BS 10012:2017個人資訊管理系統新版標準已發布

  BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。

  2017新版架構由原本的6章變為為10章,新架構如下:

  • 第1章 範圍
  • 第2章 引用規範
  • 第3章 專有名詞與定義
  • 第4章 組織背景
  • 第5章 領導統御
  • 第6章 規劃
  • 第7章 支援
  • 第8章 營運
  • 第9章 績效指標
  • 第10章 改善

  新標準主要修改內容如下:

  1. 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。
  2. 風險管理架構參酌ISO 31000:2009修改。
  3. 組織增設資料保護官(Data Protection Officer, DPO)。
  4. 個資蒐集、處理及利用:
    (1)蒐集前須先告知當事人並取得其同意。
    (2)蒐集應有必要性且最小化。
    (3)兒童個資蒐集、利用須先經監護人同意。
    (4)若個資利用目的為開放資料(Open data)須作去識別化。
  5. 個資必須維持正確且最新。
  6. 個資保存不超過處理目的存在必要之期限(保存期限)。
  7. 增加個資完整性與機密性要求。
  8. 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。
  9. 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。
  10. 增添文件管理規範。

  BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。

相關連結
你可能會想參加
※ BS 10012:2017個人資訊管理系統新版標準已發布, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7792&no=67&tp=1 (最後瀏覽日:2026/02/13)
引註此篇文章
你可能還會想看
美國聯邦通訊委員會(Federal Communications Commission,FCC)提議恢復網路中立相關規範,並發布規則草案

美國FCC主席Jessica Rosenworcel於2023年9月26日發表演說,並於內容中提案恢復在美國前總統川普任期間被廢止的網路中立性(Net Neutrality)相關規定,包含禁止寬頻網路業者對給付額外費用者提供「快速線路(fast lanes)」,或禁止電信業者對其網路服務減慢網速等規定。 FCC表示網路中立性規範可維護以下4大要點,包含: 1. 開放性:避免消費者觀看合法內容受阻,或是需要支付額外費用取得。 2. 國家安全:將寬頻網路渠道重新分配,以對抗潛在國安威脅。 3. 資訊安全:FCC得以強化寬頻網路韌性(resiliency),並要求網路業者在中斷網路時,需先行通知FCC與消費者。 4. 全國標準性:將樹立全國統一標準取代各州自行規範。 然而,有產學界的反對意見指出,在相關規定廢止期間,並未發現有網路業者因額外收費而對消費者的網路內容或網速進行干預。故認為FCC誇大了這些隱憂。 2023年10月19日,FCC在內部表決後,確定開始恢復網路中立規則程序,並於隔日發布包含最新草案內容之擬議規則制定通知(Notice of Proposed Rulemaking),草案除包含以上4要點相關規範以外,亦包含對寬頻網路近用業者(Broadband Internet Access Service,BIAS)等相關業者要求與限制,例如: 1. BIAS業者必須為殘疾消費者(disabilities)提供網路使用相關幫助。 2. BIAS業者將劃分為電信業者(telecommunications service)並適用相關規定。 針對目前草案內容,FCC目前正在公開徵詢意見,預定徵詢期限至2023年12月24日,並在2024年1月17日將意見彙整回報後,再進行後續表決及相關程序。 若網路中立性規範恢復,可能影響具跨國業務的網路業者,進一步影響其他國家的網路政策與法規,故亦可能對台灣網路業者與網路政策產生影響,值得我國持續關注後續發展。 本文同步刊登於TIPS網(https://www.tips.org.tw)

臺商拓展海外市場之法規遵循-以印尼食品登記程序與清真認證為核心

臺商拓展海外市場之法規遵循-以印尼食品登記程序與清真認證為核心 資訊工業策進會科技法律研究所 法律研究員 詹喨嵎 2018年5月10日 壹、概說:臺商投資印尼食品業利基與困難   據統計,印尼包裝食品總銷售額在2012年為223兆印尼盾(約合新台幣4億7千萬元),直至2017年成長到390兆印尼盾(約合新台幣8億3千萬元) [1]。食品作為印尼民眾最主要的消費類別,約占一般家庭收入的53%,而快速即食的加工食品更占家庭收入的11% [2],顯見印尼食品市場所具有之龐大商機。此外,華裔印尼人雖僅占印尼總人口數之3%至4%,約700萬人上下,但仍是華人數量最多之非華語國家,且華人控制大部分印尼經濟,屬具有高消費能力之族群 [3]。近年來伴隨現代化通路如量販店、超級市場及購物中心逐漸普及,部分我國餐飲連鎖品牌如鼎泰豐、日出茶太,亦成功將具我國特色之餐點或飲品拓展至印尼市場,增加印尼當地對於我國食品的認識與接受度 [4]。故印尼食品業對於我國廠商而言,可說是極具利基之投資產業。   然而,我國廠商投資印尼食品業所會面臨的第一個困難,即是印尼食品進口、食品安全及相關認證的法規遵循問題。由於印尼對於本土產業的保護主義,包裝食品若未依法取得相關註冊號碼或進口准證,將無法進入印尼市場;另外基於宗教族群分布的特殊性,印尼具有龐大的穆斯林人口,故為了符合伊斯蘭教義的生活需求,亦有相關認證制度。本文以下將從印尼相關主管機關出發,分別介紹印尼食品進口販售最重要的食品登記程序(BPOM認證),以及拓展穆斯林國家市場所必須的清真認證制度。 貳、印尼食品登記程序 一、印尼食品藥物管理局(BPOM)簡介   印尼食品藥物管理局(Badan Pengawas Obat dan Makanan, BPOM,下稱印尼食藥局),其地位如同我國衛生福利部食品藥物管理署。依照印尼政府於2017年第80號總統令第2條之規定,作為職掌監督食藥之中央主管機關,印尼食藥局主要負責制定食品藥物之管理政策,亦對於食品藥物及相關有害物質的測試技術進行研究與指導[5]。   其管理食品藥物之客體包含:藥物、原料藥、成癮物質、傳統草藥、化妝品以及包裝加工食品[6]。若為家畜肉品、家禽、乳製品等未經加工、包裝之原料,則以農業部(Ministry of Agriculture)作為主管機關,並經不同之規範程序進口[7]。 二、食品登記程序簡介 (一) 法源與效力   印尼政府於2012年公布法律第18號之《食品法》,作為食品之一般性規範,食品法主要提供下述各食品管理面向之法律正當性:食品營養與消費、食品安全、食品標示與廣告、食品資訊系統等,並包含食品進口之基礎規定 [8]。惟如食品添加物、農藥殘留量、食品包裝與標示及食品登記註冊等具體事項要求,尚須遵守印尼衛生部、國家標準署及食藥局等有關機關所制定之法律、法規命令及國家標準[9]。   此外,為確保包裝食品符合印尼《食品法》的食品安全、品質、營養與標示規範,印尼食藥局基於《食品法》公布2016年第12號條例規範食品登記程序 [10]。未經食品登記之包裝食品,不得在印尼國內零售通路合法販售,故取得印尼食藥局之食品登記註冊號碼,可說是拓展印尼食品市場最基本的前提要件 [11]。又為了強化包裝產品之管控,2016年第12號條例進一步規定,即便是相同的食品,但零售包裝大小、標示設計、生產地址甚或進口商及經銷商若有不同,皆須重新申請登記[12]。 (二) 風險分級與基本程序   依照印尼食藥局規範,食品登記依其目的可分為三種類型:針對全新產品之「新登記」、涉及產品相關資料改變之「變更登記」及到期前為延長效期之「再登記」程序;另依食品風險等級高低,分成一般申請及快速申請程序[13]。   一般申請程序適用被認為具有較高風險、含有添加物或特殊營養成分之食品,例如孕婦專用食品、減肥食品等 [14]。申請人應備文件包含委任書(letter of appointment, LoA)、自由銷售證明(free sale certificate, FSC)、實驗室檢驗結果、印尼文之食品成分表及規格標示等文件。經過書面審核通過後,即可經線上申請系統取得效期五年之註冊號碼(ML number)[15]。   快速申請程序則限於少數被評估為具有一般或低風險之食品方得申請(例如罐頭食品),相較於一般申請程序,約可節省二個月左右之時間。無論採取何種程序或類型,有資格申請食品登記者,僅限印尼本土之進口商或經銷商,故如何選擇合格可信賴之當地業者合作,為我國廠商的重要課題。 (三) 其他要求:印尼國家標準(SNI)與食品進口准證(SKI)   透過前述食品登記程序取得註冊號碼之法律效果有二,一為使包裝食品取得零售端合法販賣之資格,二為進口包裝食品之必要標示。但特定食品如瓶裝水、即溶咖啡、麵粉等,尚須符合國家標準署制定之印尼國家標準(SNI),方能取得食品登記註冊號碼[16]。   此外,印尼食藥局為了確實掌握進口食品流向,於2017年第4號及第5號條例規定,包含加工食品、食品原料、食品添加物、相關食品配方等食品及相關產品。我國廠商若透過進口方式將食品輸入印尼市場,則必須在每一船運航次取得印尼食藥局之食品進口准證(SKI)[17] ,作為海關進口之前階段程序。食品進口准證係獨立於食品登記之外的另一程序,申請人必須提交包含進口人姓名、地址及產品名稱種類等內容之申請函、產品規格及完稅證明等相關聲明書,經過書面審核通過方可取得食品進口准證(SKI)[18]。 參、印尼清真認證 一、 清真認證簡介與印尼穆斯林商機   印尼全國總人口數為2億5千萬,其中超過2億人為穆斯林,約佔總人口數的85%以上,符合伊斯蘭國家合作組織(Organization of Islamic Cooperation, OIC)對穆斯林國家之定義。為了顧及國內廣大穆斯林教徒之需要,印尼屬於國際間較早推行清真認證制度者,原本由民間之印尼伊斯蘭宗教理事會(MUI)建立並實施清真認證制度,印尼政府於2014年通過公布第33號法律之《清真產品保證法》,已在2017年成立相關主管機關,將清真認證制度正式納入國家行政的一環 [19]。   所謂「清真(Halal)」,原意為合法的,代表符合伊斯蘭教法之事物,具體而言則指穆斯林於日常生活中不得接觸不潔之物,例如豬狗等雜食性動物、酒精及動物血液等[20]。特別是與身體直接接觸者如衣物、飲食、美妝,皆為穆斯林於生活中會特別注意是否符合伊斯蘭教法之產品 [21]。由於穆斯林生活方式所帶來的特別需要,加之現代加工食品種類及其他產品製程複雜,為了避免違反伊斯蘭教法,因此穆斯林多會選購經清真認證之產品,形成以穆斯林為目標客群的特殊商機,於穆斯林占絕大多數的印尼市場更是如此 [22]。 二、 清真認證程序簡介   目前東協國家如馬來西亞、印尼及新加坡,與中東海灣國家如阿拉伯聯合大公國等國有不同的清真認證制度,惟其基本精神皆在保障規範產品符合清真,僅於執行程序略有差異 [23]。   印尼之清真認證制度原以印尼伊斯蘭宗教理事會進行審查與證書核發。在2014年公布第33號法律《清真產品保證法》後,印尼政府並於2017年10月設立「清真產品認證局(BPJPH)」,並計劃相關法規命令修訂完成後,將由清真產品認證局進行認證 [24]。惟目前印尼清真認證程序仍依照印尼伊斯蘭宗教理事會(MUI)之制度,故以下介紹將以印尼伊斯蘭宗教理事會(MUI)之程序為主。   清真認證之產品範疇,主要是以穆斯林食用或接觸之產品為主,如肉品、加工食品、化妝品等,且認證範圍不僅限於製造過程,包含原物料、工廠設備、倉儲、物流甚至零售端賣場都必須符合清真要求,故清真認證係一套溯源驗證之制度 [25]。   在申請流程部分,無論是印尼國內外食品製造商,皆可於線上網站登記公司相關資料,上傳相關文件提供審查,並於繳交費用後,始可進入驗證最為重要的工廠實地檢查階段 [26]。在實地檢查階段,印尼伊斯蘭宗教理事會將會派遣教法與技術領域共兩名稽核員進行檢查,若是海外廠商,則須負擔相關交通及食宿費用,稽核員將檢查結果回覆給評議委員會,經審議通過後即可取得清真認證,每次認證效期為2年,到期仍須重新申請驗證 [27]。 肆、結語   拓展印尼食品市場,取得食品登記程序之註冊號碼為必不可少之前置作業,又若採取食品進口至印尼販售之商業途徑,另須依相關條例規範取得食品進口准證(SKI)並遵守後續海關進口程序。申請食品註冊號碼時必須注意,有資格申請者為印尼本土進口商或經銷商,故尋求合格可信賴之當地代理業者,並簽訂權利義務明確之商業合作契約,對於能否順利進入印尼市場實屬關鍵。若與不肖代理業者合作,又未簽訂可保障權益之契約,不僅可能無法進入印尼市場,甚或有商標等智慧財產權遭到搶註及商品被仿冒的隱患存在。   此外,印尼行政機關在執行上亦存有行政流程不夠透明及行政怠惰之問題。根據印尼當地台商之訪問調查,印尼行政流程緩慢,且不會主動通知受審文件是否缺漏,廠商往往必須就單一產品重複申請數次方能取得註冊號碼,且耗時達半年至一年以上 [28]。造成相當時間與金錢成本的損失,故廠商應在申請前明確瞭解須備妥之相關文件,節省行政流程之往返。   關於清真認證制度方面,目前無強制規定食品必須進行清真認證,始可在市場銷售,惟若取得清真認證,將可提升穆斯林消費者的購買意願。印尼政府於2014年公布第33號法律《清真產品保證法》,除了透過設立主管機關「清真產品認證局(BPJPH)」,將清真認證制度正式納入行政機關管轄外,影響更重大的即為「強制清真認證」規定。根據《清真產品保證法》相關規範,2019年後在印尼境內販賣、流通與交易之產品,包含食品飲料、化學產品及醫藥品等皆有進行清真認證之義務,若非屬清真亦應標示「非清真」,縱然是進口產品亦適用前述規範 [29]。然而強制清真認證的相關法規命令尚未修訂完成,且印尼國內亦有不同意見,有主張強制清真認證將對印尼相關產業造成嚴重打擊者,亦有認為影響不大 [30],目前並未有明確之發展方向 [31] ,惟對有意進入印尼市場的廠商而言,強制清真認證屬關鍵之法規遵循問題,其未來動向值得關注。 [1] 胡婉玲,〈食品進軍印尼 八個準備不能少〉,經濟日報,2018/03/18, https://money.udn.com/money/story/5612/3037116 (最後瀏覽日:2018/03/22)。 [2] 經濟部投資業務處編,《印尼投資環境簡介》,頁48,經濟部,2017年。 [3] 同前註,頁2。 [4] 同前註,頁56。 [5] 〈BPOM主要職掌〉,BADAN POM官方網站, http://www.pom.go.id/new/view/direct/job(最後瀏覽日:2018/4/20)。 [6] USDA Foreign Agricultural Service, Indonesia Food and Agricultural Import Regulations and Standards – Narrative (2017). [7] Id. [8] Id. , at 3. [9] 印尼食品進口法規簡介,行政院經貿談判辦公室, https://www.moea.gov.tw/Mns/otn/content/ContentDesc.aspx?menu_id=25481(最後瀏覽日:2018/4/20)。 [10] 同前註。 [11] European Union, The Food and Beverage Market Entry Hand book: Indonesia 28-31 (2016). [12] Supra note 6. [13] 同註9。 [14] Supra note 6. [15] Id. [16] 同註9。 [17] Supra note 6. [18] Id. [19] 同前註,頁5。 [20] 經濟部投資業務處,《印尼投資環境簡介》,頁56-60,2017年8月。 [21] 同前註。 [22] 同前註。 [23] 同註20,頁7。 [24] 同註22。 [25] 同註20,頁6。 [26] 同註22,頁61。 [27] 同註20,頁8。 [28] 〈印尼食品與藥物管理局(BPOM)簡介〉,優質平價新興市場資訊網, https://mvp-plan.cdri.org.tw/regulations;jsessionid=51E00524C4F5E47D6EE98246B3B9460A?panel=0(最後瀏覽日:2018/4/20)。 [29] LAW OF THE REPUBLIC OF INDONESIA NUMBER 33 2014 ABOUT HALAL PRODUCT CERTIFICATION §§4, 67. [30] 印尼伊斯蘭宗教理事會認為強制清真認證縱然會影響到部分中小企業,但對於規模較大之國際企業,進行清真認證並不會因成本而受到影響。 [31] 同註20,頁18-19。

美國對於智慧聯網 IoT 環境隱私保障展開立法工作

  有鑒於智慧聯網IoT環境下,許多智慧型手持裝置及行動通訊裝置,大量蒐集消費者資訊之隱私權暨資訊安全考量,美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」(Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913)進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體(Application)在蒐集消費者資訊前,如何落實「同意」機制,乃強制行動通訊裝置應用軟體開發商(developer)應:(1)提供使用者個人資料蒐集、使用、儲存及公開之通知(notice),而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等;(2)取得使用者之同意(consent);消費者依據該草案亦有權撤銷其「同意」(withdrawal of consent)。此外,草案乃強制要求該行動通訊裝置應用軟體開發商,就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料,應採取合理及適當之防衛措施(security measures on personal data and de-identified data)。   並且,針對網路環境下隱私權保護議題,更早之前,美國國會於2013年2月28日提出「線上禁止追蹤法草案」(Do-Not-Track Online Act of 2013) 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會(FTC),就透過個人線上活動追蹤,以蒐集、使用個人資料之行為態樣,進行管制。該管制模式謹據以要求如下:(1)被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知(clear, conspicuous and accurate notice and use of such information),而個人就該通知應予明白之同意(affirmative consent);(2)FTC未來在訂定標準規範時,應(shall)考量所被搜集之資料,是否在匿(隱)名基礎上處理之,遂該資料無法有效被聯結(指認)到特定個人或裝置上;此外,消費者當享有資料不被蒐集的權利(expressed preference by individual not to have personal information collected)。該草案並就違反之個人,設定最高15,000,000美元損害賠償規定。

英國衛生部提出健康照護科技行為準則,以增進資訊安全以及新技術操作品質

  英國近來透過電子醫療紀錄的應用,以智慧演算法(intelligent algorithms)開發結合數位技術的創新醫療科技,這些成果多是以國民健保署(National Health Service, NHS)的資料做為基礎,因此關於資訊保障等議題也開始受到政府之重視。   2018年9月5日,英國衛生部(Department of Health and Social Care)在NHS健康與護理創新博覽會(NHS Health and Care Innovation Expo Conference 2018)中公布「以資料導向的健康照護科技之行為準則」(Code of Conduct for Data-driven Health and Care Technology)。此準則主要鼓勵研發公司在設計產品時,將患者的資訊安全以及新技術的操作品質列入考量。   此行為準則的目的主要在於改善整體研發環境,內容包含十項原則,分別為:界定使用者、界定價值(value proposition)、對使用的資料保持合理(fair)、透明(transparent)以及當責(accountable)的立場、符合一般資料保護規則(General Data Protection Regulation, GDPR)的資料最小化原則(data minimisation principle)、利用公開之標準、公開被使用的資料以及演算法的極限、在設計中內建合適的安全性設定、界定商業策略、展示技術使用上的有效性、以及公開演算法的類型、開發原因、與操作過程的監控方式。   官方期望接下來能廣納相關人員的建議,以增進此指引在產業運作上的適用性,並預期於2018年12月公布更新的版本。

TOP