預先擬定的事故應變計畫可降低資料外洩成本
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。
依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。
專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
鑑於促進產業升級條例 2010 年底屆滿,且立法院在去年底通過所得基本稅額條例(即最低稅負制)時,同步做成附帶決議要求,財經兩部必須在今年年底前完成促產條例減免優惠的檢討,財經兩部已經展開促產條例與相關子法規的修正方向檢討會議, 未來促產條例該不該限縮對產業別的獎勵項目,面對產業持續對外投資的趨勢,租稅獎勵工具是不是該增列「創造就業」指標,做為未來獎勵項目等,都是修法的考量方向之一。 目前促產條例的主要租稅優惠有兩種,除投資抵減之外即為五年免稅,財政部統計,民國 90 年的抵稅總額只有 547 億元,其中科技業享有的減稅優惠就有 276 億元;至 93 年時,產升條例的抵稅總額已經暴升至 1,694 億元,僅高科技業者就抵掉 1,096 億元稅捐。財經兩部預估, 94 年的抵稅額將突破 2,000 億元。由於產業五年免稅優惠被認為過於浮濫,財經兩部正研商未來新興重要策略性產業享有五年免稅的減稅優惠,將採總量管制,企業享有的五年免稅優惠,改朝配額制進行「專案許可」管理,配額一滿即不再提供免稅。 目前促產條例中有關租稅獎勵的認定,採較消極的作法,僅訂定一些適用條件,只要符合促產條例揭櫫或獎勵的產業升級研發或投資在促產條例獎勵的新興策略產業,都適用租稅優惠。業者只要據此向經濟部提出申請,經濟部依慣例,即發給免稅證明。但財政部要求未來應調整為專案許可制,除了基本資格規定外,經濟部應該再成立審查委員會,就每個產業租稅優惠,訂出總量管制,據此准駁。 所謂「專案許可」的總量管制措施,財經兩部初步交換的意見是指,現在明列在新興重要策略性產業五年免稅辦法中的九大產業、 305 項免稅產品,都要依據發展成熟度,訂出適用免稅的家數。家數額滿,同一產業、同性質產品,即使符合五年免稅條件,也不再提供租稅優惠。
歐盟隱私工作小組支持擴大通知義務之業者範圍歐盟隱私權工作小組(working party)日前公布其對「隱私與電子通訊指令」(Directive on Privacy and Electronic Communications, 2002/58/EC)之修正意見,藉此重申支持個人資料外洩通知責任立法之立場,並建議擴大適用通知責任之業者範圍至涉及線上交易之電子商務之服務提供者。此項建議隨即遭到歐盟理事會及委員會之反對,認為通知責任應僅限於電信公司,而不應擴及其他電子商務服務提供者。 歐盟隱私權工作小組於2009年2月初提出的報告指出,個人資料外洩通知責任法制(Data Breach Notification Law)之建立對於資訊社會服務(Information Society Service)之發展是必要的,其有助於個人資料保護監督機構(Data Protection Authorities)執行其職務,以確認受規範之服務提供者是否採取適當的安全措施。再者,亦可間接提高民眾對於資訊社會相關服務使用之信心,保護其免於身份竊盜(identity theft)、經濟損失以及身心上之損害。 然而,歐盟理事會及歐洲議會則反對該項修正建議,其一方面認為不應擴張資料外洩通知責任制度適用之業者,另一方面則認為對於是否透過法制規範課予業者通知之義務,應由各國立法者決定是否立法,甚或由業者依資料外洩情形嚴重與否,來判斷是否通知其各國個人資料保護相關組織及客戶。此外,參考外國實施之成效,美國雖有多數州別採用資料外洩通知責任制度,但並非所有的隱私權團體皆肯認該項制度;英國資訊委員會對於該制度之成效則仍存質疑,因從過去為數眾多的個人資料外洩事件看來,其效果已逐漸無法彰顯。 雖然歐盟個人資料保護官(European Data Protection Supervisor)與歐盟隱私權工作小組之看法一致,但其與歐洲議會與歐盟理事會仍存有歧見,對於個人資料外洩通知責任制度之建立,似乎仍有待各方相互協商尋求共識,方能決定是否納入歐盟隱私及電子通訊指令之規範。
Me Too醫療器材上市前許可指引美國食品藥物管理局(The Food and Drug Administration,簡稱FDA)於2014年7月更新並公布了醫療器材上市前許可(premarket notification)的指引(guidance)(該指引名稱為510(k) Program: Evaluating Substantial Equivalence in Premarket Notification Guidance for Industry and Food and Drug Administration Staff,以下簡稱510(k)指引),針對醫療器材業者將其生產製造的醫療儀器申請上市的過程做了新的調整及規範。此指引主要是讓業界及FDA人員了解FDA在評估醫療器材申請過程中所評估的因素及要點,並藉由FDA在審查醫療器材的實務規範及審查標準來當作標準並訂定510(k)修正,以提高510(k)評估的可預測性、一致性及透明度,讓業界有一定的遵循標準。雖然FDA的指令文件並不受法律強制規範,但可供醫材業者更清楚FDA所重視的審查程序及內容。 歐盟對醫療器材上市前之審查亦有相關指令,分別為一般醫療器材指令(Medical Device Directive,簡稱MDD)、活體植入醫材指令(Active Implantable Medical Devices Directive,簡稱AIMDD)及。歐盟規定醫療器材在上市前,必須符合上市前所規定之內容以正當在歐盟、歐洲經濟地區(European Economic Area)及瑞士市場販售使用。然而特別的是,不同於美國上市前的醫療器材由主管機關FDA進行審查,歐洲藥物管理局(The European Medicines Agency of the EU)並不參與醫療器材的審核程序,而是交由歐盟會員國的私人認證機構對醫療器材做評估。
韓國通過最新個人資料保護法修正案近年韓國國內發生多起重大資訊安全疏失,例如:2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal Information Protection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關,將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。 根據最新修正案條文,若某機關因故意或重大過失,造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀,經法院判決後,最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外,除非該機關能舉證當事人的損害與機關之行為沒有因果關係,否則當事人可請求最高3百萬韓元(約台幣8萬元)的法定損害賠償。 此次,韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會(The Personal Information Protection Committee)的職權。該委員會將成為資訊安全爭議的最終裁決機關,且擁有相關資訊安全管理相關政策制定及修正的提議權。 由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制,避免在新法上路後遭罰。