歐盟針對個人資料傳輸第三國之規範提出參考指引

  歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。

  有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。

  首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。

  綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。

相關連結
相關附件
※ 歐盟針對個人資料傳輸第三國之規範提出參考指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=6652 (最後瀏覽日:2024/12/03)
引註此篇文章
你可能還會想看
從歐盟、新加坡固網法規檢視台灣高速寬頻環境發展困境

歐盟執委會發布聲明將協助全球紓困以對抗新冠病毒

  歐盟執委會(European Commission, EC)於2020年4月8日發布新聞稿,說明歐盟將制定紓困計劃,投入資金支援全球盟國對抗新冠肺炎。歐盟的行動將側重於解決急迫的衛生問題以及人道主義需求,加強盟國的健康、供水和公共衛生環境,及協助盟國發展對抗流行病的研究和準備能力,減輕疾病對國家經社之影響。   此次計劃立基於「Team Europe」,「Team Europe」是歐盟執委會因應疫情採取全球及跨境協調的紓困方案,強調整併來自歐盟、歐盟成員國及金融機構──特別是歐洲投資銀行(European Investment Bank, EIB)和歐洲復興開發銀行(European Bank for Reconstruction and Development, EBRD)──的資金,提供全球盟國立即而精準的援助,目前已投資超過156億歐元的資金。而在此次全球紓困中,歐盟短期面提供盟國資金,長期面則協助解決盟國因疫情引發的社會經濟問題。   本次紓困計畫區分為三大部分,分別為: 5.02億歐元用於應急行動(Emergency response actions):包括提供資金生產個人防護設備和醫療設備、降低各國出口障礙以確保供應鏈完整(特別是基本醫療用品和藥品的供應鏈)及支援聯合國和世衛的相關應對政策等; 28億歐元用於支援社會研究、衛生系統與供水系統:支援盟國建立反應快速的衛生和社會保護體系、對疫情嚴重國家進行疫苗配送與補貼、專家培訓和流行病學監測(epidemiological surveillance),並且強化非洲、拉丁美洲、加勒比海地區以及亞太地區的區域衛生組織發展。 122.8億歐元針對疫情後經濟和社會影響進行紓困:提供盟國直接預算和優惠資金、由歐洲投資銀行提供盟國公部門貸款(特別是醫療保健設備用品之貸款)以及透過國際貨幣基金組織(International Monetary Fund, IMF)對西巴爾幹地區及鄰國提供金融援助等。

英國政府擬限制18歲以下孩童於社群軟體按讚功能

  英國資訊委員辦公室(Information Commissioner’s Office, ICO)於今(2019)年4月15日發布「合適年齡設計:網路服務行為準則」(Age appropriate design: a code of practice for online services)諮詢報告,針對18歲以下孩童使用網路服務所涉及個人資料之相關議題提出遵循標準,要求網路服務提供商應受遵循以保障孩童隱私資訊。   本次諮詢報告主要針對網路服務如何適當確保孩童個人資料,同時符合歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)以及《隱私及電子通訊規則》(Privacy and Electronic Communications Regulations, PECR),若網路服務提供商未依循該行為準則,將很難證明符合GDPR、PECR規定,ICO亦採取監管措施(regulatory action),包含警告、譴責、執行通知、罰款等。於諮詢報告中,臚列涉及個人資料事項,包括資料共享、地理定位(geolocation)、家長監控(parental controls)、輕推技術(nudge techniques)、默認裝置(default settings)、側寫(profiling)等多達16項遵循標準,其中輕推技術引發抑制網路科技發展、過度監管爭議。   所謂「輕推技術」是指專為引導用戶或鼓勵用戶決策時可以點選之程式以表示用戶想法,簡而言之Facebook、Instagram按「讚」功能、社群軟體Snapchat「Streaks」互動功能,或是新聞網頁常見「是」或「不是」選擇性問題視窗等即是輕推技術應用。由於輕推技術之設計會蒐集用戶瀏覽網頁習慣,甚至透露其個人性格、生活狀態給廣告商或社群媒體等。   諮詢報告指出,依據GDPR前言第38點規定,因孩童對於其個人資料處理之可能風險、結果及相關保護措施及其權利認知較低,同時依GDPR第5條規定個人資料之蒐集處理與利用,對資料主體者應為合法、公正及透明(lawfulness, fairness and transparency)。但輕推技術的運用將會促使資料主體者更容易地提供其個人資料,同時,尤其會誘導兒童去選擇隱私保護較低的選項設定或花費更多時間在這些服務上,而此一技術之運用正是利用資料主體者之心理偏差(psychological bias),而違反了公平與透明原則。因此諮詢報告書要求網路服務提供商應主動限制孩童使用輕推功能。ICO於諮詢文件更詳細依0-5歲、6-9歲、10-12歲、13-15歲、16-17歲不同年齡層限制輕推技術應用之程度,或在何種情況須有家長陪同,以保障孩童隱私。   此項標準引來正反兩派意見,主張自由市場(free market)人士批評,認為有過度監管之嫌並阻礙科技發展,輕推技術本身不是問題,而是在於蒐集個人資料後要做那些運用,同時要如何執行限制技術之應用亦將是問題所在。而贊成者認為廠商如提供網路服務給所有年齡層時,應有特別措施以保護不同年齡層之人,因此對於孩童與成人間之監管程度應有區別。該諮詢報告於今(2019)年5月31日截止公眾諮詢階段,並預計2020年初施行該行為準則。

南韓司法單位擬懲處黃禹錫等四人

  去(2005)年11月,全球幹細胞研究先驅-韓國首爾大學黃禹錫(Hwang Woo-suk)教授承認其研究有國際醫學倫理瑕疵,引發軒然大波。其後,相關的醜聞頻傳,黃教授更被控研究造假,使得原本以前瞻之胚胎幹細胞研究技術(即體細胞核轉置技術”somatic cell nuclear transfer”)獨步全球的韓國科學界,研究信譽遭受嚴重打擊。   偵辦「黃禹錫科研論文造假醜聞案」的南韓檢察當局,經連日傳訊相關人員後,正考慮對黃禹錫等四人採取司法懲處。 對於被查出不法獲得並使用科研用卵子的黃禹錫,檢方考慮依據違反「生命倫理及安全之法律」等條文予以懲處。   據指出,檢方在調查中,掌握了2004年及2005年刊登在「科學」雜誌上的科研論文,黃禹錫等人捏造體細胞複製幹細胞,和為病患複製培育胚胎幹細胞的科研數據,矇騙了整個科學界。調查顯示,黃禹錫去年十一月檢驗幹細胞的遺傳基因(DNA)指紋之前,似乎真的不曉得根本就不存在為病患量身打造複製培育胚胎幹細胞的事實。但檢方卻證實黃禹錫確實指示屬下研究員,將部分照片等科研數據和資料,自我膨脹等造假的事實。   由於生醫研究給許多病患帶來新的治療希望,因此其通常會以實際行動(即自願捐贈研究用檢體、協助經費募集等)表達支持。惟研究瑕疵或造假則會讓病患及一般民眾認為遭受欺騙,進而影響其未來捐贈檢體或以受試者身份參與生醫研究之意願。可見生醫倫理並不僅是道德呼籲,也是生醫研究能否順利進行、生醫研究能否生根發芽的重要基石。 黃禹錫案之相關報導可參見 The Economists, December 3 rd 2005, p. 71; The Economist, December 24 th 2005, p. 109-110

TOP