英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟
英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。
英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應:
- 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。
- 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。
- 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。
- 當事人權利(Individuals' rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。
- 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。
- 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。
- 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。
- 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。
- 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。
- 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。
- 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。
- 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳靜怡
法律研究員 編譯整理
1. Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now, ICO.ORG.UK, https://ico.org.uk/media/for-organisations/documents/1624219/preparing-for-the-gdpr-12-steps.pdf (last visited Dec 23,2017)
2. Guidance: what to expect and when, ICO.ORG.UK, https://ico.org.uk/about-the-ico/our-information/our-strategies-and-plans/guidance-what-to-expect-and-when/ (last visited Dec 20,2017)
美國的「潔淨能源製造推動方案」(Clean Energy Manufacturing Initiative, CEMI) 係由能源部自2014年起推動,目標是在強化美國製造業之競爭力的同時,促進經濟成長與能源目標及能源安全的達成。潔淨能源製造推動方案係以創新及排除市場障礙為核心目標,相關行動包括:(一)技術研發:能源部在推動方案下針對製造業的研發提高補助金額;(二)新型創新模式:推動方案旨在透過公私夥伴計畫與製造創新量能的提生,促進美國境內潔淨能源製造創新基礎設施之共享;(三)競爭力分析:經由競爭力分析挹注研發投資與確認對於潔淨能源製造而言至關重要之助力與阻力;(四)溝通與意見徵詢:推動方案特別強化與利害關係人間的廣泛對話,以修正其推動策略,並確認政府與民間部門能經由哪些途徑以共同合作來提升美國在潔淨能源製造上之競爭力;(五)能源生產力之技術支援:能源部向製造商進行能源生產力資源上的投資,這當中包括技術支援與市場領銜計畫。在我國之相關發展上,2015年11月26日於北京舉辦之「兩岸工業發展和合作論壇」,經濟部工業局表示,論壇聚焦於智慧製造與綠色製造,兩岸可針對工業發展過程中,例如材料、監控、生產流程等方面,整合雙方技術特點共同解決。
澳洲立法強制Google及Facebook向媒體業者支付合理費用2020年4月20日澳洲政府要求澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)草擬強制性行為準則,以解決澳洲新聞媒體業者與數位平台(特別是Google及Facebook)間不對等的議價地位問題,由於2019年ACCC曾嘗試讓Google、Facebook自願與業者議價,並訂定相關程序準則,但事後成效不彰。為因應政府要求,ACCC於同年7月31日公布一份行為準則草案,「2020年修正草案—新聞媒體與數位平台強制性議價守則」(TREASURY LAWS AMENDENT (NEWS MEDIA AND DIGITAL PLATFORMS MANDATORY BARGAINING CODE) BILL 2020)。 此行為準則允許新聞媒體業者各自或集體向數位平台協議使用新聞內容的合理費用,請求費用的媒體公司至少須符合最低的編輯專業標準,並保持編輯獨立性,且每年營收須超過15萬澳元。雖然目前草案只適用於Google及Facebook,但未來也可能有其他數位平台列入適用範圍。 澳洲財政部長Josh Frydenberg表示,此準則設立的目的,是為了保護媒體公司著作內容的原創性,並確保業者能獲得合理的報酬,若Google及Facebook三個月內,無法與媒體公司達成報酬協議,將命仲裁員做出具有約束力的決定,違反規定者將會被裁處1000萬澳元的罰款。 此草案公布後,預計於8月28日完成磋商審議程序,並向議會提出最終草案版本,經議會通過後正式生效。由ACCC負責執行並管理該準則,而新聞媒體業者的資格則由澳洲通信媒體管理局(The Australian Communications and Media Authority)認定之。
為保護金融消費者日本金融廳研議「電子銀行法」相關立法二00四年十二月九日日本金融廳表示,為因應日益頻繁的網路及IC智慧卡被用以進行電子金融交易的現況,該廳將研議「電子銀行法」(暫稱)之立法以保障金融消費者,並將此納為未來施政方針。該項立法提案計劃已納入金融廳最新的金融行政方針─「金融重點強化計劃」(2005年4月起2007年3月止)之中,期待在2005年至2006年度間完成立法。 目前電子金融交易及電子現金等實務現況雖有可能涉及「電子簽章法」及「電子消費者契約法」的相關規範,惟金融廳的研究認為尚缺乏對此類交易活動的「總合性立法規範」。該立法研議甚擬導入對於因在網路上交易不慎遭受「冒名欺騙」 (?????;spoofing)的被害人,由金融機構為一定額補償的制度。
英國衛生部將建立之病歷資料庫挑動隱私保護議題之神經英國衛生部(Department of Health)於5月21日公布新的國家衛生政策,政策中指出,未來將建立資料庫,透過建設完善醫藥資訊之流通分享機制可改善對於病患之醫療服務以及促進學術研究之發展,當局承諾將採取適當之保護措施以妥善保護當事人之個人資料。然而,該政策同時亦承認對於病患資料匿名化之措施仍可能侵害當事人之隱私權。 當局指出,為了保護當事人之權益,將個人資料匿名化實屬必要,然而,對於醫療院所而言,縱使已經將個人資料匿名化,但透過其他相關資訊包含年齡、性別、血型、身高或者體重等,仍可能間接識別出當事人之個人資料。 衛生部重申建立資料庫分享當事人之個人醫療資料將可有效促進學術研究之發展,但將會透過當事人同意以及確實匿名化之機制保護當事人之個人資料。另外,衛生部於該政策中指出未來將要求英國之醫療機構必須於內部建立系統,使患者、當事人可有管道查詢其留存於資料庫之資料。 英國之隱私保護專員指出,由於此政策涉及敏感性個人資料之蒐集,所以其針對衛生部之政策規畫將持續關注,以確保當事人之隱私權。