歐盟資料保護工作小組修正通過個人資料侵害通報指引

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」

資訊工業策進會科技法律研究所
法律研究員 李哲明
2018年3月31日

壹、事件摘要

  因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或有譯為一般資料保護規則,下簡稱GDPR)執法即將上路,針對個人資料侵害之通報義務,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年2月6日修正通過「個人資料侵害通報指引」(Guidelines on Personal data breach notification under Regulation 2016/679),其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。

貳、重點說明

一、何謂個資侵害?個資侵害區分為哪些種類?

  依據GDPR第4條(12)之定義,個資侵害係指:「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說,個人資料之喪失包括含有控制者(controller)顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密,或經控制者加密,但其金鑰已滅失。依據資訊安全三原則,個資侵害之種類區分為:

  1. 機密性侵害(Confidentiality breach):未經授權、意外揭露或獲取個人資料。
  2. 完整性侵害(Integrity breach):未經授權或意外竄改個人資料。
  3. 可用性侵害(Availability breach):在意外或未經授權之情況下,遺失個人資料存取權限或資料遭銷燬。

二、何時應為通知?

  按GDPR第33條(1)之規定,當個資侵害發生時,在如果可行之情況下,控制者應即時(不得無故拖延)於知悉侵害時起72小時內,依第55條之規定,將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者,不在此限。倘未能於72小時內通報監管機關者,應敘明遲延之事由。

三、控制者「知悉」時點之判斷標準為何?

  歐盟資料保護工作小組認為,當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」(reasonable degree of certainty)時,即應視為其已知悉。以具體事例而言,下列情況均屬所謂「知悉」:

  1. 在未加密個人資料的情況下遺失USB密鑰(USB Key),通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事,惟仍應為通知,因發生可用性侵害之情事,且已達合理確信的程度。

  故應以控制者意識到該密鑰遺失時起為其「知悉」時點。

  1. 第三人通知控制者其意外地收到控制者的客戶個人資料,並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時,即為其「知悉」時點。如:誤寄之電子郵件,經非原定收件人通知寄件者之情形。
  2. 當控制者檢測到其網路恐遭入侵,並針對其系統進行檢測以確認個人資料是否遭洩漏,嗣後復經證實情況屬實,此際即屬「知悉」。
  3. 網路犯罪者在駭入系統後,聯繫控制者以索要贖金。在這種情況下,控制者經檢測系統並確認受攻擊後,亦屬「知悉」。

  值得注意的是,在經個人、媒體組織、其他來源或控制者自我檢測後,控制者或將進行短暫調查,以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況,控制者將不會被視為「知悉」。然而,控制者應儘速展開初步調查,以形成是否發生侵害事故之合理確信,隨後可另進行更詳盡之調查。

四、共同(聯合)控制者之義務及其責任分配原則

  GDPR第26條針對共同控制者及其如何確定各自之法遵義務,設有相關規定,包括決定由哪一方負責遵循第33條(對主管機關通報)與第34條(對當事人通知)之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議,約明哪一方係居主要地位者,或須負責盡到個資侵害時,GDPR所定之通知義務,並載於契約條款中。

五、通報監管機關與提供資訊義務

  當控制者通報監管機關個資侵害情事時,至少應包括下列事項

(GDPR第33條(3)參照):

  1. 敘述個人資料侵害之性質,包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。
  2. 傳達資料保護長(DPO)或其他聯絡人之姓名與聯絡方式,俾利獲得進一步資訊。
  3. 說明個資侵害可能之後果。
  4. 描述控制者為解決個資侵害業已採取或擬採行之措施,在適當情況下,酌情採取措施以減輕可能產生之不利影響。

  以上乃GDPR要求通報監管機關之最基本事項,在必要時,控制者仍應盡力提供其他細節。舉例而言,控制者如認為其處理者係個資侵害事件之根因(root cause),此時通報並指明對象即可警示委託同一處理者之其他控制者。

六、分階段通知

  鑒於個資事故之性質不一,控制者通常需進一步調查始能確定全部相關事實,GDPR第33條(4)爰設有得分階段通知(notification in phases)之規定。凡於通報時,無法同時提供之資訊,得分階段提供之。但不得有不必要之遲延。同理,在首次通報後之後續調查中,如發現該事件業已受到控制且並未實際發生個資侵害情事,控制者可向監管機關為更新。

七、免通報事由

  依據GDPR第33(1)條規定,個資侵害不會對自然人之權利和自由造成風險者,毋庸向監管機關通報。如:該遭洩露之個人資料業經公開使用,故並未對個人資料當事人構成可能的風險。

  必須強調的是,在某些情形下,未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報(監管機關)或通知(當事人),以及安全維護措施之缺乏或不足,以違反第33條或(及)34條與第32條等獨立義務規定為由,而依第83條4(a)之規定,併予裁罰。

參、事件評析

一、我國企業於歐盟設有分支機構或據點者,宜指派專人負責法遵事宜

  揆諸GDPR前揭規定,當個資侵害發生時,控制者應即時且不得無故拖延於知悉時起72小時內,將個資侵害情事通報監管機關。未能履踐義務者,將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元,取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等,均或有於歐盟成員國境內或歐洲經濟區(European Economic Area)當地設立子公司或營業據點。因此,在GDPR法遵衝擊的倒數時刻,指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及,未能及時處置而致罹法典之憾。

二、全面檢視個資業務流程,完備個資盤點與風險評鑑作業,掌握企業法遵現況

  企業應全面檢視業務流程,先自重要核心業務中析出個資作業流,搭配全面個資盤點,並利用盤點結果進行風險評鑑,再針對其結果就不同等級之風險採行相對應之管控措施。此外,於全業務流程中,亦宜採行最小化蒐集原則,避免蒐集過多不必要之個人資料,尤其是GDPR所定義之敏感個資(如:種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料,及遺傳資料的處理,用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等)或犯罪前科資料,俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。

三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認(驗)證,並建置認證資訊公開平台

  鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升,我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應,更有賴政府透過法令(如:修正個人資料保護法)強制要求一定規模以上之企業通過第三方專業驗證,俾消弭風險於日常準備之中。蓋我國具一定規模以上企業,無論其係屬何種業別,一旦違反國際法遵要求,遭致鉅額裁罰,其影響結果將不僅止於單一企業,更將嚴重衝擊該產業乃至於國家整體經貿發展。職是,採法律強制要求企業定期接受獨立、公正及專業第三方認(驗)證,咸有其實益性與必要性。

你可能會想參加
※ 歐盟資料保護工作小組修正通過個人資料侵害通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8028&no=65&tp=1 (最後瀏覽日:2024/11/01)
引註此篇文章
你可能還會想看
美國證券交易委員會針對上市公司提出網路安全風險管理、治理及網路安全風險事件揭露規則

  美國證券交易委員會(United States Securities and Exchange Commission, SEC)於2022年3月9日提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理以及網路安全事件之揭露監管,其提案核心內容有二,第一係要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊,且揭露內容必須包含以下五大項,(1)事件何時發現、目前是否持續中、(2)事件性質與其範圍簡要說明、(3)是否有任何資料被洩漏、竄改或被不當使用、(4)該事件對於公司之營運影響、(5)公司是否已著手進行補救及處理。   該提案的第二個核心內容係定期報告公司的網路安全風險管理及治理資訊,例如公司是否具有網路安全風險評估計畫,其內容為何、公司是否有政策及程序監督第三方服務提供商之網路安全風險、當公司發生網路安全事件時,是否具備應變程序及網路攻擊復原計畫、網路安全相關風險對於營運結果及財務狀況將可能產生何種影響等等。   該提案的公眾諮詢期間為提案發布後60天,鑒於網路安全風險增加,美國證券交易委員會期望藉由此提案,更明確的告知投資者上市公司的網路安全風險管理及治理相關資訊、並且可以即時通知投資者重大網路安全事件,給予上市公司投資者及其他資本市場參與者更周延之保障。

日本對於中小企業之智財協助措施—以知的財產推進計畫2018之具體實施內容為例

日本對於中小企業之智財協助措施—以知的財產推進計畫2018之具體實施內容為例 資策會科技法律研究所 陳昱宏 法律研究員 107年11月12日 一、前言   日本知的財產戰略本部在2013年6月決定「知的財產政策願景」,作為日本推動智財計畫之政策主軸。5年來,隨著時間推移,社會環境及科技亦快速變化,日本知的財產戰略本部即於2018年6月12日推出新版「知的財產政策願景」。不論新舊版「知的財產政策願景」,均以強化中小企業智財戰略作為計畫推動目標之一,此係因日本內閣認為中小企業肩負起地方經濟之重責大任,為能使其活用智財能量,從2016年起即推出各種協助措施,如「活化地方智慧財產行動計畫」、「智財綜合協助窗口」等等。本文即欲以「2018知的財產推進計畫」中第5、8項之內容,介紹日本對於中小企業智財協助措施,提供我國未來在協助中小企業智財發展政策措施上不同思維。 二、中小企業等專利費用減免制度   2018日本知的財產推進計畫第5項為「為促進中小企業活用智財,除加強對於中小企業宣傳專利法修正後中小企業專利費用減半,及申請流程」。   日本特許廳官網即於2018年7月公布了「專利費等減免制度」之相關措施[1],該制度係以個人、法人、研發型中小企業及大學為對象,在滿足一定要件之前提下,就專利申請費用及專利費(第1至10年)及與申請國際專利有關之調查手續費用,可申請減免。特許廳除附上相關規定之連結外,亦整理減免對象一覽表如下: 減免對象 法源依據 措施內容 中小新創企業 及小規模企業 產業競爭力強化法第66條 〈專利[2]〉 專利申請費用:減免1/3 專利費(第1至10年):減免1/3 調查手續費、送件手續費:減免1/3 預備調查手續費:減免1/3 研發型中小企業 產業競爭力強化法第18條 中小製造業高度化法第9條 〈專利[3]〉 專利申請費用:減免1/2 專利費(第1至10年):減免1/2 研發型中小企業 (亞洲據點化推動法) 亞洲據點化推動法第10條 〈專利[4]〉 專利申請費用:減免1/2 專利費(第1至10年):減免1/2 經認定能帶動地方 經濟發展中小企業 促進地方發展強化法第21條 〈專利[5]〉 專利申請費用:減免1/2 專利費(第1至10年):減免1/2 經認定之重點 推動計畫中小企業 福島再興條例第84條 〈專利[6]〉 專利申請費用:減免1/2 專利費(第1至10年):減免1/2   針對相關措施特許廳製作手冊及問題集[7]供中小企業參考。然而減免措施琳瑯滿目,且減免條件多有不同,中小企業未必能確知自己是否符合減免條件,故特許廳設計了簡易選單協助個人及中小企業[8]及研發型中小企業自行檢視[9]。 三、智慧財產商業性評價書   知的財產推進計畫2018第8項說明「為了使金融機構在對企業進行商業性評估時,能充分考量企業所擁有之智財能量,所以在『智慧財產商業性評價書』,應考量金融機關之意見,強化對於中小企業製作評價書之支援」。   日本金融廳在2016年之年度金融行政方針中提及,為使金融機構充分發揮融資之機能,確保金融制度完善。所以希望建立一套不過度依賴擔保品或保證人之制度,透過往來企業之業務及發展性,為適當之評價(商業性評價),以此為融資或佐證之制度。如此除了提供金融機關一個持續可能之新型態業務選擇外,亦可活化地方經濟。企業所擁有之智慧財產權所具有之隱性價值,常為經營者所忽略,為能將此等資產加以活用,智財商業性評價書相關業務交由智慧財產主管機關特許廳主責辦理,並設有智財金融入口網站[10],供金融機構查詢,評價書製作流程如下: 金融機構就往來之中小企業客戶,向特許廳委託機構申請評價。 特許廳委託機構(三菱UFJ研究及管理顧問股份有限公司)將評價書作成費用交付與有合作之調查公司(多家)及下達相關指示。 合作之調查公司向中小企業為調查,並聽取相關意見。 合作之調查公司將做成之調查評價書交予特許廳委託機構。 特許廳委託機構將調查評價書交予金融機構。 金融機構將調查評價書加以活用於融資 資料來源:圖1 圖解智財評價書   以下有幾個注意事項[11]:     重點一:只有金融機關(包括地方創投基金)可以申請。     重點二:金融機關申請前應向往來企業說明。     重點三:以持有商標、專利(發明、新型、設計)等智慧財產權之企業為評價對象     重點四:金融機關可於申請時,選擇調查公司     重點五:評價書在提供予金融機關一段時間後,相關事務局可向金融機關為事後追蹤。   該入口網站亦說明,此制度之優點在於手續簡單(無須檢附任何資料),無須費用費用完全由特許廳負擔。 四、我國展望   我國中小企業相對於大型企業而言,在智慧財產權之意識或保護上均屬相對弱勢,政府除持續宣導智慧財產制度之重要性及優點之外,亦應考慮是否能有相關之協助措施,幫助其充分活用智財能量。本文所介紹日本2018知的財產推進計畫中兩項政策措施,前者透過專利費用之減免,使中小企業在不過度負擔之情形下,能善用專利制度,保障自己智慧財產之結晶,後者透過評價書之製作,使中小企業能獲得銀行在資金上之挹注。   我國對於中小企業雖已有專利費用減免措施,惟限於專利年費,且僅有6年[12]優惠期間;另,我國雖已形成無形資產評價產業,但金融機構對於智財融資,仍處於觀望階段,中小企業未必能透過無形資產評價取得資金需求,故若能適當取法日本對於中小企業在智慧財產取得面及融資面之協助,應能使我國中小企業對於智慧財產加以活用,提升我國整體競爭力。 [1] 〈特許料等の減免制度〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/genmensochi.htm(最後瀏覽日:2018/10/25)。 [2] 〈中小ベンチャー企業、小規模企業を対象とした審査請求料・特許料・国際出願に係る手数料の軽減措置について〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/chusho_keigen.htm(最後瀏覽日:2018/10/25)。 [3] 〈研究開発型中小企業に対する審査請求料及び特許料(第1年分から第10年分)の軽減措置について〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/chusho24_4.htm(最後瀏覽日:2018/10/25)。 [4] 〈研究開発型中小企業(アジア拠点化推進法)に対する審査請求料及び特許料(第1年分から第10年分)の軽減措置について〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/chushoasia24_11.htm(最後瀏覽日:2018/10/25)。 [5] 〈地域経済牽引事業の促進による地域の成長発展の基盤強化に関する法律に基づく審査請求料及び特許料(第1年分から第10年分)の軽減措置について〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/chiiki_kenin_shinsaryo_tokkyoryo.htm(最後瀏覽日:2018/10/25)。 [6] 〈福島復興再生特別措置法第84条に基づく審査請求料及び特許料(第1年分から第10年分)の軽減措置について〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/fukushima_genmen.htm(最後瀏覽日:2018/10/25)。 [7] 〈リーフレット「特許関係料金減免制度のご案内 概要版(対象:個人・中小企業等)〉,特許廳網站https://www.jpo.go.jp/shiryou/s_sonota/pdf/panhu/exemption_info.pdf(最後瀏覽日:2018/10/25)。 [8] 〈個人・中小企業向け特許料等減免制度の簡易判定ページ〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/hantei_kani.htm (最後瀏覽日:2018/10/25)。 [9] 〈簡易判定ページ〉,特許廳網站https://www.jpo.go.jp/tetuzuki/ryoukin/hantei_kani/kenkyu_00.htm (最後瀏覽日:2018/10/25)。 [10] 〈智財金融ポーダルサイト〉,智財金融入口網站http://chizai-kinyu.go.jp/ [11] 〈平成30年度中小企業等知財金融促進事業の意義・事業紹介〉,平成30年度中小企業等知財金融促進事業知財金融基礎研修会・公募説明会第二部,頁12(最後瀏覽日:2018/09/05)。 [12] 〈專利Q&A〉,經濟部智慧財產局網站https://www.tipo.gov.tw/ct.asp?xItem=504276&ctNode=7633&mp=1

日本政府對於「小型無人機進階安全確保制度」進行研議,並研提「航空法」修正建議

  日本政府於2016年1月5日成立「小型無人機進階安全確保制度設計相關小組委員會」(小型無人機の更なる安全確保のための制度設計に関する分科会),聚焦無人機飛安方面之實務議題。會議由内閣官房内閣参事官擔任議長,並由國土交通省航空局協助辦理,民間參與者則多為相關產業公協會,目前規劃每兩個月開1-2次會議,其運行方式包括:原則上為非公開會議,其會議資料將於會後公開,但若議長認有必要,則得決定一部或全部不公開;此外,對於委員會成員以外的民間企業及專家學者之意見,亦應聽取。   為更進一步確保小型無人機於飛行時之安全性,本次會議對「航空法」提出如下修正建議: (1)除「航空法」第一百三十二條之二所規範之飛行方式及禁飛區域外,尚有其他相關飛安重要事項亦應注意,例如:機體本身之缺陷、操控者失誤、不可預期的天候變化、機體重量等(一定重量以上之無人機,對於機體性能及操控者技術應有更高要求,未來可思考訂定罰則或提供擔保)。 (2)對於機場周邊應有比現行法更嚴格之規範,除因此處操控無人機容易誤入禁區外,該範圍以內通常是飛安事故搜救區,恐妨害搜救之進行。 (3)關於禁區內飛行許可之審查,應包含:機體機能與性能、操控者知識、技術與經歷。 (4)對於商業、營業用無人機,應有更高的安全性要求。但何謂商業、營業用之定義及更高安全性究何所指須有更明確的標準!

以色列發布人工智慧監管與道德政策

以色列創新、科學及技術部(Ministry of Innovation, Science and Technology)於2023年12月17日公布以色列首個關於人工智慧的監管和道德政策,在各行各業將人工智慧作為未來發展方向的趨勢下,以多元、協作、原則、創新的理念為其導向,為了化解偏見、人類監督、可解釋性、透明度、安全、問責和隱私所帶來的衝擊,以色列整合政府部門、民間組織、學術界及私部門互相合作制定政策,以求解決人工智慧的七個挑戰,帶領以色列與國際接軌。 該人工智慧政策提出具體政策方向以制定措施,其中具有特色的三項為: 1. 軟性監管:人工智慧政策採取軟性監管制度,以OECD人工智慧原則(OECD AI Principles)為基礎,採行制定標準、監督與自律等方式促進人工智慧永續發展,注重以人為本的道德原則,強調創新、平等、可靠性、問責性。 2. 人工智慧政策協調中心(AI Policy Coordination Center):邀集專家學者成立跨部門的人工智慧政策協調中心,進行人工智慧政策研議,向政府部門監管提出建言,為人工智慧的開發使用建立風險管理,並代表國家參與國際論壇。 3. 公眾參與及國際合作:政府機關與監管機構舉辦人工智慧論壇,提出人工智慧的議題與挑戰,邀請相關人士參與討論,並積極參與國際標準制定,進行國際合作。 我國科技部在2019年邀集各領域專家學者研議提出「人工智慧科研發展指引」,強調以人為本、永續發展、多元包容為核心,以八大指引為標竿,推動人工智慧發展。我國已有跨部會溝通會議對於人工智慧法制政策進行研討,可觀察各國軟性監管措施作為我國人工智慧風險管理及產業政策參考,與國際脈動建立連結。

TOP