歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」

歐盟法院（Court of Justice of the European Union, CJEU）於2023年12月14日對Gemeinde Ummendorf（C‑456/22）案作出判決。歐盟法院試圖釐清《歐盟一般個人資料保護規則》（General Data Protection Regulation, GDPR）第82條的民事求償規範中，資料主體受到非財產上的損害要到何種程度才可獲得賠償。 本案源自於兩位自然人原告與德國的烏門多夫市政府（Municipality of Ummendorf）之間的紛爭。2020年，烏門多夫市政府未經兩位原告同意情況下，在網路上公布市議會議程與行政法院判決，這些資訊內容均多次提及兩位原告的姓名與地址。兩位原告認為市政府故意違反GDPR，因此依據GDPR第82條請求市政府賠償，並進一步主張該條意義下的非財產損害，不需要任何損害賠償門檻。然而，市政府則持相反意見。 長久以來，德國法院傾向認為，GDPR的非財產上損害需要超過某個「最低損害門檻」才可獲得賠償。然而，承審法院決定暫停訴訟程序，並將是否應有「最低損害門檻」以及其基準為何的問題，提交給歐盟法院進行先訴裁定。 歐盟法院考慮到，GDPR的宗旨在於確保在歐盟境內處理個人資料時對自然人提供一致和高水準的保護，如要求損害必須達到一定的嚴重性閾值或門檻才可賠償，恐因為成員國法院認定的基準不同，進而破壞各國實踐GDPR 的一致性。因此，歐盟法院最後澄清，GDPR的民事賠償不需要「最低損害門檻」，只要資料主體能證明受有損害，不論這個損害有多輕微，都應獲得賠償。

　　歐盟法院於2008年1月29日判決（Az. C-275/06）指出，基於歐盟現行相關指令規範，並未強制或禁止電信服務提供者有提供客戶或使用者之個人資料的義務。 　　本案源起於西班牙著作權人團體Productores de Música de España對電信服務提供者Telefónica提出之著作權侵害訴訟。原告Productores de Música de España主張被告Telefónica有義務提供其網路使用者之身分，因該網路使用者乃透過被告所提供之連線服務，連線至檔案分享平台KaZaA，並提供下載違反著作權之音樂檔案。被告Telefónica 則根據西班牙現行資訊社會及網路使用之相關規範，拒絕提供該客戶之個人資料。根據西班牙法令，僅有在刑事犯罪追訴或有明顯侵害公益之情事下，始允許電信服務提供者提供客戶之個人資料。 　　西班牙法院因此向歐盟法院提出預先決定（Vorabentscheidung)*之請求，請其確認基於現行歐盟法規，各會員國是否應強制民事訴訟程序之當事人，即本案的電信服務提供者，有提供足以確認其使用者身分之資料的義務規定，以達有效遏止著作權侵害之目的。歐盟法院在分析各相關指令如電子商務、隱私權保障等相關規定後，認為歐盟現行法規並未就此議題有強制規定，各會員國應於考量隱私權以及其他權利之保障，且在不違法歐盟規範前提下，自行決定是否在國內制定類似之規定。 　　反觀德國在落實歐盟「儲存通訊資訊指令（Directive 2006/24/EC）」於國內法後，則允許在符合特定情況下，當事人於民事訴訟程序中有提供個人資料之義務。該法令因存有違反隱私權保護之爭議，通過後迄今仍有極大之反對聲浪。 *因歐盟條約規定，若會員國法院對於條約解釋、共同體組織與歐洲中央銀行行為之有效性與解釋以及執委會所設立的機構的章程之解釋有疑問，且會員國法院認為上述問題之決定於判決之作成有其必要，得申請歐洲法院裁決，此為預先決定。

歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》（Cyber Resilience Act）草案，後續待歐盟理事會正式同意後，於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品（products with digital elements, PDEs）（下簡稱為「數位產品」）具備對抗資安威脅的韌性，並提高產品安全性之透明度。草案重點摘要如下： 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務，規定產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。 二、數位產品合規評估程序（conformity assessment procedures） 為證明數位產品已符合資安及漏洞處理要求，依數位產品類別，製造商須對產品執行（或委託他人執行）合規評估程序：重要（無論I類或II類）數位產品及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞，並提供「安全更新」（security updates）等方式修補漏洞。安全更新後，應公開已修復漏洞之資訊，惟當製造商認為發布相關資訊之資安風險大於安全利益時，則可推遲揭露。 四、新增開源軟體管理者（open-source software steward）之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策，並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞，或遭受嚴重事故時，應及時透過單一通報平臺（single reporting platform）進行通報，並通知受影響之使用者。

　　韓國於今年1月份爆發史上規模最大的個資外洩案，國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人，亦因此請辭以示負責。 　　為防止將來金融機構再次發生個人資料外洩等事件，韓國金融服務委員會（Financial Services Commission, FSC）與相關部會於3月份發佈一連串要求，以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段，包括蒐集、保存、使用和銷毀客戶資料時，都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利，包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任，包括提升首席資訊安全官（Chief Information Security Officer, CISO）獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制，以確保面對未來可能的資料外洩事故時，可迅速有效的應對。 　　韓國政府於於3月底已對不需修改法律之部分開始執行，而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。