歐盟執委會認可巴西資料保護能力,啟動適足性認定程序
歐盟執委會(European Commission)於2025年9月4日提出對於巴西的適足性認定草案,並且開始啟動相關程序。根據《一般資料保護規則》第45條規定,如歐盟境內之個人資料將傳輸至第三國或國際組織時,須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同,使得為之。該認定即為「適足性認定」,目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。
本次歐盟執委會所提出之適足性認定草案中,審酌了巴西《一般資料保護法》(Lei Geral de Proteção de Dados, LGPD)當中的目的限制、必要性、透明性、安全性及問責機制等原則,以及個資監管與執法之獨立機構「巴西資料保護局」(Autoridade Nacional de Proteção de Dados, ANPD)之角色,認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。
此外,ANPD於2024年發布,旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則,ANPS正依照該規則進行對歐盟進行法律評估,認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估,將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。
歐盟執委會提出對於巴西之適足性認定草案,後續須經由歐洲資料保護委員會(European Data Protection Board, EDPB)審查並提出意見,並經過成員國代表參酌EDPB提出之意見並審查批准後,始得由歐盟執委會通過適足性認定。通過適足性認定後,將促進國際資料流動,並加強巴西與歐盟之間資料保護與監管領域方面的合作。
- Brazil-EU Adequacy Decision: European Commission publishes Draft Adequacy Decision recognizing Brazil‘s data protection framework as adequate and initiates the formal process to enable the unrestricted flow of personal data from the EU to Brazil, BAKER MCKENZIE INSIGHTPLUS
- EU puts Brazil on path to mutual adequacy status, PRIVACY LAWS
- Brazil‘s New Rules on International Data Transfers, TRADE.GOV
- ANPD aprova regulamento sobre transferências internacionais de dados, AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
劉子玄
副法律研究員 編譯整理
Brazil-EU Adequacy Decision: European Commission publishes Draft Adequacy Decision recognizing Brazil's data protection framework as adequate and initiates the formal process to enable the unrestricted flow of personal data from the EU to Brazil, BAKER MCKENZIE INSIGHTPLUS, https://insightplus.bakermckenzie.com/bm/intellectual-property/brazil-eu-adequacy-decision-european-commission-publishes-draft-adequacy-decision-recognizing-brazils-data-protection-framework-as-adequate-and-initiates-the-formal-process-to-enable-the-unrestricted-flow-of-personal-data-from-the-eu-to-brazil (last visited Oct. 9, 2025)
EU puts Brazil on path to mutual adequacy status, PRIVACY LAWS, https://www.privacylaws.com/news/eu-puts-brazil-on-path-to-mutual-adequacy-status/ (last visited Oct. 9, 2025).
Brazil's New Rules on International Data Transfers, TRADE.GOV, https://www.trade.gov/market-intelligence/brazils-new-rules-international-data-transfers (last visited Oct. 9, 2025).
ANPD aprova regulamento sobre transferências internacionais de dados, AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS, https://www.gov.br/anpd/pt-br/assuntos/noticias/resolucao-normatiza-transferencia-internacional-de-dados (last visited Oct. 9, 2025).
自從2010年07月Blizzad曾經宣布針對旗下網站論壇欲推動實名制引起廣大爭議後,於沈寂一年後宣布採用Battle Tag取代原本想推動的實名方式,Battle Tag 類似連網帳號綁定的方式,由玩家自行選擇一個名稱,而該名稱最終將整合成為玩家在Blizzard旗下所有遊戲的官方網站或社群論壇的身分。 Battle Tag讓玩家用新的方式管理他們的帳戶資料,同時可以讓曾經在遊戲中並肩作戰的玩家,在不同遊戲間找到彼此,而能保持聯繫。原本Blizzard推實名制的目的之一在於確保玩家是否年滿18歲,但因引發爭議而作罷。現在他們使用Battle Tag作為替代方法,而Battle Tag 其實是由玩家自行選擇一個帳號名稱,另外再由系統隨機分配4位數的代碼方式(例如:名稱#1234),藉此創設出玩家自己獨特的名稱。 另一方面,為了保護這些整合的帳戶,且提昇玩家的帳戶安全,Blizzard並採用驗證器(Keychain Authenticator、 Mobile Authenticator),實際上驗證器就是一種憑證,玩家將驗證器與帳號連結後,即可讓自己的帳戶增加一層防護,Blizzard藉此希望降低玩家帳戶被盜的風險,因為越多玩家參與的遊戲,其帳戶實體價值可能越高,且2012年5月15日發售的暗黑破壞神3(Diablo Ⅲ),更開放了亞洲區以外的遊戲虛擬物品的現金拍賣場,如此玩家的帳戶更需要重重保護,不過才發售不到一週的時間,就有許多玩家回報帳戶遭盜用,其中亦有使用驗證器保護帳戶的玩家聲稱仍然遭盜用。
醫療物聯網(The Internet of Medical Things, IoMT)醫療物聯網(The Internet of Medical Things, IoMT)之意義為可通過網路,與其它使用者或其它裝置收集與交換資料之裝置,其可被用來讓醫師更即時地瞭解病患之狀況。 就運用的實例而言,於診斷方面,可利用裝置來連續性地收集關鍵之醫學參數,諸如血液生化檢驗數值、血壓、大腦活動和疼痛程度等等,而可幫助檢測疾病發作或活動的早期跡象,從而改善反應。於療養方面,由於患者的手術後恢復時間是整個成本花費之重要部分,故縮短療養時間是減少成本之重要要素。可利用穿戴式感測器來幫助運動、遠端監控,追蹤各種關鍵指標,警示護理人員及時作出回應,並可與遠距醫療相結合,使加速恢復更加容易。於長期護理方面,可藉由裝置之測量與監控來避免不良結果與延長之恢復期。 由於機器學習和人工智慧之共生性增長,醫療物聯網之價值正在增強。於處理來自於感測器醫療裝置之大量連續資訊流時,資料分析和機器學習可更快地提供可據以執行之結論以幫助治療過程。惟醫療物聯網亦可能面臨安全與標準化之挑戰。由於醫療保健的資料是駭客的主要目標,任何與網路連接之設備都存在安全性風險。此外,隨著相關裝置被廣泛地運用,即需要標準化以便利裝置之間的通訊,製造商和監管機構皆需尋找方法來確保裝置可在各種平台上安全地通訊。
日本《外包法》日本外包法,正式名稱為外包價金給付遲延等防止法(下請代金支払遅延等防止法,又簡稱下請法),其制定目的在於確保大型企業外包其業務予中小型企業時之交易公正性,防止外包業者濫用其相對於承包業者之優勢地位,並保護承包之小型業者的利益,而該法的主管機關為公平交易委員會(公正取引委員会)。 依該法規定,於以下情形有本法之適用:(1)業者發包委託承包業者製造、修理物品與委託承包商提供該法授權行政命令訂定列舉的資訊成果產品(製作程式)或服務(運送、將貨品保管在倉庫、資訊處理),且發包之大型企業資本額 3億日圓以上、承包之小型企業資本額3億日圓以下,或發包企業資本額於3億元以下1000萬日圓以上、承包企業資本額在1000萬日圓以下時;或(2)業者發包委託承包業者作成非屬上述行政命令所列舉之資訊成果產品(如製作電視節目或廣告、設計商品、產品之使用說明書等)、或提供非屬行政命令列舉之服務(如維修建物或機械、提供客服中心服務等),且發包業者資本額5000萬日圓以上、承包業者資本額在5000萬日圓以下,或發包業者資本額在5000萬日圓以下1000萬日圓以上、承包業者資本額於1000萬日圓以下。 符合上開法定要件時,發包業者應訂定契約價金之給付期日,不得遲延給付價金,若給付遲延則有義務支付遲延之利息等,同時禁止發包業者拒絕受領承包業者交付的履約標的,禁止無故減少契約價金、退貨、或對承包業者採取報復性措施。若發包業者違反上述規定,則由日本中小企業廳或該發包業者之事業主管機關請求日本公平交易委員會(公正取引委員会)採取相應措施,該會則得據此針對該違反行為向發包業者作出書面勸告,同時對外公開該發包業者之公司名稱、其違反行為之事實概要、以及勸告內容的概要。此外,為防止口頭約定造成日後衍生交易糾紛,發包業者於下單時,應以書面明確約定並記載例如承包業者的履約標的、契約價金數額等法定應記載事項,並在下單後立即交付該書面予承包業者,如違反,得對該發包業者課予50萬日圓以下罰金。
歐盟通過網路與資訊系統安全指令歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。 故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。 該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。