美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅
美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。
最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。
該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張育承
副法律研究員 編譯整理
Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, 90 Fed. Reg. 1636(Jan. 08, 2025)(to be codified at 28 C.F.R pt. 202).
龔柏龍,〈美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9284&no=64(最後瀏覽日:2025/02/03)。
劉姵伶,〈美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9277&no=64(最後瀏覽日:2025/02/03)。
李思萱,〈2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9212&no=64(最後瀏覽日:2025/02/03)。
陳政陽,〈美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9173&no=64(最後瀏覽日:2025/02/03)。
莊越程,〈歐盟在考量營業秘密對企業重要性下,通過兼顧重要資料保護的資料法案,以推動資料經濟發展〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9094&no=64(最後瀏覽日:2025/02/03)。
中國大陸為鼓勵科技研發與創新,陸續訂有《科學技術進步法》(最近一次修正為2007年12月29日,自2008年7月1日施行,以下簡稱科技進步法)及《促進科技成果轉化法》(原為1996年5月15日訂定,最近一次修正已於2015年10月1日起施行),並分別規範智慧財產權相關內容。 其中,關於中國大陸政府補助科技計畫產出之智慧財產權,依科技進步法第20條第1項規定,凡政府補助之科技計畫研發成果,其產出之發明專利權、電腦軟體著作權、積體電路布局權及植物品種權,除涉及國家安全、國家利益或重大社會公共利益者外,由該科技計畫項目承擔者(參照科技進步法第5條第2項規定,可能為組織或個人)依法取得。 而相關科研工作者依前述規定取得成果後,如欲進行運用或轉化,依《促進科技成果轉化法》第2條規定:「本法所稱科技成果轉化,是指為提高生產力水平而對科技成果所進行的後續試驗、開發、應用、推廣直至形成新技術、新工藝、新材料、新產品,發展新產業等活動」,需依該法相關規範辦理,如第12條可透過政府資源、融資、創投等支持科研成果轉化,且其運用方式如第19或45條具相當彈性,並可讓執行人員獲得一定的收入。
美國國會通過《2022年保護美國智慧財產法》,加強營業秘密保護力道美國國會於2022年12月22日通過《2022年保護美國智慧財產法》(Protecting American Intellectual Property Act of 2022),經美國總統拜登(Joe Biden)於2023年1月5日簽署後正式生效。鑒於近年來美國營業秘密外洩事件頻傳,中國大陸和駭客透過各類方式竊取美國的智慧財產,對美國的經濟和國家安全產生重大危害。因此,共和黨參議員Ben Sasse與民主黨參議員Chris Van Hollen於2020年6月共同提出本法,並於2021年4月提出修正版本,期待美國政府進一步採取保護美國營業秘密的具體措施。 本法授權美國政府對涉及營業秘密重大竊盜的外國人及外國實體(foreign entity)實施制裁。重點包含: 1.要求美國總統每年應向國會提出報告,且第一份報告應於本法正式施行後6個月內提出,報告應列出符合以下條件之外國人、外國實體名稱及外國實體的執行長或董事會成員: (1)故意竊取美國營業秘密,且其行為很可能或已經對美國國家安全、外交、經濟、金融構成重大威脅者; (2)對上述故意竊取美國營業秘密之行為提供重要的財務、物質、技術、商品、服務等支援,或從中獲得利益者。 2.實施制裁 (1)針對外國實體,本法授權美國政府得實施的制裁手段有12項,包含根據國際緊急經濟權力法(International Emergency Economic Powers Act)凍結其資產、將該實體列入美國商務部的出口管制名單(Entity List)、禁止美國金融機構對該實體提供貸款、拒絕向該實體採購、禁止該實體的外匯交易、禁止美國人投資該實體的股票或債券、限制該實體成員入境、將該實體成員驅逐出境等。美國總統應針對名單中的對象實施至少5項制裁,並可對該外國實體之高層實施上述制裁。 (2)針對外國人,制裁手段包含凍結資產、拒絕入境、撤銷簽證等 3.豁免 總統若認為符合美國國家利益,得豁免對外國人及外國實體之制裁,但應於15天內向國會提交豁免的理由。 本法施行後,美國除了既有的《保護營業秘密法》(Defend Trade Secrets Act of 2016)外,將透過上述的制裁手段強化營業秘密的保護力道。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟將開發一套適用於全歐盟的權利登記系統,促使數位館藏的授權可以在一個透明且價格合理的機制下進行德國總理Angela Merkel在日前舉辦的法蘭克福書展中強調,反對在google在未釐清相關權利與建置對應的配套機制下,擅自將圖書典藏掃描數位化的作法。而不只德國反對Google的數位圖書計畫,歐盟執委會也在10月19日通過提案,要求歐盟正視圖書館藏數位化的智慧財產權議題,提案委員也督促歐盟應儘快採取行動,配合歐盟著作權法體系,發展更具競爭力的歐盟館藏數位化方案。 然在館藏書籍數位化的過程中,有必要先解決孤兒著作(verwaiste Werke)因著作人不明而無法進行數位化及授權的困境。據估計,英國圖書館館藏就有40%屬於孤兒著作。為找出一套簡易的授權機制,並建立歐盟各國針對孤兒著作共通的認定標準,歐盟在eContent Plus計畫架構下,於2008年11月便開始所謂「ARROW行動方案(Accessible Registries of Rights Information and Orphan Works)」,希望透過各國圖書館、著作權集體管理團體、出版商間的參與,整合歐盟境內不同的權利登記機制,共同開發出一套適用於全歐盟的權利登記系統,清楚顯示歐盟境內各種著作的權利狀態,促使數位館藏的授權可以在一個透明且價格合理的機制下進行,同時確保著作人可以得到適當的報酬。 有關歐盟針對圖書數位化的政策與討論,以及google數位圖書協議後續協商的結果,仍有待持續追蹤觀察。
Angie's List起訴Amazon Local侵害營業秘密消費者評論服務Angie's List於本月在印第安納州提起一項聯邦訴訟,對象是Amazon Local。Angie's List作為當地交易網站,提供高達75%的本地服務,包括產品和使用經驗。但Amazon Local員工卻通過註冊成為Angie's List的會員,以獲得其他會員名單和下載網站所提供的文件,也包括其他會員的評論和相關資訊。因此20餘名Amazon Local員工被列為共同被告。 該訴訟聲明中指控相關資訊被Amazon Local所使用,用以在西雅圖建立一個競爭性的服務。Angie's List在訴訟中指稱,他在會員協議“明確禁止使用Angie's List的帳戶和資料用於商業目的”,但Amazon Local員工卻違反了契約。“Amazon Local沒有投入必要的時間,資源和合法手段發展自己的研究與Angie's List競爭,相反的,Angie's List和它的員工都選擇了秘密訪問和挪用Angie's List專有信息的快捷方式。 Angie's List指控Amazon Local違反商業機密,竊盜,侵入電腦,民事侵權,電腦欺詐與濫用盜用行為和違反契約。Angie's List請求法院判決Amazon Local賠償其損失,並禁止Amazon Local再使用Angie's List,包括已經得到的資訊。Angie's List也請求未規定的損害賠償,“不當得利”和懲罰性的和其他損害。