英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響
英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國,英國仍需要明確有效的資料保護法,而關於公投退出歐盟(Brexit)結果,ICO發言人表示:「資料保護法是屬地的,不問公投結果為何,若英國不再是歐盟的成員國,即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易,我們必須證明資料保護是充足的,亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言,遵循資料保護法律與歐盟一致性規範,既是企業組織,亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作,而且未來亦是如此。目前明確的法律保護相當重要,且考量到經濟發展,ICO會向政府提出建議,英國相關法規之改革仍屬必要。」
Brexit後,英國企業資料仍需傳輸至第三國,因此英國可能需爭取類似於瑞士、加拿大等,由歐盟執委會認定資料保護符合充足保護水準之模式;或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性,而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses),或英國授權有約束力的企業自我拘束規則(Binding Corporate rules),然而目前英國退出歐盟程序進行中,相關資料保護傳輸之法規範,仍待後續密切觀察。
- 1.Information Commissioner
- 2.Information Commissioner
- 3.European Commission, Commission decisions on the adequacy of the protection of personal data in third countries
- 4.Data Protection Act 1998
- 5.European Commission, Model Contracts for the transfer of personal data to third countries
- 6.European Commission, Overview on Binding Corporate rules
- 7.John E Dunn, Brexit and the GDPR - why leaving the EU will make life harder for enterprises
- 8.Alan Charles Raul, William RM Long and Cameron F. Kerry, Amid news of Brexit, UK ICO seeks to provide reassurance
- 9.Liz Fitzsimons and Rebecca Sherry, Brexit: the impact on General Data Protection Regulation
孫鈺婷
專案經理 編譯整理
1.Information Commissioner's Office, Referendum result response, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/06/referendum-result-response/ (last visited June 29, 2016).
2.Information Commissioner's Office, Statement on the implications of Brexit for data protection, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/ (last visited June 29, 2016).
3.European Commission, Commission decisions on the adequacy of the protection of personal data in third countries, http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm (last visited June 29, 2016).
4.Data Protection Act 1998, http://www.legislation.gov.uk/ukpga/1998/29/contents (last visited June 29, 2016).
5.European Commission, Model Contracts for the transfer of personal data to third countries,http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm (last visited June 29, 2016).
6.European Commission, Overview on Binding Corporate rules, http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm (last visited June 29, 2016).
7.John E Dunn, Brexit and the GDPR - why leaving the EU will make life harder for enterprises, http://www.computerworlduk.com/security/brexit-gdpr-why-leaving-eu-will-make-life-harder-for-enterprises-3641825/ (last visited June 29, 2016).
8.Alan Charles Raul, William RM Long and Cameron F. Kerry, Amid news of Brexit, UK ICO seeks to provide reassurance, https://www.lexology.com/library/detail.aspx?g=2818ea08-7eb3-4ab0-9919-0d43864f4a57 (last visited June 29, 2016).
9.Liz Fitzsimons and Rebecca Sherry, Brexit: the impact on General Data Protection Regulation, http://www.lexology.com/library/detail.aspx?g=f14861a6-7338-458a-b32c-cedd05c6facf(last visited June 29, 2016).
從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員 駱玉蓉 105年05月25日 壹、前言 為強化營業秘密的保護,日本從2003年開始,於不正競爭防止法(以下稱本法)中導入刑事保護的相關條文,爾後經過多次修法,在2011年調整刑事訴訟程序的同時,於本法導入了即使行為者不使用或揭露所示的營業秘密,但只要以獲取不當利益為目的,且「以複製」等方式「取得營業秘密」,亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件(ヤマザキマザック事件,以下稱本案)則是在此修法背景中,於少數公開判決中最先單獨引用該法條的案件。 面對層出不窮的營業秘密侵害案件,為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為,我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任,將「知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇,以期可有效遏阻營業秘密侵害案件。 有鑒於營業秘密外洩情形與不法取得手法的多變,本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發,接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護,最後從落實營業秘密管理的面向,彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套,期給予我國企業營業秘密管理的省思。 貳、事件概要 中國大陸籍的被告Y,於2006年4月進入工具機大廠山崎Mazak(以下簡稱原告公司)任職,於2011年8月轉調連結業務部門與研發部門的業務技術部,於2012年3月因獲得其他公司聘書而提出離職申請,預定離職日為同年4月20日。 檢察官於一審的起訴內容提到,被告Y在無業務需求的狀況下,將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中,更於提出離職的當月,下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求,但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 原告公司在本案當時,對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內,僅業務上有需要的員工才能進行存取、下載,此外,原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證,並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配,為一個部門配發255個IP位址對應255台電腦,當一部門未達255台電腦時,將會有未被電腦對應的IP位址存在,被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址,再進行檔案的存取與複製。經由上述一連串的證據與事實證明,一審法院認定被告Y以不當得利為目的而複製(取得)原告公司的營業秘密,處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 從本案可知,原告為保護其營業秘密,針對存取/接觸營業秘密者設有相關限制管理。亦即,藉由IP位址辨識存取網路資料的員工所屬部門及存取權限,再透過存取權限的帳號、密碼進行認證管理,該種管理方式立意良好,但在實施時,卻因為有未被電腦對應的IP位址存在,而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外,雖然原告公司有留存電腦log紀錄,因而最後能證明被告Y曾進行六千次以上的資料存取,但若能在事前做好防備,強化管理措施,例如禁止濫用IP位址越權存取或限定存取次數等方式,增加意圖竊取營業秘密者的取得困難,相信能更遏阻潛在或食髓知味的不法行為。 以下從本案原告公司對於員工接觸權限的控管為啟發,例示限制員工存取/接觸營業秘密,可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 例如在企業的研發單位,可依專案或產品線而拆分成多個範圍,依據範圍設定可存取/接觸的權限,藉此可避免出現如本案中,僅限定存取/接觸權、卻未區分範圍,導致一人手持帳號密碼便可通行無阻存取/接觸全部資料,造成外洩時損害程度的提高。 二、在上述對策一的基礎上,於資訊系統中註冊存取/接觸權者的帳號。 除了落實一帳號一密碼的原則,針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外,若是員工有離職、轉調等情況時,亦要配合以刪除ID、更改存取/接觸權限的方式來應對,避免如本案因作業方便而導致有空的IP位址等開後門的情況,而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例,可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域,實施指紋等生物認證的門禁管制。而以資料區分保管為例,常見的做法有高機密性文件與一般文件區分保管。 例如在本案中,隸屬於業務技術部的人員,便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限,建議企業可透過前述的空間分離保管、資料區分保管,兩種方式雙管齊下,實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 嚴禁使用外接式的私人紀錄媒體,企業除了須備足員工所需的紀錄媒體之外,更需制訂與落實紀錄媒體的使用及保管措施。在本案中,即因原告公司當時的業務技術部部長(下稱部長Q)發現到部門內的紀錄媒體使用不受控管,導致私人紀錄媒體濫用的現象,便於其轄下部門制定如:建立可攜式紀錄媒體管理清單及使用規定,落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等,法院因而認定原告公司已採取合理保密措施。 然而,除了明定紀錄媒體的禁止使用或限制使用等規定外,還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則,同時透過定期稽核確保該使用規則的確實執行,避免徒有管理規範卻未落實控管。 肆、結論 本案原告公司雖明定營業秘密相關的管理規定,例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施,而在本案獲得勝訴判決。但除了管理措施有可強化之處外,主要的原因仍發生於管理機制於實際運作上未嚴格落實,而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還,甚或違反禁止使用私人可攜式紀錄媒體的規定,使用私人硬碟等的狀況,造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 從此可知,即便企業已建立各種營業秘密相關的管理措施,仍須定期追蹤掌握管理機制的落實,例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等,確保營業秘密的有效管理。同時間,企業亦應隨時預警任何不符規定的異常警報,透過log異常行為的警示設定,提早發現問題並採取證據保全措施,將營業秘密外洩風險或損害降至最低。 企業歷經營業秘密的盤點、分級、達成管理措施共識,到形成各部門遵循的管理制度等繁複流程,始確認營業秘密保護標的及合法合理的管理措施,若是未落實執行管理,除了增加營業秘密外洩的風險,於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡,無論是何種對策,確實落實而不流於形式,更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站(http://www.tips.org.tw) [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。
日本於「再興戰略2016」中公布今後醫療等領域徹底ICT化之相關政策日本政府於2016年6月2日經內閣議決「再興戰略2016」,為提升國民健康、提高平均壽命,以「世界最先進的健康國家」大篇幅宣布未來政策。其中,在「醫療、長照等領域徹底ICT化」方面之具體新措施如下: (1)醫療等領域中導入ID制度 日本厚生勞動省於2015年11月18日召開第10次「醫療等領域利用識別號碼制度之研究會」(医療等分野における番号制度の活用等に関する研究会),並於次月公布相關研究報告書,其內容包含導入「醫療保險線上資格審查」以及「醫療ID制度」,上述制度預計自2018年開始階段性運用,並於2020年正式實施,因此,本年度工作目標設定為,著手勾勒具體之應用系統機制,並針對實務面相關議題進行討論,自明年開始落實系統開發,整體而言,日本現階段最重要的目標就是促使醫療領域徹底數位化及標準化。 (2)透過巨量資料之利用,增進相關領域之創新 「次世代醫療ICT基礎設施協議會」(次世代医療ICT基盤協議会策定)將延續2016年3月由其所策定之「醫療領域資料利用計畫」(「医療等分野データ利活用プログラム」,意即加強各資料庫(例如醫療資訊資料庫MID-NET)之交流並擴大相關應用。 此外,在現行法規範下,為達成促進醫療領域資訊利用、醫藥相關研發之目標,應成立「代理機關(暫稱)」,以便於擴大收集醫療、檢驗等數據資料,並妥善管理與去識別化,日本政府於「再興戰略2016」中將此機關之設置列為次世代醫療ICT基礎設施協議會之重要工作項目,期望透過協議會對相關制度之討論,能在明年訂定出具體的法律措施。 (3)個人醫療和健康資訊之綜合利用 日本政府期望透過不同終端設備收集關於醫療、健康等資料,並鼓勵民間依此開發新市場,但在此之前,政府必須先行建構一個能良性發展的環境。首先,為實現針對個人需求量身打造的「個別化健康服務」,保險業者、握有病歷的機構、健檢中心及可穿戴式終端設備等,得經當事人同意後收集、分析其日常健康資訊,該「個別化健康服務」之實證計畫將於本年度啟動,由地區中小企業開始。 為強化醫療保險業者去整合運用相關資源並應用於預防、健康醫學上,政府機關應訂定一些獎勵措施,鼓勵業者將ICT技術活用於預防、健康醫學領域上。 此外,今年度「次世代醫療ICT基礎設施協議會」還有一項重要的工作項目,即建立可記錄患者所有就醫過程資訊之系統(Peronal Health Recaord,簡稱PHR),讓相關醫療資料得以流通運用。同時,日本政府希望能在2018年達成「地區性醫療情報聯結網路」,並普及到全國各地,這麼做的目的在於,過往因為醫療資訊不流通,以及重症照護上的斷層,使身心障礙者往往難以離開長期利用的醫療環境,新政策希望讓這些患者無論遷居何處,在全國各地皆能安心接受醫療服務,而不受限於地區限制。
美國聯邦通訊傳播委員會徵詢智慧電網技術施行意見美國參眾兩院於2009年「美國經濟復甦與再投資法」(American Recovery and Reinvestment Act of 2009)─即「振興經濟方案」─要求聯邦通訊傳播委員會(Federal Communications Commission, FCC) 在國家寬頻發展計畫中,須使用寬頻建設及服務,促進節能減碳與能源自主要求。智慧電網(Smart Grid)被認為係符合此要求的新技術。FCC遂公開徵求有關此一技術對國家寬頻發展計畫要求事項更進一步的評論與建言: 1. 使用公私網絡的智慧電網是否適合發展於通訊技術; 2. 何種通訊技術與網絡可符合且最常用於智慧電網科技; 3. 既有商用通訊網絡是否合於智慧電網的運用; 4. 在一般與緊急狀況下,商用無線通訊網絡得否可靠地藉由智慧電網傳輸資料; 5. 現有且合適於發展智慧電網的電力設備於全美的普及率為何; 7. 智慧電網對已發照釋出之頻譜需求為何; 8. 智慧電網使用毋須核照之頻譜是否遭遇介面(interface)上的問題; 9. 是否需要釋出額外或未使用的頻譜?原因為何; 10.如何確保消費者能即時獲知實際能源減耗數據與支付價額; 11.設備、技術提供者與消費者如何相互連結相關家電用品與網路; 12.何種資訊會在一類、二類與電力供應者間被擷取; 13.管理能源之家用網路區域(Home Area networks)在智慧電網中的角色為何? FCC對智慧電網所蒐集的資料與意見,將對欲發展節能減碳政策的台灣,有相當幫助,值得持續關注。
Google, Yahoo質疑猶他州的商標法立法者在高科技經營者會議後表示,「美國猶他州的法律設置商標註冊規定,將針對網路廣告競爭者可能不強制限制,而這項規定在星期一就會生效。 Google、eBay、Yahoo、微軟等公司的負責人與立法者在星期三會面,並正式對此提出抗議。 執行長克拉克說到:「我希望我們在兩個月前就能和產業互動,這對我們來說情況較佳。」 法律允許任何公司去創造一個電子商標並阻止競爭者用這些商標,去避免利用這些關鍵字商標在搜尋引擎和其他網站上出現。 星期二立法機關一致通過此項保護商標法律,儘管州律師提出警告,他們將會在法院上推翻這項法律。 Google和其他網站允許競爭者有權利去投標商標或產品的名稱。廣告競爭者會因競標而顯現在搜尋結果的網頁上。 陳情者羅傑說到,在與立法者談判後,訴訟是最不可能的方式。我們所投入的是幫助政策制定者去察覺到立法機構需要被修正並且也許需要被廢除。 羅傑說當談判破裂,這兩位發言人問我們,假使我們有意願去看到可以達到他們的意願並且不會產生可能發生有害影響的方法。 克拉克不確定是否會推翻這項法律,但他說我們必須為此做些事。 伊適特曼說,「立法者正設法去阻止公司免於被偷竊商標,或阻止戲弄消費者使他們在買產品時產生混淆的情況。」