美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅
美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。
最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。
該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
張育承
副法律研究員 編譯整理
Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, 90 Fed. Reg. 1636(Jan. 08, 2025)(to be codified at 28 C.F.R pt. 202).
龔柏龍,〈美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9284&no=64(最後瀏覽日:2025/02/03)。
劉姵伶,〈美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9277&no=64(最後瀏覽日:2025/02/03)。
李思萱,〈2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9212&no=64(最後瀏覽日:2025/02/03)。
陳政陽,〈美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9173&no=64(最後瀏覽日:2025/02/03)。
莊越程,〈歐盟在考量營業秘密對企業重要性下,通過兼顧重要資料保護的資料法案,以推動資料經濟發展〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9094&no=64(最後瀏覽日:2025/02/03)。
日本於2021年5月19日公布新修正之《個人資料保護法》(個人情報の保護に関する法律),並預計於2022年4月正式施行。修法重點如下: 一、法律形式及法律管轄一元化:現行日本個人資料保護法制依適用對象分為《個人資料保護法》、《行政機關個人資料保護法》(法律行政機関の保有する個人情報の保護に関する法律)、《獨立行政法人等個人資料保護法》(独立行政法人等の保有する個人情報の保護に関する法律)及各地方政府個人資料保護條例等不同規範,修法後將統一適用《個人資料保護法》,並受到個人資料保護委員會之監督管理。 二、整合醫療及學術領域之規範:目前醫療及學術機構因隸屬於公部門或私部門適用不同規範,修法後無論公私立醫院、大學等原則上均適用相同規範。 三、調整學術研究之豁免規定:基於學術研究自由為憲法保障之基本權,現行《個人資料保護法》明文規定學術研究一律排除適用本法規定,惟2019年日本取得《歐盟一般資料保護規則》(GDPR)適足性認定之範圍未包含學術研究,故修法調整豁免規定為例外情形排除適用,如變更利用目的、取得敏感性個人資料及提供予第三者之情形。 四、整合個人資料及匿名化資料之定義:修法將公部門與私部門對個人資料之定義,整合為包含「易於」與其他資料比對後得以識別特定個人之要件。而《行政機關個人資料保護法》所稱「去識別化資料」(非識別加工情報),與《個人資料保護法》所稱「匿名化資料」(匿名加工情報),修法後將統一稱為「匿名化資料」。 為銜接上述修法內容,日本個人資料保護委員會自2021年8月起陸續針對《個人資料保護法施行令》、《個人資料保護法施行規則》及個人資料保護法相關指引公開徵求意見,後續值得持續觀察日本個人資料保護法制發展。
比利時法院要求Google移除新聞轉載連結儘管類似 Google News 提供新聞連結的作法在網路上屢見不鮮, Google 也認為其行為完全合法,但 比利時布魯塞爾法院於 9 月 5 日 作出的判決,仍要求 Google 在沒有獲得對方允許或支付相應費用的情況下,應 停止從法語報紙上節錄新聞片段,否則將會面臨每天一百萬歐元的罰款。 Google 雖因此暫時移除了相關新聞的轉載連結,卻打算對此判決提起上訴。 該案法官指出, Google 在這些報章媒體網站更新相關新聞後,才在 Google 網站上提供轉載內容,法院認為這不但侵害了作者的著作權,且違反比利時有關資料庫的法律。除了移除轉載連結外,法院也要求 Google 必須在 Google 比利時網站上公布該判決內容,否則另須繳交每日五十萬歐元的罰款。 這起控告 Google 的訴訟是由比利時出版集團 Copiepresse 所提起的,該集團代表比利時境內多家法語及德語報社,亦為一管理比利時法語及德語媒體著作權的專門機構。
日本對未來2020年至2030年間網路基礎設施之預測日本總務省未來網路基礎設施研究會(将来のネットワークインフラに関する研究会)4月份針對日本人工智慧(Artificial Intelligence 簡稱AI)、物聯網(Internet of Things 簡稱IoT)、資訊及通訊技術(Information and Communication Technologies 簡稱ICT)等技術相對應之網路基礎設施做作出預測。 在2020年以後第五代通信技術(5G)、物聯網系統、高畫質通訊等技術相繼成熟及普及化,相關業者勢必發展出多樣化、高度專業化使用者需求之網路結構,而手機聯網系統從單純的資訊傳遞網路,逐漸變成社會系統之神經網絡(社会システムの神経網)。 物聯網服務目前係由專用終端設備,並根據特定的應用目的建構,但在未來的網絡基礎設施,可能出現如橫向合作應用的通用平台,到2030年左右物聯網服務中M2M(Machine to Machine,機器和機器之間的通訊)的佔有率估計將達到10%。 人工智慧網路技術不僅僅是虛擬化層網路(仮想化レイヤのネットワーク)之維護和操作,更是物理層面的網路(物理レイヤのネットワーク)資源的管理,AI仍然只擔任協助之工具。其中,物理網絡(物理ネットワーク)和邏輯網絡(論理ネットワーク)應分別處理,邏輯網絡將型成多層次化,將變得難以檢測故障和調查原因,但在安全和可靠的網絡基礎設施下,經營者使用AI技術仍然是沒有問題的。 由於雲端技術、通訊技術之提昇,非電信營運者進入網路經營之商業型態逐漸產生,型成網路使用者、資料提供者之多樣性及複雜性。網路流量方面,在2030年左右將超出100Tbps核心網絡所需的傳輸容量,達到以往的光纖的容量限制,將透過無線電接入技術進一步發展,補足不足的光學寬頻。然而,人們對於網路更快的通信速度、安全性及可靠性的功能需求是沒有改變的。
何謂日本「大學共同利用機關法人」所謂「大學共同利用機關法人」,係指日本於《國立大學法人法》(国立大学法人法)中,以設置大學共同利用機關為目的,依該法之規定設置之法人。而所謂「大學共同利用機關」,依該法之規定,則係指有關在該法所列舉之研究領域內,為促進大學學術研究之發展而設置,供大學院校所共同利用之實驗室。日本利用大學共同利用機關法人之設置,將大型研發設施設備,以及貴重文獻資料之收集及保存等功能賦予大學共同利用機關,並將其設施及設備,提供予與該大學共同利用機關進行相同研究之大學教職員等利用。 目前登錄於日本文部科學省之大學共同利用機關法人包括了「大學共同利用機關人類文化研究機構」(大学共同利用機関法人人間文化研究機構)、「大學共同利用機關自然科學研究機構」(大学共同利用機関法人自然科学研究機構)、「大學共同利用機關高能量加速器研究機構」(大学共同利用機関法人高エネルギー加速器研究機構),以及「大學共同利用機關資訊與系統研究機構」(大学共同利用機関法人情報・システム研究機構)等四者。