加拿大隱私主管機關發布個人資料保存與處理指引文件
在世界各國,無論是公務機關或非公務機關,均無可避免地大量蒐集個人資料,這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此,加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada,簡稱OPC)發布關於「個人資料保存與處理指引文件:原則與良好實作」(Personal Information Retention and Disposal:Principles and Best Practices),以協助聯邦機構與私人機構對組織內部保有之個人資料,做好妥善保存與處理。
OPC建議組織應在內部制定相關管理政策與程序,並於指引文件中提出11項參考要點,其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性?多久審查一次;2.對於保有之個人資料及保存目的是否進行清查與盤點?多久確認一次?3.個人資料儲存的形式與地點為何?是否有備份?4.法律是否有規定最低保存期限?5.組織如何處理個人資料與相關備份檔案?6.對於儲存個人資料之裝置或設備,是否採行適當地安全維護措施?7.個人資料保管與處理相關政策的核決人為誰?8.對於利用資料生命週期追蹤資料,是否存在適當管制程序?9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定?;是否有制定文件銷毀之安全措施?10.資料等候處理期間是否受到安全妥善之保管?11.對於使用資料之第三方,是否有透過合約或其他機制進行有效監督管控措施?是否制定定期查核機制?等,期以協助組織掌握政策與程序制定要領。
世界智慧財產權組織(World Intellectual Property Organization, WIPO)於2020年9月2日發表「2020年全球創新指數報告」(Global Innovation Index 2020, GII 2020),報告中比較131個經濟體之最新全球創新趨勢。GII為一年一度發行之報告,除了比較不同經濟體的創新指數外,每年會挑選不同創新議題進行深度研究,2020年研究主題為「誰投資創新?」(WHO WILL FINANCE INNOVATION?)。 GII的報告評比,區分為七大指標分別為:組織機構(Institutions)、研發與人力資源(Human capital and research)、基礎建設(Infrastructure)、市場成熟度(Market Sophistication)、企業成熟度(Business sophistication)、知識技術產出(Knowledge and technology outputs)以及創意產出(Creative outputs)。其下再區分為21個次標和80個小標例如政府效能(Government effectiveness)、法規範環境建構(Regulatory environment)、教育支出占GDP比例、外國學生比例、R&D支出占GDP比例、生態永續度、高科技出口、資通訊服務出口等。2020年評比全球創新指數最高的10個國家排名分別為:瑞士、瑞典、美國、英國、荷蘭、丹麥、芬蘭、新加坡、德國和南韓,均為高所得國家;這也是南韓第一次躋身進入前10名。 另外報告中亦說明,2020年COVID-19大流行引發前所未有的經濟停滯。在COVID-19爆發之前,研發支出成長明顯快於全球GDP成長,創業投資(Venture capital)和IP應用達到高峰,但疫情發生的現階段全球經濟成長大幅度下降。然而經濟成長停滯之下,突破性技術創新的潛力仍在繼續存在,例如許多仍保有現金流的大型ICT企業仍持續推動數位創新,製藥技術與生物科技產業的研發支出大量增加,健康產業研發也受到重點關注。此外,COVID-19危機亦會促進傳統產業(例如旅遊、教育和零售等)之創新,以及改變企業在本地或全球之生產工作組織方式。而在各國政府為忙於制定緊急救濟計畫(emergency relief packages),以緩解地域封鎖所造成的負面影響和經濟衰退的同時,這些緊急救濟計畫對新創公司之融資多半不夠明確,到目前為止,各國政府並沒有創新研發作為當前刺激經濟計畫中的優先事項(priority)。 報告中針對「誰投資創新?」之主題,統計數據顯示創新金融(Innovation finance)雖然受疫情影響有所下降,但金融體系尚屬健全。惟資助新創企業的資金正在枯竭(drying up),北美、亞洲和歐洲地區的創業投資交易也急劇下降,幾乎看不到首次公開發行(IPO)。即使是倖存下來的新創公司,其盈利能力和對創投者(Venture Capitalist)的吸引力也在下降。也因為疫情影響,創投者減少對創新、小型和多元化的新創事業提供資金,取而代之關注所謂的「大型交易」(mega-deals),也就是資助大型企業的發展,並將投資領域轉向健康、線上教育(online education)、大數據、電子商務和機器人科技。此外,報告中亦說明近期創投多半集中在可以短期得到報酬的創新事業,例如資通訊軟體及服務、消費性產品服務、金融商品等,取得創投機構大量資金。相較之下,若研發較為複雜的前瞻科學技術,反而取得之資金較少;同時COVID-19惡化此現象,使研發期較長之產業和企業面臨更嚴峻的財務限制。
美國有限合夥發展於我國之借鏡 馬來西亞通過修正《個人資料保護法》馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。
英國無線電頻譜管理改革政策(下)--風險評估與對策