何謂「美國創新戰略」?
美國創新戰略(Strategy for American Innovation)係美國經濟委員會(National Economic Council,NEC)及白宮科技政策辦公室(Office of Science and Technology Policy,OSTP)於2009年9月所提出的重要科研指導政策,為美國近年調整科研發展之依據,曾分別於2011年2月及2015年10月配合時事增補最新內容。該政策主要在說明美國政府、國民與企業應如何共同努力進行全面性的創新,強化長期的經濟成長;在此基礎上發展對於美國產業發展具有優先重要性的技術領域。最初提出時內容包括:1.美國創新基石之投資;2.促進以市場為導向的創新;3.以及針對國家需求的優先順位催化重要的科技突破。
白宮在2011年4月進一步提出一些重要的創新促進新機制,包括改革專利制度、重視數位教育以及基礎科學教育的強化、加速發展再生能源、提振美國創業精神(entrepreneurship)等。隨著政策的逐步推行,2015年10月公布之最新版本,內容包括:1.投資創新基石;2.刺激私部門進行創新活動,並研議租稅優惠永久制度化;3.營造一個創新者國家,改善創業環境,協助更多創新者成功創業。並且在政府機關間強調創新,另著重於從私部門的根本改變其活動和行為模式,提升創新層次才能確實將創新成果在產業間創造出來。
本文為「經濟部產業技術司科技專案成果」
歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。 個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。 此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。
歐盟個資保護委員會公布GDPR裁罰金額計算指引歐盟個人資料保護委員會 (European Data Protection Board, EDPB)在徵詢公眾意見後,於今(2023)年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」(Guidelines 04/2022 on the calculation of administrative fines under the GDPR)。此一指引,旨在協調各國資料保護主管機關(Data Protection Authorities, DPAs)計算行政罰鍰的方法,以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」(Starting Point)。 時值我國於今(2023)年5月29日甫通過《個人資料保護法》之修法,將違反安全措施義務的行為提高裁罰數額至最高1500萬,金額之提高更需要一個明確且透明的定裁罰基準,因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟,說明如下: 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時,應分別裁罰;而如以一行為因故意或過失違反數GDPR規定者,罰鍰總額不得超過最嚴重違規情事所定之數額(指引第三章)。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別,並界定不同級別的起算金額範圍,個案依照違反GDPR行為嚴重程度決定金額範圍後,尚需考量企業的營業額度以定其確切金額作為裁罰數額起點(指引第四章)。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額(指引第五章)。 4.針對各違反行為,參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額,而是對不同違反行為規範了裁罰最高額度上限,EDPB提醒,適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制(指引第六章)。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰,必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則,而予以相應調整裁罰額度,而如果有客觀證據表明裁罰金額可能危及企業的生存,可以考慮依據成員國法律減輕裁罰金額(指引第七章)。 EDPB重申其將不斷審查這些步驟與方法,其亦提醒上述所有步驟必須牢記,罰鍰並非簡單數學計算,裁罰金額的關鍵因素應取決具體個案實際情況。
RFID應用與相關法制問題研析-個人資料在商業應用上的界限 德國聯邦內閣政府決議通過「電信終端設備連接與自由選擇法草案 (Gesetz zur Auswahl und zum Anschluss von Telekommunikationsendgeräten)」為防止網路服務企業,在提供網路服務上替客戶連接寬頻網路(Breitbandanschluss)時,僅准許使用自家公司提供之路由器(Router),進而導致路由器或數據機(Modem)市場之壟斷狀況,違反市場自由競爭,德國聯邦內閣政府於2015年8月12日決議通過德國聯邦經濟暨能源部(Bundesministerium für Wirtschaft und Energie)於2015年2月25日所提出之「電信終端設備連接與自由選擇法草案」(Gesetz zur Auswahl und zum Anschluss von Telekommunikationsendgeräten)。 透過該草案,德國廣播電台與電信發射設施法(Gesetz über Funkanlagen und Telekommunikationsendeeinrichtungen)新增條文,以確保所有的終端設備(Endgeräten)列為市場自由化之對象。透過法定市場自由化的規範亦達成歐盟貨物公開及自由流通(free movement of goods)之原則。 該草案亦修定德國電信法(Telekommunikationsgesetz),「客戶之網際網路接取」現被定義為「被動式網絡終端點(passiver Netzabschlusspunkt)」。亦即,網路的架構設定與規劃,以往通常為電信業者所指定及管理,並包括路由器在其中,然而透過新法之修訂,已將路由器排除在被動式網絡終端點外,反而明確定義為積極終端設備(aktives Endgerät)。電信業者的管轄管理權限,以草案之修訂在路由器端前就會被設限。因此,讓網際網路使用者自己可使用自己裝置的路由器來定義自身的積極連接點(aktives Zugangspunkt)。 然而,網路營運者仍然可以提供其客戶終端設備,像是路由器或網路數據機,但透過該草案,客戶現可擁有終端產品的選擇權,而不致被迫使用被指定之網路終端設備。