德國因應歐盟一般資料保護規則(GDPR)之通過,即將進行該國資料保護法(BDSG)修正
德國聯邦資訊技術,電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則(GDPR)內容為基礎,調整德國聯邦資料保護法(BDSG)之修法動向。
德國政府正在緊鑼密鼓地調整德國的資料保護立法,使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿,但修正方向略有以下幾點:
首先,德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防,調查,偵查等訴追刑事犯罪或執行刑事處罰目的,處理個人資料時的保護以及對資訊自由流通指令。
其次,新法將遵循GDPR的結構,並利用一些除外規定,如:在資料處理時企業應指派九人以上資料保護官(DPO)的義務。某些如通知當事人的義務規定,亦有可能在存有更高的利益前提下,限縮其履行範圍。此意味某些通知義務有可能得不適用,例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。
第三,聯邦法律將保留一些規定,如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款,以及在公眾開放地區使用電子光學裝置監視的條款等。
最後,立法修正動向值得注意的重點尚有,(1)未來德國立法者將如何應對新的歐洲資料保護委員會(EDPB)中德國代表的地位(represe。由於EDPB將發布具有約束力的決定,針對爭議內容的決定意見,德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官(17個)經常提出不同的見解。此外,(2)還應該觀察聯邦資料保護監察官是否應該賦予權限,向法院提出對歐盟爭議決定或法律救濟,使案件進入德國法院,以爭執歐盟執委會所為之決定是否具備充足理由。前此,德國聯邦參議院(代表十六邦)2016年5月已要求聯邦政府引進新規定,使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論,將來有可能提供德國資料保護監察官,挑戰隱私盾協議的可能性。但新法案是否會解決這一問題,這還有待觀察。
可預見在2017年9月下一屆德國聯邦議會選舉前,將通過法案。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Konferenz diskutiert Umsetzung der EU-Datenschutzverordnung, https://www.bitkom.org/Presse/Presseinformation/Konferenz-diskutiert-Umsetzung-der-EU-Datenschutzverordnung.html (last visited Nov. 4, 2016)
2. News on the German Adaption of the General Data Protection Regulation, https://www.privacy-conference.com/news/news-german-adaption-general-data-protection-regulation (last visited Nov. 4, 2016)
奢侈品牌Chanel即將在加拿大郊區開設新的據點?在2014.05,一個嶄新的Chanel即將在此營業的招牌顯立在加拿大東丹佛區。 原來,這是一個名為丹佛藝術節(Art of the Danforth)即將於2014.05.11展開,在東丹佛舉辦、超過20個展覽作品的大型免費的公眾藝術活動。藝術節總監Asad Raza表示,這個展品由藝術家Mahmood Popal負責構思,期望能藉此探討「去高檔化」議題,並透過展品「抓住第一間奢侈品店進入尋常百姓家的一刻」。因此,在一塊黑色大型展板上,畫上Chanel的商標和名稱,並寫上「即將開業」字樣。而這樣的表現方式,並未有實際銷售或與Chanel競爭的目的,僅僅是作為一個豎立在地面上的裝置藝術。 對此,Chanel加拿大發言人表示,Chanel即代表了其品牌精神、價值及形象,如果任何人有需要使用,應事先知會Chanel,並獲得Chanel授權同意:「我們希望在使用前應要向我們提出詢問,主要是為了確保這樣的使用方式或內容符合Chanel的品牌價值、形象、及企業願景。此外,Chanel標識之使用有一定的規範,從不會以其他的變動方式去使用Chanel標識,避免發生減損Chanel的品牌形象的情況。舉例來說,我們從來不使用這個標誌的方式與雙“C”以上的香奈兒標誌。如果使用人在用之前,可以事先與我們做溝通,我們也可以進行相關的控制,並使它看起來更真實。」 針對本件的使用,Chanel加拿大發言人事後表示,當確定是公共藝術的使用時,就未採取相關的訴訟措施,但如果未獲授權使用品牌Chanel的商標而有侵權情形時,將會考慮提起訴訟。
智慧綠建築推動方案之修正—新增公有新建建築物應符合綠建築指標 歐盟資通安全局(ENISA)提出資通安全驗證標準化建議歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。 受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎: ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。 然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
美國國家標準技術局(NIST)更新電子簽章標準美國國家標準技術局(National Institute of Standards and Technology, NIST)於近日(2013年7月)更新電子簽章的技術標準「FIPS (Federal Information Processing Standard) 186-4數位簽章標準」,並經商務部部長核可。NIST於1994年首次提出電子簽章標準,旨在提供工具可資促進數位時代的信賴性,後續也隨著技術進步與革新,而有多次修訂。此次修訂,主要是調合該標準,使之與NIST其他加密相關指引(如金鑰加密標準)一致,以避免將來可能產生的矛盾。 此次增訂,亦明列出三種可保護資料的簽章產製與確認技術:數位簽章演算法(Digital Signature Algorithm, DSA)、橢圓曲線簽章演算法(Elliptic Curve Digital Signature Algorithm, ECDSA)、以及RSA公眾金鑰演算法(Rivest-Shamir-Adleman Algorithm, RSA)。 其他修訂的部分,還包括語彙的明晰化,以及降低對於隨機號碼產生器的利用限制…等。