預先擬定的事故應變計畫可降低資料外洩成本
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。
依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。
專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
透過輸入網址或點選超連結(Hyperlink)方式找尋資料,是網路運作基礎之一。而單純以Hyperlink方式另開新視窗呈現其他網頁,由於只是方便快速連結到其他網站或網頁內容,並無涉及重製行為,因此實務上普遍認為並無侵害著作權的問題。然而瑞典Attunda地方法院於2016/10/13,就一則使用Hyperlink方式之案例卻認定有侵害著作權。 此案例起因於瑞典原告Jonsson在非洲Zambezi河上,拍攝到高空彈跳發生意外之影片,後該影片未得原告同意遭他人上傳至YouTube網站。被告比利時L’Avenir新聞網站報導此事件時,於文中提供Hyperlink(lånkat från hemsidan till YouTube),使讀者能連結到YouTube上之該則影片。本案原告主張並無授權上傳YouTube影片,也無允許被告在其網路報導得以提供Hyperlink連接至YouTube網站影片,以此要求L’Avenir新聞網站負擔侵害其公眾傳輸權之責任。 瑞典Attunda地方法院引用歐盟法院於2016/09/08GS Media, C-160/15案中關於Hyperlink判決見解,認定若超連結之內容有權利人合法授權,Hyperlink行為固無侵權可言,但若連結之內容未受權利人合法授權時,需先判定行為人是否是以營利為目的;若為肯定,則推定行為人明知其內容違法、Hyperlink行為構成公眾傳輸行為,但行為人可舉證推翻,證明其不知內容違法而未構成侵權。本案由於超連結內容是未經由原告授權,且瑞典Attunda法院認定L’Avenir新聞網站以營利為目的使用Hyperlink,於網站無法證明不知內容非法情況下,因此判定被告構成侵權。 瑞典法院所引用的歐盟判決引起諸多批評,論者有謂超連結功能是網路運作基礎之一,該判決認為以營利目的使用即應推定對內容違法有明知,不僅「營利目的」此一條件之內涵為何,需待後續更多判決個案方可確定具體內容;而且造成所有線上新聞網站擬使用超連結影片及內容、又無法得知內容是否有被合法授權時,必須承擔更大的侵權風險;因此產生的自我審查,將弱化網路之基本運作功能,且使言論自由及通訊自由受到侵害。
德國聯邦內政部對歐盟部長會議「資料保護基本規則」(Datenschutz-Grundverordnung)發表意見書,並提出修法建議德國聯邦內政部資料保護與資訊自由委員會於2015年8月15日針對歐盟部長會議於6月15日所確立對歐盟資料保護基本規則(Datenschutz-Grundverordnung)的基本立場,若依該立場則(1)資料處理目的之變更理由將變得更寬泛(2)對資訊保有機構所提出的申請程序以有償為原則(3)蒐集個人資料應遵循之規範過於簡略等,該委員會提出批評與建議。 該委員會會議認為有必要改進歐盟「資料保護基本規則」,令其更周延,更呼籲對資料保護基本規則的修正,應循以下重點及原則進行: 1.資訊節約原則應該堅持 多年來在德國法已確立的資訊節約原則(Datensparsamkeit)和資訊避免原則(Datenvermeidung),應予維持。因此資料保護基本規則中,須清楚詳盡地規定節約原則和資訊避免原則。 2.目的明確性原則的要求不能退縮 目的明確性原則(der Grundsatz der Zweckbindung)之功能,係為資料處理之透明性和可預見性,該原則亦強化了當事人的資訊自主權,使其得以信賴個人資料之處理,僅限於所申請之目的內進行。 故若依理事會建議之規範,使資料處理目的之變更,得以更寬泛的理由進行,將背棄歐盟基本權利憲章中之目的明確性原則。 3.即令個人同意書亦不得拋棄資訊主權 資訊自決權,意謂原則上個人可以用同意的方式,決定個人資訊的使用和拋棄。但即使有清楚明確的意思表示,該同意亦僅係保障資訊主權的重要因素之一。另就同意書而言,若如歐盟部長理事會所建議者,只需清楚明確即可,則這種方式於保護上是不夠充分的。 4.個人資料建檔必須有效地限制 該會議重申,嚴格規範對個人資料的蒐集有其必要性。為個人檔案之整合與充分使用設置嚴格的界限,現有規定太過簡略而遭到批評。 5.有效的資訊保護需要歐盟層級的企業與官署的資料保護專員 對於資訊保護監督的有效性,在德國已確立之官方與私人企業的資訊保護專員制度係重要之一環。應致力於歐盟層級公/私機構資訊保護專員制度在整個歐洲的推動。 6. 資訊傳輸第三國官署和法院需要更嚴格的監督 近期的隱私醜聞之後,目前亟需對歐洲公民個人資料給予更妥善的保護,以對抗來自第三國的機構。此意見書贊同歐盟議會的建議,即以第三國法院的判決和行政機關的決議,要求對個人資訊的披露,在歐盟之中僅能基於國際公約中機關互助和法律協助之規定,原則上予以承認與執行。
中國大陸國務院印發關於實施《促進科技成果轉化法》之規定中國大陸於2015年8月29日修改了其《促進科技成果轉化法》,為了該法的實施,中國大陸國務院於今年2月17日的常務會議中,即發表了其對於鼓勵研究機構及大專院校之科技研發成果運用的相關措施;而針對這些措施,中國大陸國務院於同月26日制定了相關的具體規定,並在3月2日時發布,並行文於各相關機關。 該規定分作16點,主要分三個大方向,包括促進研究機構及大專院校的科技研發成果轉移於民間企業、鼓勵科技研發人員發展創新技術以及創業活動,與科技研發環境的營造等等。 具體而言,其主要措施包括允許研發機構得自主決定其科技研發成果的運用,原則上不需要向政府申請核准或報備、其運用後的收入不需繳交國庫,得全部留於研發機構內,用於對研究人員之獎勵及機構內科技研發之用、其並對該收入用於對研究人員獎勵之比例下限作出明文規定、允許國立研發機構及大專院校之研究人員在一定條件下得保留原職位在一定期間內至民間企業兼職,或進行創業活動,以從事科技研發成果的運用,以及對研發機構的考核標準應納入對機構之科技研發成果及運用的評鑑等等。
智慧聯網時代巨量資料法制議題研析-以美國隱私權保護為核心