英國數位文化媒體暨體育部發布數位身分之公眾諮詢,發布法制政策回應並揭示相關原則

  英國數位文化媒體暨體育部(Department for Digital, Culture, Media and Sport, DCMS)2020年9月1日發布「數位身分:政府諮詢回應」(Digital Identity: Call for Evidence Response)文件,以回應過去英國政府曾於2019年7月向各界蒐集如何為成長中的數位經濟社會建立數位身分系統之意見。依據諮詢意見之成果,英國政府計畫調修現行法規,使相關身分識別流程以最大化容許數位身分之使用,並發展有關數位身分之消費者保護立法;立法中將特別規範個人之權利、如何賠償可能產生的侵害,以及設定監督者等相關內容。數位身分策略委員會(Digital Identity Strategy Board)並提出六項原則,以加強英國之數位身分布建與政策:

  1. 隱私:當個人資料被使用時,應確保具備相關措施以保障其保密性與隱私;
  2. 透明性:當個人身分資訊於使用數位身分產品而被利用時,必須確保使用者可了解其個資被誰、因何原因,以及在何時被利用;
  3. 包容性:當人們希望或需要數位身分時即可取得。例如不備有護照或駕照等紙本文件時,對於其取得數位身分不應產生障礙;
  4. 互通性(interoperability):應設定英國之技術與運作標準,使國際與國內之使用上可互通;
  5. 比例性:使用者需求與其他因素(如隱私與安全)之考量應可平衡,使數位身分之使用可被信賴;
  6. 良好監理:數位身分標準將與政府政策與法令連結,未來之相關規範將更加明確、一致並可配合政府對於數位管制之整體策略。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 英國數位文化媒體暨體育部發布數位身分之公眾諮詢,發布法制政策回應並揭示相關原則, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=67&tp=1&d=8575 (最後瀏覽日:2024/05/24)
引註此篇文章
你可能還會想看
歐盟GDPR保護適足性審核與因應作為

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員 吳柏凭 2018年04月10日 壹、事件摘要   歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1],對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速,網際網路與各項應用興起,既有歐盟個人資料保護指令面對這些變化已經難以為繼,歐盟執委會(European Commission) 出新的資料保護規則(General Data Protection Regulation, GDPR),於2016年4月27日通過,5月4日公布,正式成為歐盟第2016/679號規則(Regulation (EU) 2016/679)[2]。由於歐盟原則上禁止個人資料跨境傳輸,只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸,因此如何獲得歐盟保護適足性認可,就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定   1995年的個人資料保護指令,就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中,對於保護適足性的審查,包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等,透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準,則依照第29條規定資料保護工作小組(Article 29 Data Protection Working Party)的指導文件[5],其中對於法律規範審查,除了內容外,更重視個資保護的執行面。 二、GDPR保護適足性審查規定   GDPR延續了個人資料保護指令的規定,原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定,適足性的評估包括以下要素: 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作,或對象為國際組織時,確保及執行資料保護規則之遵守,包括充足之執行權,以協助及建議資料主體行使其權利,並與會員國之監管機關合作; 個人資料向其他第三國或國際組織進一步移轉,該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟;第三國或國際組織所加入之國際協定,或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務,尤其關於個人資料保護者。   以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化,同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定,填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況   保護適足性認可的程序[7]為: 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。   縱然取得認可,之後也會每四年檢驗一次[8],如果被判定不具保護適足性,則仍會取消原本的認可[9]。   現階段已通過保護適足性審核的國家地區包括:安道爾、阿根廷、加拿大(民間機構)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭,另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 (一)保護適足性認可的效益   除了取得適足性認可外,個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC);2.拘束企業準則(Binding Corporate Rules, BCR);或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本,減輕企業負擔,同時也有助於整體產業突破歐盟貿易壁壘。 (二)通過保護適足性審核的困難   雖然現行通過適足性審核的國家地區有11個,惟需注意的是,根西島、馬恩島、以及澤西島都是英國屬地,法羅群島是丹麥屬地,而安道爾和瑞士都是在歐洲境內,這些國家地區的法規範本來就與歐盟差距不大,加上美國及加拿大國家本身不被認可具適足性,實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間,因此也不能作為短期的因應措施。   此外,在要件方面,規範上雖然我國個資保護規範與GDPR未有極大歧異,但只要存有差異,要取得認可就有極高困難度,這些都需要與歐盟執委會溝通。而在監管機關要求方面,雖然沒有要求單一機關,但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準,但在歐盟法院判決中,有因為德國的州對州層級的資料監管機關進行調查的權力,而被認為不具獨立性[11]。 (三)通過適足性審核的具體作為   以日本為例,為了取得歐盟適足性認可,在2015年9月就其個人資料保護法(個人情報保護法)進行修正,其中設立個人資料保護委員會(個人情報保護委員会)即是為了符合適足性要求中「獨立監管機關」規定,而第24條跨境傳輸的規定更是重要。   日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12],同時在2017年發出共同聲明[13]。在不修正法律的狀況下,日本個人資料保護委員會頒布一指導方針來消除差異,並於於2018年2月9日先揭示調適方向[14],包括: 將歐盟視為敏感性個人資料而日本未明文規定者,解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間,一律可以主張權利,而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資,不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉,必需要透過契約等規制,確保資料受保護水準。 關於歐盟跨境傳輸的個資,在去識別化一定要確認無法再識別,以與歐盟去識別化資料定義相符。 肆、結語   歐盟GDPR已施行在即,如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰,更是跨越歐盟貿易壁壘的重要關鍵,而在眾多例外許可跨境傳輸的方法中,又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高,但仍有許多能努力的空間,目前我國也著手申請適足性認可的準備,未來能得到何種程度的回應,值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会,個人情報保護委員会の国際的な取組について,https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO,個人データ保護の「十分性認可」取得の好機に-日EU首脳が共同声明-,https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会,EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ,https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

新加坡擬禁止未獲所有人同意下測試和研究基因

  新加坡生物道德諮詢委員會五日發表基因檢驗與研究道德準則草案,草案建議政府禁止基因研究者在未獲得同意之下取得基因進行測試與研究,同時也禁止採用基因檢驗來選擇胎兒的性別。新加坡生物道德諮詢委員公布基因檢驗與研究道德準則草案,共提出二十四項建議,希望能在研究人員從事基因研究時,保障人權。    草案建議政府,任何基因測試除非獲得基因所有人同意,否則不得進行。,產前基因篩檢只能限於確保孩子的健康,不要把先天性疾病遺傳給下一代,但不能用在選擇生男或生女。草案規範,研究員或醫生不能把基因研究結果透露給第三者,包括雇主和保險公司知道,以保障個人隱私。    委員會已經把草案公布在網站上供民眾查閱,並分送給一百一十四個機構,徵詢公眾和機構的看法;委員會將在年底向星國生命科學部長級會議提出報告。

因應韓美自由貿易協定,韓國實施新修正之專利及商標制度

  韓國特許廳於2011年11月22日送交韓國國會批准之韓美自由貿易協定(Free Trade Agreement,簡稱FTA),於2012年3月15日正式生效。為因應韓美FTA的簽定,韓國專利及商標制度均須進行一定幅度的修正,例如專利權存續期間延長、聲音及氣味得註冊為商標等新制度。   首先,專利法修正重點如下: 專利權存續期間延長:指針對因審查過程緩慢,導致專利登記遲延者,遲延期間得視為專利權之存續期間。 專利申請優惠期延長:專利申請人將其發明公開發表在學術期刊時,將申請之優惠期從公開後6個月延長至12個月,亦即12個月內提出申請仍可取得專利。 廢止專利權撤銷制度:將發明專利在韓國國內一定期間(最少5年)不實施之撤銷專利權事由,予以廢止。   其次,商標法修正重點如下: 增訂新型態商標及證明標章制度:聲音、氣味得註冊為商標;新增證明標章之保護態樣,以證明「品質」、「原產地」、「生產方法」等特性。 廢止商標之專用使用權登記制度:修法前之韓國商標法第56條第1項第2款規定,商標專用使用權之設定、移轉(一般繼承之情形除外)、變更、消滅(權利混同之情形除外)或處分之限制等事項,非經登記,不生效力。 新增法定損害賠償制度:商標權人除可依照實際侵害情況請求損害賠償,商標法亦新增權利人得請求法定5千萬韓圜範圍內的損害賠償金額,且須經法院判決同意該損害賠償額度。   此外,針對專利法、新型專利法、設計保護法、商標法、不正競爭防止及營業秘密保護法等法規,也一併新增「保密命令制度」,亦即透過訴訟程序,對於營業秘密有被公開之虞之情形時,法院可對雙方當事人作出不得公開之保密命令。韓國期透過此次專利法及商標法等相關法規之修正,讓專利權人於權利行使期間得以獲得實質保障,同時亦擴大企業商標選擇之範圍。

歐盟智慧財產局公布2020年智財侵權狀況報告

  歐盟智慧財產局(European Union Intellectual Property Office)於今(2020)年第三季公布最新智財侵權狀況報告,研究報告為其智庫「歐盟智慧財產權侵權觀察平台(The European Union Observatory on Infringements of Intellectual Property Rights)」所執行,並結合經濟合作暨發展組織(Organization for Economic Cooperation and Development)之數據資料,每年以不同主題呈現當年世界智財侵權狀況。今年以「智財權為何重要、智財侵權與打擊仿冒之戰爭」為主題,重點如下: 智財密集產業對歐盟經濟貢獻占整體GDP的45%、就業人數占歐盟就業人口的29%、出口貨物量占96%。 企業對智財的重視比例增高,重視智財的企業雇員平均收入較不重視智財權者高出32%;運用智財於營運策略的中小企業成長潛力高於無智財權者,如依權利運用類型區分,其成長率分別是10%(商標)、16%(商標結合專利)、27%(商標與設計權),以及33%(三種權利組合)。 全球仿冒品占其貿易總量約3.3%,市值高達1,210億歐元。 除日常藥品,抗生素、癌症或心臟疾病藥物仿冒情形均趨於嚴重;2019年爆發新冠肺炎後,偽造商更是將仿冒移轉至檢測試劑與個人防護用品。   尤其進入AI與5G時代後,智財密集產業對世界經濟貢獻度可望逐年上升,但侵權狀況恐怕亦同,咎因於該產業之興盛與背後龐大的潛在利益。因此持續推動建立企業的智財意識與防護能力,有其必要性,以助於提升產業發展潛力與整體營運獲利。

TOP