歐盟個人資料侵害事故通知規則於2013年8月生效
歐盟個人資料侵害事故通知規則(regulation on the notification of personal data breaches)於2013年8月生效,其目的係為統一歐盟各會員國有關個人資料侵害事故通知之規定,以使當事人可以獲得一致性的待遇,同時,業者於歐盟境內亦可採取一致性的作法。此規則將適用於所有供公眾使用之電子通訊服務(publicly available electronic communications services)提供者,例如網路服務提供者(Internet service providers)及電信業者,同時,其敍明前述業者所持有之個人資料如有發生洩露或其他侵害時,應通知當事人與通報主管機關之技術性程序(technical measures)。
依個人資料侵害事故通知規則之規定,業者於知悉個人資料侵害事故之24小時內通報主管機關,通報內容包括:事故發生之日期與時間、受侵害之個人資料之種類與內容、受影響之當事人人數、以及為降低對當事人可能帶的負面影響擬採取或己採取之組織上與技術上之措施。
個人資料侵害事故可能對當事人之個人資料或隱私產生負面影響,業者必須立即通知當事人有關個人資料侵害事故之情事,例如遭侵害之個人資料涉及金融資訊、個人資料遭侵害會造成當事人名譽受損或業者知悉該個人資料已被未經授權之第三人擁有時。若業者能證明其對被侵害之個人資料已滿足主管機關所要求的技術保護措施,使未經授權而取得資料之人無法探知該遭侵害之資料內容時,即無須通知當事人有關個人資料遭侵害之情事。
美國華府行政管理與預算辦公室(Office of Management and Budget)頒布執行M-13-13 Open Data政策備忘錄之指導綱要(Supplemental Guidance on the Implementation of M-13-13 “Open Data Policy-Managing Information as an Asset”),目的在於澄清問題及提供執行細節以協助政府部門實施執行命令第13642號及M-13-13 Open Data政策備忘錄。透過實踐本指導綱要,各政府部門將能確保用以盤點、管理及開放資料的基礎設施之完備,進而開創因開放資料所產生之價值。 資料在依據本綱要進行盤點時,主管機關必須一併予以分級,其近用層級(Access Levels),區分為公開(Public)、限閱(Restricted Public)、非公開資料(Non-public)。資料公開前會經過完整之隱私權保護及資訊安全事項檢視,無違反相關法律和政策規範者,始釋出予大眾。 針對備忘錄之五項執行要求,本指導綱要即分為五項對應指導,介紹如下: 1.建立及維運大型資料盤點目錄:目的在使聯邦政府部門建立清楚且完整之資料資產目錄,而在製作盤點目錄後,必須持續改進、維護資料,並以擴展、豐富、開放三種面向來評估檢視盤點目錄之成熟度。 2.建立及維運公開資料清單:為增進資料查詢之容易度及可用性,各部門須篩選上述資料盤點目錄中屬於公開層級或可以被公開之資料,並建立及發布公開資料清單,作為盤點目錄之子目錄,使民眾得以知悉現有公開資料,及接續地將被公開之資料。各部門基於裁量權,亦可決定是否列入限閱或非公開資料資產,使民眾能知悉該筆資料之存在以及近用該資料之程序。 3.建立用戶參與資料釋出程序:此程序將提供資料用戶參與促進資料釋出及認定釋出之優先順序。由關鍵的資料用戶來幫助聯邦政府認定資料資產價值,而被認定最高價值之資料將優先、快速釋出。 4.當資料無法釋出時,須以文件證明:政府部門必須確認資料經過完整之隱私權保護及資訊安全事項檢視,無違反相關法律和政策規範者,才能公開資料。當認定資料涉及違反上述規範時,則須以文件證明其諮詢該政府部門中所設之法律顧問單位(Office of General Counsel)或同類單位後之決定,再依據三種資料近用資層級予以分類。 5.指導綱要中要求列出各部門應該負責管理資訊之窗口。 原定11月1日為完備上述基礎設施建置之最後期限,然為因應美國自10月1日起聯邦政府關門,特寬限延期至11月30日;在11月30日後,各部門將於每季報告執行進展,而部門開放資料之績效將被列為跨部門優先追蹤對象。
WHO發布《2019‑nCoV戰略準備和應對方案》呼籲全球加速研發創新以對抗疫情2020年2月3日,世界衛生組織(World Health Organization, WHO)發布《2019新型冠狀病毒戰略準備和應對方案》(2019 Novel Coronavirus: Strategic Preparedness and Response Plan),呼籲全球合作以加速研發創新,對抗新型冠狀病毒(2019 novel coronavirus, 2019-nCoV)。WHO提出的戰略目標包含六大項:限制人與人間的傳播防止疫情擴散、盡速發現並隔離以便提供患者最佳照護、查明並減少動物來源的傳播、加速診斷治療和疫苗開發、傳達重要且正確的風險與事件資訊、透過合作夥伴關係減少疫情對社會經濟影響。而WHO設立的戰略目標,可以透過以下方式實現:(1)加速建立國際協調方案,透過現有機制及合作夥伴關係提升防疫戰略、技術及業務支持。(2)擴大各國家的災難準備與緊急應變行動方案,包括加強準備、迅速發現、診斷並進行治療;在可行的情況下發現並追蹤感染者;強化醫療機構中的感染預防及控制;實施旅行者的健康管理措施;提升人民對疫情風險認識、減少社區交流風險等。(3)加速對2019‑nCoV的研究及創新,優先推動快速篩檢追蹤與擴大研發創新規模、開發候選療法、疫苗及診斷方法,確保醫療資源的公平可用性。藉由防疫標準化流程與知識平台的建立,促進並匯集學界合作的研究成果。 另外,WHO在本戰略中明列出八大衡量指標,用以評估各國因應2019-nCoV的計畫準備與成效,以便WHO能與政府合作,共同改善全球防疫系統。該八大指標分別為:流行病學症狀分析與疫情規模判斷能力、戰略準備及預算管理計畫、防疫物資供應程度、研究開發與臨床實驗比例、國家公共衛生系統疫情準備能力、建構檢驗與快篩的即時通報系統、完善診斷流程與安全隔離措施、疫情報告與資訊分享機制等。
歐盟執委會推遲個人資料保護指令修正計畫歐盟執委會主席Barroso在今年年初設立了負責「正義、基本權與公民」(Justice Fundamental Right and Citizenship)事務的新任務單位。而負責此單位的執委會委員Reding自年初以來已多次宣示對個人資料保護以及隱私權的重視。在今年三月份的演講中,Reding更宣布將在年底前提出修正歐盟個人資料保護指令的內容。惟此承諾在歐盟會員國的壓力下恐怕無法踐履了。歐盟執委會於日前已表示將提出一份新的行動宣示來取代原先的修法計畫。 歐盟目前的個人資料保護指令乃在1995年制定,迄今已有15年之久,雖然其許多原則在今日仍然適用,但面對新科技、新應用,如社交網站、雲端應用等的發展,該指令仍不免顯出不足之處。此外,在原先的架構下,執委會也無法介入所謂歐盟「第三支柱」下的事務(亦即與犯罪相關的警政、司法合作事務),但此狀況在里斯本條約通過後理應有所改變。以上兩點也正是Reding提議修正個人資料保護指令的理由。但由於部分歐盟會員國政府認為Reding所提有窒礙難行之處,例如法國即直言Reding的修法時程不切實際,執委會及Reding也因此放棄原先規劃。至於新的行動宣示到底會不會真的納入歐盟個人資料保護指令的修正計畫,其時程與內容如何,值得持續注意。
美國聯邦貿易委員會(FTC)有權監督管理企業資料處理方式2015年8月24日,美國第三巡迴法院做出判決,宣告美國聯邦貿易委員會(the Federal Trade Commission, FTC)本於聯邦貿易委員會法第5章(Section 5 of the Federal Trade Commission Act)之規定,對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實,該委員會針對企業違法事實的判定將產生法律效力。 案件起因於2008年及2009年間,飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵,導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵,使客戶權益受損。Wyndham Hotels不服並上訴,表示FTC只有提供企業資料安全保護措施的建議權,無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中,第三巡迴法院確立了FTC除了有一般建議權外,也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外,第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說,FTC僅需負一般性的告知義務。 此判決大幅擴張FTC監督管理企業資料安全保護措施的權力,對於廣大個人資料本人而言,可說是一大保障。