-use goods)、提升俄羅斯工業能力交易、陸海空運輸以及奢侈品交易等進行限制。 (2)能源層面:禁止向俄羅斯購買原油及特定石油產品;或透過第三國將原油及特定石油產品從俄羅斯進口或移轉到歐盟境內。 (3)金融層面:將俄羅斯銀行踢出「環球銀行金融電信協會」(SWIFT)支付系統,以及限制提供給俄羅斯的金融服務(如存款、信託、信評等)。 (4)資訊層面:終止透過假消息(disinformation)支持克里姆林宮的廣播活動和廣播許可證。 歐盟自2022年2月24日以來,針對俄羅斯全面入侵烏克蘭採取史無前例的強硬制裁措施。歐盟並藉此傳達其支持烏克蘭在國際公認邊界內的獨立、主權以及領土完整。
電子投票機制及法律議題之研究 何謂「CRADAs」?CRADAs係研發合作契約(Cooperative Research and Development Agreements)之縮寫,為美國國家衛生研究院(National Institute of Health,NIH)與業界和學術界進行科學技術研究發展產學研合作時所簽訂之契約。基於美國國家衛生研究院投入相關領域技術發展之機關設置目的,其所屬之科學家們可以利用本身的科研資源,與業界或學術界共同合作促進保健藥品和原型(prototype)開發與產品進一步的商業化量產。此外,業界也可利用本身私部門的研發力量,介接在國家層級最先進的技術研究合作。 研發合作契約的目的是專為使政府設施、政府補助研發成果之智慧財產權,透過與私部門之產學研合作提供合作互動,以促進科學技術知識之發展轉化為具有市場價值之商業化用途。配合契約之簽署,針對研發合作之權利義務,美國國家衛生研究院另設置有科技發展合作中心(Technology Development Coordinator,TDC),作為研發合作早期階段進行磋商與諮詢之專業機構,以幫助瞭解和研擬適當內容的研發合作契約,並順利依法獲得相關主管機關之核准。