【國際快訊】歐盟資料保護委員會公告「影視監控準則」及「美國跨國使用資料法案於歐盟個資保護法規架構的合規性評估」_研究企劃組 殷其光研究員
歐洲經濟體資料保護局(EEA Data Protection Authorities)與歐盟資料保護監管機構(European Data Protection Supervisor)於7月9日至7月11日在布魯塞爾的歐盟資料保護委員會舉行第12次全體會議。在全體會議期間,廣泛地討論了數項議題,其中以「影視監控準則」(Guidelines on Video Surveillance, GVS)及「美國跨國使用資料法案於GDPR合規性評估」兩項議題,受到最多的關注。
在「影視監控準則」的部分,歐盟資料保護委員會在本次會議通過了影視監控準則,這份準則闡明如運用視聽設備作為個人資料處理的媒介,處理者為符合GDPR的合規性,需踐行應作為及不應作為之各項行為準則,歐盟資料保護委員會藉由頒布影視監控準則,將明確化運用視聽設備蒐集、處理、利用個人資料的具體操作方法,使業者能安心地運用視聽設備處理個人資料,有利於產業正向發展。
這份準則已涵蓋了傳統視聽設備和智慧視聽設備運用個人資料的方式,特別是智慧視聽設備,由於其蒐集的面向更為全面,處理及利用的深度更具侵略性,影視監控準則側重於特種個人資料的處理規範。此外,影視監控準則還遍及處理的合法性、家庭使用的豁免情形以及向第三方披露影像的限制等面向。目前這份準則正在進行公眾諮詢程序,待相關立法程序完成後,即正式生效。
在「美國跨國使用資料法案於歐盟個資保護法規架構的合規性評估」的部分,歐洲議會公民自由、司法及內政事務委員會於2019年7月10日針對美國的跨國使用資料法案(US Clarifying Lawful Overseas Use of Data Act, US CLOUD Act),向歐盟資料保護委員會提請進行合規性評估。CLOUD Act允許美國執法機構可命美國服務提供商提供資料,無論資料是存放在任何地方。然而,歐盟個人資料保護規則(General Data Protection Regulation, GDPR)第48條明定,第三國的行政機關、法院,如果基於該國與歐盟會員國間國際協定,要求歐盟會員國移轉或揭露個人資料,必須基於未違反GDPR的規定,方得為之。
歐盟資料保護委員會及歐洲資料保護監管機構強調,歐盟與美國間跨境傳輸美國執法機構或法庭要求提供之電子證據資料,必須顧及資料擁有者之基本權利已受到堅實的保障,且該傳輸之要求高度符合程序必要性,如此方能確保歐盟資料保護法規的主體性及法確定性,並且能對企業資料有最適當的保護。
資料來源:
-
https://edpb.europa.eu/news/news/2019/twelfth-plenary-session-adopted-documents_en
-
Guidelines on Video Surveillancehttps://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf
-
LIBE Committee letters to the EDPS and to the EDPB regarding legal assessment of the impact of the US Cloud Act on the European legal framework for personal data protectionhttps://edpb.europa.eu/sites/edpb/files/files/file1/edpb_edps_joint_response_us_cloudact_coverletter.pdf
-
Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidencehttps://edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf