APEC跨境隱私保護規則體系下之問責機構介紹

刊登期別
第30卷,第9期,2018年09月
 
隸屬計畫成果
網路購物產業價值升級與環境建構計畫
 
摘要項目
  由於各國個人資料或隱私保護規定不一,即使是立意良善的個資保護,對涉及跨境交易業者而言,個資法遵可能成為一種潛在的貿易障礙。APEC為協助其會員體發展有效的個人資料隱私保護措施,促進跨境資料流通,自2004年起陸續推出相關措施與計畫,並於2011年通過「跨境隱私保護規則體系」(Cross Border Privacy Rules System,CBPR體系)。CBPR體系期望建立消費者、企業及監督管理者對個人資料跨境流動之信任,其中的關鍵之一便是所謂「問責機構」(Accountability Agent)。本文針對CBPR體下中的問責機構進行介紹,並概述問責機構的申請資格、認可標準等重要議題。

※ APEC跨境隱私保護規則體系下之問責機構介紹, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8123 (最後瀏覽日:2024/02/28)
引註此篇文章
你可能還會想看
德國公布最新DiGA指引,針對「系統數據分析」作補充說明

德國聯邦藥品暨醫療器材管理署(Bundesinstitut für Arzneimittel und Medizinprodukte, BfArM)於2022年3月18日發布3.1版《數位健康應用程式指引》(Digitale Gesundheitsanwendungen(DiGA) Leitfaden),主要針對3.0版未詳盡之「系統數據分析」(Systematische Datenauswertung)部分作補充說明(參考資料四,頁152以下)。 德國於2019年12月即透過《數位化創新醫療服務法》(Digitale-Versorgung-Gesetz, DVG)修訂《社會法典》第五編(Sozialgesetzbuch Fünftes Buch, SGB V)關於法定健康保險之規定,賦予數位療法(Digital Therapeutics, DTx)納保給付的法律基礎,BfArM並透過《數位健康應用程式管理辦法》(Digitale Gesundheitsanwendungen-Verordnung – DiGAV)建構處方數位療法(Prescription Digital Therapeutics, PDT)的管理架構並發布DiGA指引,使數位療法得以快速被納入法定健康保險給付範圍。 開發商之數位健康應用程式取得歐盟醫療器材規則(Medical device regulation, MDR)CE Mark I & IIa級認證之後,得向BfArM提交申請,若該應用程式「符合法規要求」(Anforderungen),並具有「積極醫療效果」(Positive Versorgunseffekte),則該應用程式最快可以在三個月取得永久許可,通過許可將被列入DiGA目錄(DiGA-Verzeichnis)當中;而若僅「符合法規要求」則會被暫時收錄,需在十二個月內補上「積極醫療效果」的證據或報告,以取得永久許可,否則會從DiGA目錄中刪除。DiGA目錄中的應用程式(包含臨時許可)會納入單一支付標準(Einheitlicher Bewertungsmaßstab, EBM),法定健康保險將依該標準表列之金額給付給製造商。 目前DiGA目錄上共有36款應用程式,當中13款取得永久許可、19款取得臨時許可、另有4款被刪除;三分之一的應用程式係用於治療焦慮或憂鬱等精神疾病,其他尚包括治療耳鳴或肥胖症等疾病。病患近用DiGA目錄中之應用程式的途徑有二:透過醫師開立處方,或是依照醫師診斷之病症自行在DiGA目錄中查找對應的應用程式後提交處方申請。法定健康保險將會依照該應用程式被使用之次數,對照EBM所列之價額後,給付費用予開發商。 「本文同步刊載於 stli生醫未來式 網站(https://www.biotechlaw.org.tw)」

印第安那州對違反個資外洩通報義務之保險公司提起訴訟

  印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。   前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。   經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。   前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。   除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。

FCC將關閉北卡地區之類比無線電視

  完成700MHz頻段之頻譜拍賣後,美國通訊傳播委員會(Federal Communications Commission, FCC)亦開始積極著手準備頻譜回收工作,以期能夠順利在2009年2月17日全面關閉類比無線電視訊號,完成無線電視數位化及頻譜回收。   為能提早發現關閉類比無線電視訊號可能帶來之問題或影響,FCC於2008年5月8日宣布將在2008年9月8日中午12時正式關閉北卡威明頓(Wilmington)地區之類比無線電視訊號。在此次關閉類比無線電視訊號過程中,FCC將和無線電視、有線電視等相關業者及協會密切合作,以解決過程中發生的任何問題。FCC之所以選擇威明頓地區率先關閉無線類比電視訊號,主要原因之一在於威明頓地區的四大電視網均已完成數位化工作,並自願提前關閉類比無線電視訊號。   針對於FCC此一測試計畫,美國國家廣播電視協會(National Association of Broadcasters, NAB)亦發表聲明表示支持與配合。除此之外,NAB同時表示此次試驗的結果必須被審慎檢驗,並用於決定如何關閉全國的類比無線電視訊號。NAB希望有關單位透過此次試驗之結果,決定明年全面關閉類比無線電視訊號時,聯邦、州及地方政府應如何合作、數位機上盒供應、有線電視及衛星電視業者之配合等相關問題。

歐盟對CISAC權利金收費行為展開限制競爭調查

  歐盟最近對CISAC公司的權利金收費行為,是否涉有不公平競爭之情事展開調查,此舉引發藝文界高度關注。CISAC乃是由作家及作曲家所組成的一個國際性聯盟組織( International Confederation of Societies of Authors and Composers),會員來自於109個國家的207個社團( member societies),代表超過兩百萬位以上的藝術家、作曲家及導演之權益。   在一封2月7日寄發給CISAC的信件中,執委會表示CISCA拒絕跨國授權的行為,已構成違反歐盟競爭法第81條。此外,執委會也表示,CISCA要求只有個別國員內的權利金收費社團可為會員收取權利金的約款,將迫使創作者無其他選擇,必須將其權利移轉給其國內之權利金收費社團,此種限制性約款亦為歐盟競爭法所不許。蓋CISCA本即擁有事實上之獨佔地位,此等約款將使其他潛在競爭者難以進入市場,故有限制競爭之疑慮。   2月21日,在與內部市場委員(Internal markets Commissioner)Charlie McCreevy的會面中,音樂作曲家代表對歐盟競爭總署近來的大動作,將可能危及文化多樣性(cultural diversity),扼殺廣大文化創作者的創意,毀掉歐盟在此一領域之利基,表達出高度疑慮。McCreevy 向作曲家保證,執委會的目的不在限制或詆毀創作者既有之權利,而是希冀能建立一個合法的數位環境,活絡歐盟地區的線上音樂服務。   目前,歐盟地區的跨國廣播公司如要播放音樂,必須在個別播放國家分別取得其權利金收費團體的授權。如果歐盟可藉由此次限制競爭的調查,迫使CISAC提供泛歐洲授權契約的服務,將使線上廣播公司受惠。

TOP