英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟

  英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。

  英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應:

  1. 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。
  2. 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。
  3. 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。
  4. 當事人權利(Individuals' rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。
  5. 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。
  6. 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。
  7. 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。
  8. 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。
  9. 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。
  10. 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。
  11. 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。
  12. 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。

相關連結
相關附件
你可能會想參加
※ 英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8019&no=55&tp=1 (最後瀏覽日:2026/07/20)
引註此篇文章
你可能還會想看
中國國務院發布AI行動意見,全面推動智慧應用加速現代化建設

中國國務院發布AI行動意見,全面推動智慧應用加速現代化建設 資訊工業策進會科技法律研究所 2025年12月10日 隨著人工智慧(下稱AI)技術的快速發展,全球各國政府均積極推動AI在百工百業各領域的應用,以提升國家創新力、產業競爭力與社會治理效能,中國政府亦是如此。同時,受地緣政治及經貿競爭的影響,中國政府為強化國家供應鏈安全與韌性,由政府主導加速現代化建設,以推動智慧社會新型態的發展為目標。 壹、事件摘要 中國國務院於2025年8月26日發布「關於深入實施人工智能+行動的意見」(國發[2025〕11號)(下稱行動意見)[1],旨在全面推動AI應用於各行各業,以提升國內產業生產力與創新量能,並促進人機協作的智慧社會新型態,作為推動「中國式現代化」發展之重要建設。 貳、行動意見重點內容 於該行動意見中,中國國務院提出三項階段性目標,分別為: 一、 2027年前:AI應用普及率達70%以上 推動科技、產業、消費、民生、治理與全球合作的6大核心領域全面結合AI應用,擴大AI使用普及率達70%以上,以達加速公共治理與產業創新之成效。 二、 2030年前:AI應用普及率達90%以上 強化前述6大核心領域,持續擴大AI使用普及率可達90%以上,實現研發成果共享之效益。 三、 2035年前:AI應用普及率達100% 建立全面人機協作之智慧經濟與社會新型態,作為國家現代化建設之重要基礎。 為實現前述三階段目標,中國政府針對6大核心領域提出具體行動方向,重點整理如下: 一、 AI+科學技術 為加速科研進程並推動大模型建設與應用,將強化基礎科學研究平台和重要科技基礎建設的智慧化升級,打造開放式且高品質的共享資料集,以促進AI跨領域的結合發展。同時,亦積極促進AI帶動研發模式創新與效能的提升,以加速技術研發和產品應用落地。 二、 AI+產業發展 鼓勵企業將AI導入內部策略規劃、組織架構與業務流程設計等,以建構創新的商業模式;並在技術、產品與服務體系中推動智慧化應用,強化供應鏈各環節與AI的協作,同時最佳化工業、農業及服務業的生產與服務模式,藉以帶動傳統產業轉型升級,建構新型生態體系並加速整體產能提升。 三、 AI+消費增質 透過推動AI與服務的結合,建立多元及智慧化的服務模式,加速發展智慧消費相關基礎建設;此外,推動AI應用於各類商品與設備,重點發展智慧聯網汽車、智慧機器人、智慧家居、智慧穿戴等終端商品,加速技術融合與產品創新,以提升人民生活的品質。 四、 AI+民生福祉 透過推動人機協作的模式,提供新型的工作、學習與生活型態,建立更具智慧化的社會發展模式。例如,企業雇主可藉由AI協助建立新型組織架構和管理模式,提升傳統職務執行之效率,亦或是透過AI進行技能培訓以因應勞動力短缺之情形;學校教育面向則可推動AI融入教學教材,推動更加多元與互動之學習生態;生活方面則計劃推動AI健康照護、社會服務等領域廣泛應用,全面提升公共服務與生活品質,形成具包容性的智慧化社會。 五、 AI+智慧治理 推動AI全面導入社會治理過程,以促進市政管理、政務服務及公共資源運作的智慧化轉型,並利用AI強化公共安全與網路安全治理能力,完善國家安全防護的機制;於生態層面,將運用AI推動綠色永續與人機協作,強化於環境與碳管理領域的監測、預測及治理能力,促進高效及精準的治理模式。 六、 AI+全球合作 推動AI的普及與共向,建立開放生態系、強化運算能力、資料與人才領域的國際合作,共同提升全球南方AI基礎建設,縮減全球數位落差,協助各國可平等參與智慧化發展過程,共同因應AI應用相關風險,確保技術發展安全且可信賴地發展。 參、事件評析 從上述中國國務院發布之行動意見可知,其目標在於藉由強化安全及可信賴的AI,並促進AI應用於各領域的發展,以建構可持續性的智慧化生態系,提升社會治理效率與全民生活的品質,以利國家經濟與科技的共同發展。 然而,該行動意見雖明確提出國家整體目標及治理方向,為相關領域的智慧化發展提供指引,惟對於各項目標尚未提出可操作性措施、具體政策細節,或對產官學各單位可獲得的政府資源、技術支持與協助等進行明確規範。故後續仍需持續關注相應政策措施及配套資源的發布,以評估其實際推動AI應用之成效。 [1]《国务院关于深入实施“人工智能+”行动的意见》(國發[2025]11号)。

加州公佈影音遊戲法案臨危憲爭議

  加州州長阿諾‧史瓦辛格於 2005 年 10 月 7 日簽署禁止販售暴力影音遊戲 (Violate Video Game) 與未成年人之影音遊戲法案,影音遊戲業者對於此法案之通過表示強烈抗議,主張該法案違反美國憲法修正條文第一條言論自由之保護。   該法案禁止販賣或出租具強烈暴力色彩之影音遊戲與未滿 18 歲之未成年人,同時要求此類遊戲必須於包裝正面依據規定標誌標示明顯之「 18 」字樣,違者將處以 1000 美元以下之罰金。州長史瓦辛格先生指出,這些遊戲多半是為成人所設計,是否讓青少年接觸此類遊戲,應由其家長決定之,故此法案並未限制該未成年人之家長購買或租用該類遊戲提供未成年人使用。   美國「影音軟體業者協會」 (Video Software Dealer Association) 以及「娛樂軟體協會」 (Entertainment Software Association) 等業者代表計畫以訴訟方式爭議此法之合憲性並予以推翻,而美國聯邦法院曾對於華盛頓州之類似法案作出不利之判決,使得此法案之未來仍為一個未知數。值得一提的是,美國其他州亦有類似法案通過,其中包括伊利諾州以及密西根州,目前「娛樂軟體協會」針對此兩州之法案已於聯邦法院提起訴訟。

揭露產品溯源資訊,兼顧防偽、永續!歐盟區塊鏈物流認證計畫進行試點,將於11月發布報告

為確認產品供應鏈與物流鏈的真實來源、打擊仿冒品、提升永續資訊透明度以接軌歐盟政策,歐盟智慧財產局(下稱EUIPO)自2023年5月啟動區塊鏈物流認證計畫(下稱EBSI-ELSA),採難以竄改、公開透明的區塊鏈服務基礎設施(European Blockchain Services Infrastructure,下稱EBSI),透過數位簽章(digital signature)、時戳追溯與驗證歐盟進口產品的來源是否為智慧財產權利人。EUIPO 於2024年6月24日宣布EBSI-ELSA已上線8成基礎設施。為加速推動計畫,於2024年9月至11月間,EUIPO以產品鏈的智財權利人(例如鞋類與/或服裝、電氣設備、手錶、醫療設備與/或藥品、香水與/或化妝品、汽車零件與玩具產業別之產品智財權利人)為試點,並將於2024年11月前發布試點最終報告。 透過試點,EUIPO致力於: (1)測試、評估於真實世界之製造與分銷系統中應用數位簽章及物流模組的情況,以作為智財權利人之企業資源規劃(ERP)的一部分。 (2)於產品歷程,測試、評估數位裝運契約(digital shipment contract)及產品數位孿生(Digital Twin)之資訊的接觸權限與品質(access to and quality of information)。如海關人員預計於產品抵運前(pre-arrival)、通關階段(inspection phases)確認產品之真實性。 (3)提供產品生命週期應用EBSI-ELSA之試點最終報告,包含實施過程、結果等相關資料。 EBSI-ELSA計畫認為其符合歐盟之數位政策與循環經濟目標,旨於採取區塊鏈技術向供應商、消費者、海關、市場監管機構等多方揭露更多的產品溯源資料,提升產品透明度,銜接歐盟之數位產品護照(Digital Product Passport, DPP)政策,該政策目的係以數位互通方式揭露歐洲市場之產品生命週期的資訊,如產品材料來源、製程、物流、碳足跡等永續資訊,強化產業的可追溯性、循環性(circularity)及透明度,以協助供應鏈利害關係人、消費者、投資者做出可持續的選擇。而負責執行歐盟資料經濟與網路安全相關政策之歐盟執委會資通訊網絡暨科技總署(DG Connect)於2024年5月所發布之「數位產品護照:基於區塊鏈的看法」報告,亦指出「為確保區塊鏈系統互通性,其IOTA區塊鏈技術框架應能與歐盟內部市場電子交易之電子身分認證及信賴服務規章(EIDAS)及EBSI標準完全接軌(fully align)」。 如我國企業欲強化既有的產品生命週期資料管理機制,可參考資策會科法所創智中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,從數位資料的生成、保護與維護出發,再延伸至存證資訊之取得、維護與驗證之流程化管理機制,協助產業循序增進資料的可追溯性。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

多層次營銷公司即使向數千名人員發布屬於其營業秘密之培訓教材,仍能主張已採取合理保密措施

  2022年3月7日華盛頓西區地方法院針對原告多層次營銷(直銷)美容公司Tori Belle Cosmetics LLC(下稱原告)向數千名人員發布屬於營業秘密之培訓教材,能主張有採取合理保密措施做出結論。原告行銷Belle Cosmetics產品之方式是以銷售人員的個人 Facebook 帳號來販售化妝品和假睫毛產品,並將公司培訓教材上傳到由數千名成員組成的 Facebook 群組“Team Lash Out”中,且設定帳號公開權限維護其所提供之培訓教材、銷售人員及客戶之聯繫清單,故華盛頓西區地方法院仍認定其主張有理由。   被告(Belle Cosmetics的五名前網路銷售人員)雖主張銷售人員因持有Facebook個人帳號之所有權,認為與個人帳號有關之銷售人員及客戶的聯繫清單皆屬被告所有。並且,由於每個被告的 Facebook 朋友都可以看到他們的朋友清單,而主張聯繫清單不具秘密性。法院不採納被告之主張,認為原告已有設定權限限制Facebook 群組中的朋友僅可以看到其他朋友的姓名和頭像,涉及電話及地址等聯繫資訊則設定不公開,故銷售人員及客戶之聯繫清單仍具秘密性。   此外,被告亦主張原告將培訓教材上傳至「世界最大社交媒體網站Facebook」,並向數千名銷售人員公開,應判定該培訓教材已不具秘密性。法院則駁回指出Facebook之用戶可以設定權限,指定特定人加入群組中讀取培訓教材,故認為仍培訓教材具有秘密性。   本案最值得關注的是後續法院會以何種方式評估上傳至Facebook群組之培訓教材有採取合理保密措施,例如法院如何評估原告與銷售人員間的合約有約定針對教材內容具有保密義務、群組管理員如何驗證請求加入群組之用戶是該公司之網路銷售人員,或法院如何判定在營業秘密解密前Facebook 群組中有多少用戶不具備網絡銷售人員身分。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

TOP