英國資訊專員辦公室強調歐盟資訊保護改革成本充滿不確定性

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。

　　當含有大量個人敏感性特質個資之郵件不小心發送到陌生人的電子信箱時，將可能對當事人帶來無法預估的損害。加拿大隱私委員Daniel Therrien在國際隱私日時（1/28）提醒各企業，不要忽略隱私控管工作對企業競爭力帶來之影響。然這樣的理念不僅僅只適用在大型的企業，加拿大有98%的企業員工少於100人，對於這些成千上萬的小規模企業而言更是重要。 　　Daniel Therrien說：「我能理解資源有限的小規模企業每天面臨高壓的業務需求，但就相關反饋資料顯示，加拿大當地居民較傾向與具有良好隱私實踐工作之企業進行交易。」因此，良好的隱私實踐工作不僅是有助於消費者，更可協助企業符合加拿大個人資料保護與電子文件法（Personal Information Protection and Electronic Documents Act）之規定。 　　為協助小規模企業採取積極措施，以保障消費者資料及隱私不被外洩，提高競爭力，加拿大提供相關關鍵步驟供企業參考：(1)不逾越產品或服務目的之資料蒐集；(2)提供顧客清晰易懂之隱私權政策，以便顧客了解資料為何被蒐集，及如何處理、利用；(3)了解蒐集哪些資料、資料儲存期間及方式、有權限接觸之人及刪除方式； (4)對員工進行隱私保護教育訓練；(5)除非必要，否則請避免蒐集如健康狀況、財務資訊等具敏感性之資料；(6)企業應設置窗口或指定專人，針對顧客權利主張或提出與隱私有關之疑問時進行回應。

　　臉書（Facebook）在2011年11月與美國聯邦貿易委員會（Federal Trade Commission, FTC）針對用戶資料的隱私權問題達成和解，包括第一：臉書必須遵守其自行提出的隱私權政策；第二：臉書必須要事先得到使用者的同意，才能更改其資訊分享的設定；第三：當使用者刪除其帳號的三十天內，臉書必須實際上使任何人不能再取得相關資訊；第四：必須對新產品或服務建立並維護其隱私權保障的計畫；第五：在未來二十年內，臉書必須由獨立的第三人稽查其隱私政策，以維護使用者的資訊隱私保護。 　　但是公益團體電子隱私資訊中心（Electronic Privacy Information Center, EPIC）最近指控臉書的Timeline功能違反和解協議的第二條。在EPIC的指控中表示：臉書必須要事先得到使用者的同意，才能更改其資訊分享的設定。而Timeline的功能在2011年12月6日上線後，完全改變了使用者揭露其資訊的方式，強化使用者張貼的重要事件，並回溯資料至該使用者第一次登入臉書時（甚至更早至第一次輸入相關資料時）。雖然臉書提供七天時間給使用者可以編輯Timeline，刪除不希望公開的照片或貼文，但幾乎沒有人知道。EPIC因而要求FTC介入調查。

　　越南科技部（Ministry of Science and Technology）於2016年7月30日發布No. 16/2016/TT-BKHCN通知（以下稱第16號通知），此為越南針對《智慧財產法》第四次修正的通知。今（2018）年1月15日已正式生效。在越南，通知（Circular）主要是作為各主管機關執行法律的指南，而本次發布的第16號通知，便是針對越南《智慧財產法》所做的細部解釋，是了解當地智財實務的重要文件。 　　整體而言，第16號通知針對智財的申請程序做了相當多修正。例如，申請人回覆越南智慧財產局官方審查意見（office action）的期限由一個月延長為兩個月。又例如，過去越南智慧財產局針對實體審查的申請案一旦做了核駁處分後，申請人僅能透過訴願予以救濟。根據第16號通知，若申請人能夠針對申請案提出在審查過程中未被考量但可以影響審查結果的新事證，越南智慧財產局則得考量撤回核駁處分。 　　此外，第16號通知亦釐清了過去越南在智慧財產各權利別，有關實體認定上的疑慮。一、在「商標方面」，第16號通知修正了越南過去對於著名商標（Well-known mark）的認定方式。在過去，著名商標的狀態可藉由法院判決，或是藉由智慧財產局的認定取得。在本次新修正的第16號通知中，著名商標狀態仍可藉由法院判決取得，但智慧財產局只能在「商標被駁回」的情形下對著名商標進行認定。二、在「專利方面」，第16號通知則是再次強調「用途」不得作為專利的申請標的，釐清了越南一直以來拒絕「用途發明專利」的立場。根據第16號通知，用途並非一項申請標的可主張的必要技術特徵（essential feature），只是單純申請標的之目的或結果而已。三、在「工業設計方面」，第16號通知釐清了越南對於「產品」的定義，指出產品必須要能夠「獨立流通」（circulated independently），始能成為工業設計保護的標的。例如圖形使用者介面（GUI）因其必須依賴手機等載體才能流通，故根據第16號通知無法被認為是能夠申請工業設計保護的「產品」。 　　從本次第16號修正可以看出，越南近年來因應智慧財產權的國際趨勢，在法規上做出的回應及釐清。對於在越南從事商業活動的我國廠商而言，建議除了瞭解越南《智慧財產法》外，更應關注越南的通知等下位階法規的狀況及發展。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」