英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響

  英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國,英國仍需要明確有效的資料保護法,而關於公投退出歐盟(Brexit)結果,ICO發言人表示:「資料保護法是屬地的,不問公投結果為何,若英國不再是歐盟的成員國,即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易,我們必須證明資料保護是充足的,亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言,遵循資料保護法律與歐盟一致性規範,既是企業組織,亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作,而且未來亦是如此。目前明確的法律保護相當重要,且考量到經濟發展,ICO會向政府提出建議,英國相關法規之改革仍屬必要。」


  Brexit後,英國企業資料仍需傳輸至第三國,因此英國可能需爭取類似於瑞士、加拿大等,由歐盟執委會認定資料保護符合充足保護水準之模式;或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性,而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses),或英國授權有約束力的企業自我拘束規則(Binding Corporate rules),然而目前英國退出歐盟程序進行中,相關資料保護傳輸之法規範,仍待後續密切觀察。

相關連結
※ 英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=152&d=7533&lv2=152 (最後瀏覽日:2019/07/23)
引註此篇文章
你可能還會想看
英國提出通訊資料法之草案

  英國內政部於2012年6月提出「通訊資料法」之草案(Draft Communications Data Bill),並將於10月舉行公聽會討論。   所謂通訊資料,非指通訊內容本身之資料,而係指通訊過程中所留下的相關紀錄性資料,包括通訊帳號所有人之資料、通訊之時間、長度、來源、位置等。而目前蒐集通訊資料之用途,多半為犯罪之偵防、避免緊急危難或反恐怖活動。其所牽涉之議題重點則為向提供通訊服務之公司調閱相關資料時,該公司是否有提供之義務,及調閱機關是否有相關權限或對資料之應用是否符合調閱之目的。   此次所提出之草案,主要可分為三大部分:第一部分賦予公務機關調閱資料之權限,並規定使用該等資料過程中,相關的安全保護措施與法定程序要求。第二部分規定調閱資料所必須的法定審查流程,包括主管機關內具備權限的高階主管,應依據比例原則,決定是否可調閱資料,並在一定情況下,須經司法機關審查。另外,國務大臣應建立一定審查機制,審核各主管機關之調閱目的與調閱程序恰當與否。最後,第三部分則是有關提升審查制度運作可能性之規定,諸如明訂各個機關所享有之調閱權,以及提供郵務及電信業務經營者相當之資源以配合機關調閱資料之需求。

英國國家醫療服務體系(NHS)公布國家資料退出(Opt-out)操作政策指導文件

  個人健康資料共享向為英國資料保護爭議。2017年英國資訊專員辦公室(ICO)認定Google旗下人工智慧部門DeepMind與英國國家醫療服務體系(NHS)的資料共享協議違反英國資料保護法後,英國衛生部(Department of Health and Social Care)於今年(2018)5月修正施行新「國家資料退出指令」(National data opt-out Direction 2018),英國健康與社會照護相關機構得參考國家醫療服務體系(NHS)10月公布之國家資料退出操作政策指導文件(National Data Opt-out Operational Policy Guidance Document)規劃病患退出權行使機制。   該指導文件主要在闡釋英國病患退出權行使之整體政策,以及具體落實建議作法,例如: 退出因應措施。未來英國病患表示退出國家資料共享者,相關機構應配合完整移除資料,並不得保留重新識別(de-identify)可能性; 退出權行使。因指令不溯及既往適用,因此修正施行前已合法處理提供共享之資料,不必因此中止或另行進行去識別化等資料二次處理;此外,病患得動態行使其退出權,於退出後重新加入國家資料共享體系;應注意的是,退出權的行使,採整體性行使,亦即,病患不得選擇部分加入(如僅同意特定臨床試驗的資料共享); 例外得限制退出權情形。病患資料之共享,如係基於當事人同意(consent)、傳染病防治(communicable disease and risks to public health)、重大公共利益(overriding public interest)、法定義務或配合司法調查(information required by law or court order)等4種情形之一者,健康與社會照護相關機構得例外限制病患之退出權行使。   NHS已於今年9月完成國家資料退出服務之資料保護影響評估(DPIA),評估結果認為非屬高風險,因此不會向ICO諮詢資料保護風險。後續英國相關機構應配合於2020年5月前完成病患資料共享退出機制之建置。

歐洲藥物管理局「臨床試驗資料公開與近用政策」(草案)之定案日期將延後

  歐洲藥物管理局(European Medicine Agency,EMA)於今年六月下旬起至九月底止,開放接受公眾針對該局所擬「臨床試驗資料公開與近用政策」草案(draft policy on publication and access to clinical-trial data)提出回饋意見。所有公眾建言都將由EMA加以檢視,並將成為上述政策草案正式定案前之參考。原本EMA預計在2013年年底即對上述政策草案拍版定案,然而,由於歐洲藥物管理局收到超過一千則來自四面八方、不同立場之公眾回饋意見,為求妥適、深入檢視、分析這些意見,EMA原訂之定案時程將被迫遞延。新的定案時間表最慢將於十二月中上旬公布。   根據上述「臨床試驗資料公開與近用政策」草案之現行版本(亦即提供公眾評論並回饋意見之版本),原則上,EMA所持有之臨床試驗資料,將依其類型之差異而適用不同的公開或近用標準。依照EMA之分類,試驗資料將被區分為(1)「公開後不會導致個資保護疑慮之試驗資料」、(2)「如經公開,可能產生個資保護疑慮之試驗資料」、(3)「內含商業機密資訊之試驗資料」等三大類。上述第三類之「內含商業機密資訊之試驗資料」不會受到此一政策草案之影響,第二類資料將有限制的公開與提供近用,至於第一類資料,則將公開於EMA網站上供公眾下載。

南非提出個人資料保護法草案

  南非共和國議會在2013年8月22日通過了個人資料保護法修正案(PROTECTION OF PERSONAL INFORMATION BILL),該法案已由總統Jacob Zuma簽署正式成為法律,這也是南非首次全面性的個人資料保護立法 。   該部立法目的在於為促進個人資料的保護,建立全面性的個人資料保護原則。此次提出多項修正,包括 : 1. 設立獨立法人監察機構作為獨立且公正的執行個人資料保護法上職務及權力。 2. 公、私部門僅在特定情形時方可處理個人資料。 3. 蒐集個人資料必須提交予前述獨立法人監察機構。 4. 限制蒐集兒童個人資料,並將哲學、信仰、宗教,種族、民族血統,工會會員,政治觀點,健康,性生活或犯罪前科列為特種個人資料,並加以限制蒐集。 5. 需要處理個人資料者,必須落實保護措施,以保護個人資料為完整之狀態。 6. 發生個人資料外洩情形時,必須通知受影響的當事人以及前述獨立法人監察機構。 7. 要求公、私部門均需指定專責個人資料保護人員。 8. 透過自動傳呼裝置行銷需受到一定程度之限制。 9. 限制跨境傳輸時,限制傳輸收受方必須是至少具備與南非相同個人資料保護水準之區域。   南非之個人資料保護法通過後,對於消費者保障係又提升至另一層次,然該法之施行會對企業造成的衝擊,以及消費者是否可以在修法後獲得實質上的保障,仍待觀察。

TOP