英國資訊委員辦公室首次對違反資料保護案件開罰

  英國資訊委員辦公室(Information Commissioner’s Office,ICO)於今(2010)年11月24日首次對違反資料保護案件開罰。

  賀福郡理事會(Hertfordshire County Council)員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定,由於賀福郡理事會未能防止兩次資料外洩事件發生,導致嚴重損害,而在首次外洩事件發生後,亦未採取足夠的預防措施避免類似情況發生,因此裁定十萬英鎊之罰鍰。

  另一家發生資料外洩事件的人力資源服務公司A4e,則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊,且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為,A4e並未採取適當措施避免資料外洩,且A4e允許其員工將未加密的筆記型電腦帶回家時,已知內含個人資料種類及數量,因此裁定六萬英鎊之罰鍰。

  ICO表示,希望本次處罰能對於處理個人資料的機構有所警惕。

  ICO今年4月被賦予裁罰權,至於裁罰的標準,則有裁罰指引(fine guidance)可參考。根據裁罰指引,若資料控制者(data controller)故意違反資料保護法(Data Protection Act),或可得而知可能違法之情形,卻未採取適當措施預防之,而可能造成相當損害時,ICO得處以相當罰鍰。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 英國資訊委員辦公室首次對違反資料保護案件開罰, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=5326&no=57&tp=1 (最後瀏覽日:2026/07/07)
引註此篇文章
你可能還會想看
德國最新無人機之法規命令(Die Drohnen-verordnug)

  德國在2017年的3月通過了最新的無人機相關法規命令,亦包含傳統模型飛機的部分,並於2017年4月7日生效,新的修正重點如下: 模型飛機如在專用的機場飛行則維持不變,但如果離開專用機場作使用時,則必須安裝記載有所有人姓名及住址的徽章。 在非專用機場使用時,無人機與模型飛機的共通事項: (1) 超過0.25公斤時:必須安裝記載有所有人姓名及住址的徽章。 (2) 超過2公斤時:除前述的徽章外,還必須有特別的有關無人機或模型飛機的專業知識證明;而該知識證明,可以從聯邦航空局(Luftfahrt-Bunderamt)或民間飛行運動協會(Luftsportverband)透過考試取得。 (3) 超過5公斤時:除前述的條件外,需要從各地區航空管理部門(Landesluftfahrtbehörden)追加額外的升空許可(Aufsteigserlaubnis)。 關於操作者的規範: (1) 無人機的操作者,除了在模型飛機基地外,原則上禁止飛行超過100米高,但可向地區航空管理部門提出申請。 (2) 模型飛行器操作者須有專業知識證明。 (3) 無人機與模型飛行器只能在能肉眼可見下飛行。 一般適用規定:無人機與模型飛行器不能阻礙或危害人力駕駛飛行器。 禁止事項: (1) 所有的無人機或模型飛行器不得在敏感區域(例如:警察機關、救難隊、大群民眾所在地、主幹道、航空起降區等)使用。 (2) 無人機與模型飛行器不得於住宅區接收、播送、以及紀錄影片、聲音、或是無線電訊號。   綜合觀察可以發現,德國對於無人機的使用規範(或限制),可以歸結至三 方面,對於使用人的規範、無人機的大小以及使用地點的限制。

歐盟委員會發布NIS 2實施條例以定義資安重大事件

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件: 1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。 2. 造成商業機密洩漏。 3. 已造成或能造成自然人死亡。 4. 對自然人健康已造成或能造成大量傷害。 5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。 6. 反覆發生的事件。 7. 符合第5條至第14條特定資訊服務的事件。 實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。 歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。

日本文部科學省發布2021年科學技術與創新白皮書,著眼於韌性社會願景與疫後對策的具體措施

  日本文部科學省於2021年6月8日公布「2021年科學技術與創新白皮書」(令和3年版科学技術・イノベーション白書),為文部省就政府所訂立之科技政策藍圖,所發布的年度報告書。本年度白皮書循往例,區分為第一部分與第二部分。第一部分著重同年3月發布之第6期科學技術與創新基本計畫(第6期科学技術・イノベーション基本計画)框架下,為達成Society 5.0之願景政府所規劃的一系列政策;第二部分則回顧去(2020)年,政府針對科技與創新創造所採取的各項對策。   本白皮書就韌性社會所需科研項目、強化研究能量的激勵措施等層面,提出以下具體方向: (1)推動社會數位化與零碳排放(脱炭素化)   為強化網路虛擬空間與現實社會間的資源共享與互動發展,虛擬空間之基礎技術方面,持續研發超級電腦、AI與量子電腦,利用所累積的資料運用於深度分析與模擬,並實現超高速計算與量子通訊。虛擬空間與現實社會結合之應用型技術研發方面,包含能輔助身體運作的外部機械、透過自駕車系統銜接高齡化社會交通需求、以及遠端遙控之機器人技術應用於高風險作業環境。推動零碳排放、強化防災能量等面向,則藉由綠色成長戰略、綠色創新基金等政策,發展核融合、次世代蓄電池、精準預測氣候變遷之系統等新興技術;運用AI模擬等強化地震與天災的預報精準度,提升社會應對大規模自然災害的韌性。 (2)「知識」的整合創造與利用,以用於解決各類社會議題   考量社會議題的解決,不僅在於前瞻性自然科學技術的研發,尚需同步理解人類社會的多樣性。同時,人文社會科學近年來,亦多有採用自然科學的研究方法。因之,白皮書主張兩方的跨域知識結合,應用上強調須以人為本來解決各類社會議題。 (3)強化基礎研究能量   應著手改善出於個人經濟因素,放棄申請博士後課程的現況,創造年輕研究者敢於投入自身有興趣且具挑戰性研究課題之環境。基此,白皮書提出設置10兆日圓規模的大學基金,提升約15,000名博士後課程學生的待遇,並推動「創造發展性研究支援事業」(創発的研究支援事業)措施,穩定提供10年期間的研究資金。 (4)COVID-19疫情對策   持續投入研發治療方法(如檢驗抗病毒藥物Favipiravir用於治療COVID-19的效果與安全性)、疫苗與相關醫療器材,並推動以遠距方式進行研究活動,導入機器人技術等來發展自動化實驗、於虛擬空間內進行實驗等;另一方面,有效的防疫對策(如避免人潮密集、密切接觸、密閉空間的「三密」),根基於COVID-19的最新科研成果,因此需讓科學性、客觀性資訊透過適切的管道(如日本科學未來館網站),以淺顯易懂的形式向大眾宣達。

俄羅斯聯邦政府發布第299號法令,得不經授權利用「不友好國家」的專利權

  俄羅斯聯邦政府於2022年3月7日發布第299號法令(Постановление Правительства Российской Федерации № 299,下稱本法令),規定於有國家利益考量之情況下,得不經授權利用「不友好國家」的專利權。而我國也在前述「不友好國家」名單之列。   具體而言,本法令之解釋脈絡應從俄羅斯民法(Гражданский кодекс Российской Федерации)第1360條談起,該條規定在確保國家安全或保護公民生命與健康之極端必要情況下,俄羅斯聯邦政府有權決定,未經專利權人同意,使用相關發明、新型和工業品外觀設計,惟需儘快通知專利權人,並支付相應之補償金。   2021年10月18日,俄羅斯聯邦政府按民法第1360條第2項規定,頒布第1767號法令(Постановление Правительства Российской Федерации № 1767)確定補償數額為受專利保護之商品與服務所產生實際收益之0.5%。   然而,因烏俄戰爭持續延燒致俄羅斯聯邦政府採取反西方制裁措施之故,其發布第299號法令,針對第1767號法令再次增修補償數額之認定方法,規定:「倘專利權人來自『不友好國家』,則俄羅斯實體或個人未經專利權人同意,使用相關發明、新型或工業設計進行生產、銷售商品、提供勞務及服務時,須向權利人支付權利金為前述活動所產生實際收益之0%」。   基此,第299號法令應限縮在有國家利益考量之情況下(如:與國家安全或保護俄羅斯公民的生命、健康相關),針對使用特定的專利或商品,可免支付專利強制授權的補償金。換言之,本法令不應解讀為,任何專利在俄羅斯都可恣意利用,而無需經權利人同意或支付適當補償。惟因無法預期未來俄羅斯聯邦政府對「不友好國家」會否有其他強制授權情事,故我國經濟部智慧財產局發函通知專利權人,應密切關注相關議題,並預作準備以降低風險。

TOP