美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅
美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。
最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。
該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張育承
副法律研究員 編譯整理
Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, 90 Fed. Reg. 1636(Jan. 08, 2025)(to be codified at 28 C.F.R pt. 202).
龔柏龍,〈美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9284&no=64(最後瀏覽日:2025/02/03)。
劉姵伶,〈美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9277&no=64(最後瀏覽日:2025/02/03)。
李思萱,〈2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效,為美中資料傳輸增加限制〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9212&no=64(最後瀏覽日:2025/02/03)。
陳政陽,〈美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9173&no=64(最後瀏覽日:2025/02/03)。
莊越程,〈歐盟在考量營業秘密對企業重要性下,通過兼顧重要資料保護的資料法案,以推動資料經濟發展〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9094&no=64(最後瀏覽日:2025/02/03)。
美國「音樂現代化法案」(Music Modernization Act,簡稱 MMA) 於2018年10月由總統川普簽署成為有效法律之後,於今年(2019)9月17日正式對外發布消息,其依照MMA之規定,美國著作權局已於今年7月8日指定由「美國音樂發行協會」(National Music Publishers Association,簡稱NMPA)成立「機械式集體授權組織」(The Mechanical Licensing Collective,簡稱MLC)。NMPA係全美音樂發行商之貿易協會,早於1917年運行至今,現被指定成立MLC,擬於2021年1月正式開始進行全美音樂之「概括授權」(blanket license),並維運前所未有的「透明化資料庫」,期能對接音樂串流平台,促使音樂作品比對相關著作權之權利人,藉以有效率且準確地支付相關授權金給詞曲創作人和發行人,且串流平台業者只要確實遵守MMA之概括授權與MLC之運作方式,即免於侵權責任MLC之組織體編制與人員名單資訊,亦透明地揭示於官網,其設有MLC董事會(由BMG、SONY、華納音樂等背景之人員擔任),以及「無人認領授權金監督委員會」、「爭端解決委員會」、「營運顧問委員會」等三個委員會,各委員均由音樂著作權人或詞曲創作等人擔任。 MMA立法之初,試圖創設一全新、單一窗口非營利組織,並建置符合現代科技的數位資料庫,來解決音樂授權的痛點。而今MLC即將於後年1月正式運行,在數位時代借力科技,帶領音樂授權邁向新里程碑!
日本通過《減少食品損耗促進法》隨著地球人口增加,糧食問題日益嚴重,而土地資源有限及氣候變遷也影響著產量。除了開源—提升糧食產量之外,如何節流—減少糧食浪費,也成為各國重要課題。日本為因應聯合國永續發展目標(SDGs)中的具體目標12.3:「在2030年之前,達到減少生產供應鏈糧食損失,同時掌握消費端食物浪費流向。」並改善國內食物大量損耗的問題,參議院於2019年5月24日表決通過由跨黨派議員聯盟提出的《減少食品損耗促進法》(食品ロス削減推進法)。有鑑於日本的循環型社會法制體系中,已有以實現食品環保3R(Reduce, Reuse, Recycle)為目的之《食品循環利用法》(食品リサイクル法),《減少食品損耗促進法》要求中央及地方政府在依既有相關法規,實施食品廢棄物減量時,也應考量本法之目的和內容,適當地推行措施。 《減少食品損耗促進法》將「減少食品損耗」定義為:「防止仍能食用的食品不被廢棄之社會性措施。」並定義「食品」 係除《醫藥品、醫療機器等法》第2條第1項所稱之「藥品」、同條第2項所稱之「醫藥部外品」及同條第9項所稱之「再生醫療等製品」以外之飲品及食物。 依《減少食品損耗促進法》之規定,未來內閣府將設立名為「減少食品損耗促進會議」(食品ロス削減推進会議)之專責機關,制定減少食品損耗的基本方針,並審議相關重要事項及推動政策之實施,而地方政府也應努力制定具體的相關促進計畫。本法也鼓勵企業與中央和地方政府合作,積極減少食物廢棄物,同時希望消費者自主採取行動。「減少食品損耗」作為從食品的生產到消費各階段的重要目標, 將成為新的全民運動。
歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。