美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅
美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。
最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。
該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張育承
副法律研究員 編譯整理
Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, 90 Fed. Reg. 1636(Jan. 08, 2025)(to be codified at 28 C.F.R pt. 202).
龔柏龍,〈美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9284&no=64(最後瀏覽日:2025/02/03)。
劉姵伶,〈美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9277&no=64(最後瀏覽日:2025/02/03)。
李思萱,〈2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9212&no=64(最後瀏覽日:2025/02/03)。
陳政陽,〈美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9173&no=64(最後瀏覽日:2025/02/03)。
莊越程,〈歐盟在考量營業秘密對企業重要性下,通過兼顧重要資料保護的資料法案,以推動資料經濟發展〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9094&no=64(最後瀏覽日:2025/02/03)。
日本政府認為IoT、Big Data以及人工智慧等破壞式創新技術的出現,目前世界正處於「第四次工業革命」之重大變革,而究竟IoT、Big Data及人工智慧的發展會對經濟、社會產生什麼程度的影響,公私部門有必要共同對應及討論共同戰略願景。因此,經濟產業省於2015年9月17日在「產業構造審議會」下設置「新產業構造部會」,以公私協力的方式共同策定未來產業願景。 該會議的具體檢討事項包括: 1. 具體變革狀況檢視:IoT、Big Data、人工智慧等技術,究竟會對產業構造、就業結構,以及經濟社會系統具體產生如何的改變。 2. 變革之影響:上述的變化可能創造機會,亦會產生風險。因此,於經濟社會層面要怎麼解決迎面而來的挑戰,是否有可能克服相關限制,亦為應關注的焦點。 3. 把握國際上的動向:上述的機會及風險,各國政府及企業等應對的戰略究竟為何。 4. 日本政府具體之特定處方籤:於上述背景下,日本政府及民間企業,應提出個別之戰略及對應方法。 綜上所述,公私部門應協力做成包含時間進程的「指南針」,最後提出2030年「新產業構造願景(新産業構造ビジョン)」,對將來經濟社會系統進行預測。
美國聯邦貿易委員會插手企業資訊安全引起爭議美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。 根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。 不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。 本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。
美國最高法院判決:向境外供應侵權產品若為單一元件不構成侵權行為美國最高法院於2月22日針對Life Technologies Corp. v. Promega Corp.一案作出判決,對於向美國境外供應多元件侵權產品的其中單一元件,並不構成35 U.S.C. 271(f)(以下稱271(f))的侵權責任。 美國醫療生技公司Promega控告同業LifeTech侵害其專利,指稱LifeTech所製造的基因檢測套件中之組裝元件中之DNA聚合酶元件(Taq polymerase)是由美國製造,運送到英國組裝後,再販售至世界各地。Promega認為LifeTech將單一元件輸出至英國組裝的行為,已違反271(f)(1)中的「境外組裝」規定。 該案爭點之一在271(f)(1)之詮釋及適用爭議:「一當事人未經授權自美國向境外供應專利中全部或相當部份("all or a substantial portion")之元件,若元件尚未組合,而在美國境外將主要部分加以組合,如同其在美國境內將該元件組合,應視為侵權者而負其責任。」 地院認為271(f)(1)中的"all or a substantial portion"不符合本案只提供單一元件之情形,判定侵權不成立。不過CAFC認為地院有不當解釋271(f)(1),故認定LifeTech所販售的聚合酶元件符合271(f)(1)規定的"substantial portion"應解釋為"重要的部分",故推翻一審判決,判定侵權成立。 最高法院解讀271(f)(1)時,將其中的"substantial portion"解釋為"大量"或"多的",因此認定所述"單一元件"並不構成271(f)(1)中的"substantial portion",原因為單一元件並非法條所指的"多量"。 最終,最高法院認為,本案被告僅供應"單一元件"在境外組合,因此並不構成35U.S.C.271(f)(1)法條所定義之侵權行為。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
Google新版桌面搜尋工具引發隱私權顧慮Google在2006年2月11日推出最新版的桌面搜尋工具Google Desktop 3,它的最新功能可以讓用戶同時搜尋多台電腦的資料。當啟用這項功能後,它會將電腦裡的文件和文字檔案(如Word、Excel)內容予以複製上傳到Google的伺服器上。當用戶在一台電腦搜尋資料時,也會在其他台安裝此工具的電腦自動開始搜尋。Google 表示,目前已經有很多人同時使用數台電腦,這個新功能可以讓使用者的生活更為便利。 但是倡導網路隱私權的團體Electronic Frontier基金會卻表示憂慮。由於新功能可能會讓駭客更容易盜取用戶個人資料,用戶的個人隱私將面臨更大的威脅。該基金會律師Fred von Lohmann認為,使用者應重視個人資料被放在Google伺服器上可能產生的問題,這比便利性更為重要。因為使用時若未花時間處理功能選項和設定問題,它將可能導致個人資料諸如納稅、醫藥和財物紀錄,以及其他文字檔案等資料外洩。