BSI公布個人資料管理系統標準之草案

  英國國家標準組織(British Standard Institution)於2009年1月8日公布個人資料保護管理系統標準(標準標號為DPC BS 10012)之草案,使組織在個人資料儲存管理工作上符合個人資料保護法(Data Protection Act 1998,DPA)之要求。

 

  有鑑於利用個人資料管理系統(personal information management system,PIMS)管理業務上取得之資料之情形日益增多,而觀諸該資料之性質,通常多為DPA所規範定義的「個人資料」。因此,為使個人資料管理有其標準規範,並得以運用在任何規模之公私部門,使組織內之個人資料管理系統符合DPA之規範且具有一定程度之安全性,BSI試圖提出有關個人資料管理一致性之標準規範,以供組織在個人資料處理程序工作上之遵循。該標準規範如同BS EN ISO 9001:2000之品質管理系統(Quality Management System)及BS ISO/EC 27001:2005之資訊安全管理系統標準,以PDCA週期(Plan-Do-Check-Act)進行規劃,並透過執行所規範之流程落實個人資料之保護。

 

  目前該草案已經公布,BSI於2009年3月31日前將接受各界對於該草案之諮詢及舉辦公聽會,以求標準規範之完善。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ BSI公布個人資料管理系統標準之草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=2980&no=64&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
加州消費者隱私保護法修正法案重點說明

  隨著個人資料保護意識的興起,各國也持續增修法律來保護人民權益以及協調產業標準,但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。   如美國同時會有聯邦法與州法兩個層次的法律,當兩者分別發展隱私權相關法律規範時,難免會缺乏協調,出現定義不明的重疊規範,進而提高企業之法令遵循成本與管理成本。最終導致的結果,就是非必要地降低了產業發展速度,以及提高了消費者獲得服務的成本。   日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法(California Consumer Privacy Act, CCPA)」,使該部法案對於個人資料保護與利用之規範日漸完備,並減少與聯邦政府重複管轄項目,進而達到合理降低州內企業的遵法成本。美國加州州長紐松(Gavin Newsom)簽署的CCPA修正案「AB-713號法案」(Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code )通過後,CCPA之適用範圍將限縮。若「同時符合」下列二者條件,則可免受CCPA規範: 受「加州醫療資訊保密法」(the California’s Confidentiality of Medical Information Act, CMIA)所規範的的醫療資訊及個人健康資訊之衍生資訊,或受「美國聯邦受試者保護通則」(Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」(Health Insurance Portability and Accountability Act, HIPPA)之標準,已去識別化的資訊。   換言之,已經依HIPAA標準去識別化之第一點資訊,即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範,但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。   「AB-713號法案」對於已去識別化資訊之利用或販售行為,增設了契約須載明下列規範架構之條款內容: 如有利用或販售去識別化資訊涉及病患資料者,須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定,或第三方受到相同或更嚴格限制之個資保護約束,買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。   「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業,其隱私政策聲明應納入以下內容: 將出售或揭露去識別化病患之資訊; 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式,進行病患資訊之去識別化。   整體來說,「AB-713號法案」讓CCPA的規範稍加鬆綁,明確排除CCPA對特定去識別化資訊之適用,並擴張對研究行為之豁免範圍,在處理上有更多彈性,惟同時也要求企業須充分揭露其個人資料處理原則。

韓國發布人工智慧基本法

韓國政府為支持人工智慧發展與建立人工智慧信任基礎,提升國家競爭力,韓國科學技術情報通訊部(과학기술정보통신부)於2025年1月21日公布《人工智慧發展與建立信任基本法》(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법안,下稱AI基本法),將於2026年1月22日起生效。韓國《AI基本法》為繼歐盟《人工智慧法》(EU Artificial Intelligence Act)之後第二部關注人工智慧的國家級立法,並針對高影響人工智慧(고영향 인공지능)及生成式人工智慧進行規範,促進創新及降低人工智慧風險,將搭配進一步的立法與政策以支持人工智慧產業。 《AI基本法》有以下三個政策方向: 1. 人工智慧基本計畫:由科學技術情報通訊部制定並每三年檢討「人工智慧基本計畫」,經「國家人工智慧委員會」審議後實施,決定產業發展政策、培育人才、健全社會制度等事項。本法並設置人工智慧政策中心及人工智慧安全研究所,提供科學技術情報通訊部所需的研究與分析。 2. 扶持產業發展:以扶持中小企業及新創企業為發展方向,促進產業標準化的基本政策,爭取國際合作及海外發展。 3. 人工智慧倫理與安全性:政府公布人工智慧倫理原則,由相關機構及業者自主成立人工智慧倫理委員會,在政府發布的指引下建立貼近實務面的倫理指引。本法明確要求人工智慧產業必須負擔透明性及安全性義務,政府也推動認驗證制度,以確保人工智慧的可靠性。 韓國《AI基本法》將人工智慧發展方向及社會政策結合,明確要求政府制定人工智慧發展計畫並定期檢討,施行具體措施與設置必要組織,確立政府在人工智慧領域的角色,然產業界對於政府監管力度之意見有所分歧,為《AI基本法》後續相關政策及指引推動種下不確定性,值得持續追蹤相關動態作為我國人工智慧發展策略之參考。

中國大陸國務院於2014年11月19日通過其《促進科技成果轉化法修正案(草案)》,並將提請全國人大常委會審議

  中國大陸國務院常務會議於2014年11月19日通過其《促進科技成果轉化法修正案(草案)》,並將提請全國人大常委會審議。本次修法重視「國家制定政策,充分發揮市場在科技成果轉化中的決定性作用,建立科技成果轉化市場導向機制和利益分配機制」,其中明文規定中國大陸國務院和地方各級人民政府應當加強財政、稅收、產業、金融、政府採購等政策,以強化科技成果轉化相關活動,推動科技與經濟結合,加速科學技術進步,實現創新驅動發展。   按中國大陸《促進科技成果轉化法》係於1996年10月1日施行,歷經2007年之修訂,共計6章37條。本次通過的修正草案,增加至9章58條,其中保留和擴充現行法13條,修改合併20條,刪除4條,新增29條。本次修法加大其政府對於科技成果轉化的財政性資金投入,並可引導其他民間資金投入。此外,本次修法也放寬中國大陸高等院校和重點研究院所之科技成果的歸屬,讓其能夠順利地轉化至民間企業。例如:草案第8條規定利用財政性資金設立的科研機構、高等學校可以採取合作實施、轉讓、許可和投資等方式,向企業和其他組織轉移科技成果,並且國家鼓勵這類機構優先向中小企業轉移科技成果。   另,草案第10條亦規定科研機構、高等學校對其依法取得的科技成果,可以自主決定轉讓、許可和投資,通過協定定價、在技術市場掛牌交易等方式確定價格。相關修正大幅放寬成果運用的彈性,惟科研機構、高等學校仍應依草案第14條規定,向主管部門提交科技成果轉化情況年度報告;主管部門應當將科技成果轉化情況納入對科研機構、高等學校的考核評價體系。   本次修法還有一個重點是放寬中國大陸科研機構的研究員及大學教授從事科技成果轉化活動。例如:草案第13條規定利用財政性資金設立的科研機構、高等學校應當建立符合科技成果轉化工作特點的職稱評定、崗位管理、考核評價和工資、獎勵制度。而草案第19條第一項規定,科研機構、高等學校科技人員可以在完成本職工作的情況下兼職從事科技成果轉化活動,或者在一定期限內離職從事科技成果轉化活動。同條第二項亦規定科研機構、高等學校應當建立制度規定或者與科技人員約定兼職、離職從事科技成果轉化活動期間和期滿後的權利和義務。   綜上,本次修法除強化中國大陸研發成果之運用外,更替中國大陸大學教授打開一條前往民間服務或創業的康莊大道,影響不可謂不大,但修正草案最後尚須經中國大陸全國人大常委會審議通過,將持續觀察審議之最終結果。

美國CVAA義務豁免之案例介紹與分析

TOP