EDPS發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」
歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」(EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data),旨在協助決策者更易於進行隱私友善(privacy-friendly)之決策,評估其所擬議之措施是否符合「歐盟基本權利憲章」(Charter of Fundamental Rights of the European Union)關於隱私權和個人資料之保護。
該指引分為三大部分,首先說明指引的目的與如何使用;第二部分為法律說明,依據歐盟基本權利憲章第8條所保護個人資料的基本權利,並非絕對之權利,得於符合憲章第52條(1)之規定下加以限制,因此涉及處理個人資料的任何擬議措施,應進行比例檢驗;指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗:
- 必要性檢驗(necessity test)
(1) 步驟1:初步對於擬議措施與目的為詳細的事實描述(detailed factual description)。
(2) 步驟2:確定擬議措施是否限制隱私保護或其他權利。
(3) 步驟3:定義擬議措施之目的(objective of the measure),評估其必要性。
(4) 步驟4:特定領域的必要性測試,尤其是該措施應有效(effective)且侵害最小(the least intrusive)。
若前述評估認為符合必要性,則接續比例性檢驗,透過以下4步驟評估:
- 比例性檢驗(proportionality test)
(1) 步驟1:評估目的正當性(legitimacy),擬議措施是否滿足並達到該目的。
(2) 步驟2:擬議措施對隱私和資料保護基本權的範圍、程度與強度(scope, extent and intensity)之影響評估。
(3) 步驟3:繼續進行擬議措施之公平對等評估(fair balance evaluation)。
(4) 步驟4:分析有關擬議措施比例之結果。
科技時代的決策者在立法和政策擬定時,面臨的問題愈趨複雜,需要全面性評估,擬議措施限制應符合歐盟法規,且具必要性並合於比例,隱私保護更是關鍵,參酌該指引搭配EDPS於2017年發布之「必要性工具包」(Necessity Toolkit),將使決策者所做出的決策充分保護基本權利。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
孫鈺婷
專案經理 編譯整理
1. EDPS publishes new Proportionality Guidelines aimed at making privacy-friendly policymaking easier, EDPS, https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-publishes-new-proportionality-guidelines_en (last visited Dec. 24, 2019).
2. Assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, EDPS, https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en (last visited Dec. 24, 2019).
3. EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, EDPS, https://edps.europa.eu/sites/edp/files/publication/19-12-19_edps_proportionality_guidelines_en.pdf (last visited Dec. 24, 2019).
4. Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit, EDPS, https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en.pdf (last visited Dec. 24, 2019)
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。 故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。 該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
ICANN將增加網域名稱的選擇性掌管網域名稱規則的組織—ICANN,於2008年6月底透過總裁Paul Twomey表示,其將計畫提出新的通用型網域名稱(Top-level domains, “TLD”),以為增加網域名稱的選擇性做準備,並且讓想透過網域名稱表現自我的使用者,有更多選擇模式。目前為止,網域名稱使用者可選擇的通用型網域名稱限於21種,例如.com、.org、.info等。 根據ICANN新的規劃,申請新的通用型網域名稱者,可以自己選擇其網域名稱,並且進行登記。所有的新申請者不但可以專屬使用其所選擇的網域名稱,也可以將該網域名稱透過登記移轉來進行買賣。 從ICANN的聲明來看,其預估申請者將會以群組做為主要的選擇,例如現有旅遊業者的.travel,另外以城市作為通用型網域名稱的需求也相當高,例如.nyc、.paris。 ICANN目前計畫限定一個期間來接受全世界的團體來申請通用型網域名稱,預估第一輪的申請期限截止後,ICANN將會透過預計9個月的評選程序,來處理所有的通用型網域名稱申請。目前ICANN的新計畫預計於2009年第二季開始接受申請。
美國政府於2015年10月公告美國創新戰略最新版本美國創新戰略(A Strategy for American Innovation)於2009年9月首次提出,後於2011年2月配合時事及產業發展增補內容。隨著政策的逐步推行,美國國家經濟委員會及白宮科技政策辦公室於2015年10月公布最新版本之美國創新戰略,在原有的框架增補更多內容成為六大重要施政要項,在策略佈局上又大致可分為創新資源整合的三大創新基礎以及三大策略發展方向,前者包括:(1)投資創新基石;(2)刺激私部門進行創新活動;(3)營造一個創新者國度。後者的三大策略發展方向則包括國家產業重要優先發展領域的技術突破,其影響意味著確定重點投資領域能夠取得變革性結果,以滿足國家和世界所即將面臨的社會議題挑戰。其中諸如精準醫療(precise medicine)、加速發展新型神經技術、推動衛生保健的突破性創新、採用先進車輛減少死亡事故、建設智慧城市、推動再生能源技術提高能源效率、開發先進教育技術、發展太空科技等。 其次,係藉由投資未來產業,建設包容性創新經濟,加強美國先進制造的領先地位,創造工作機會和經濟的持續成長。最後,借助於人才、創新思維及技術工具的適當組合,建設創新型政府,為民眾提供更好的行政服務。
英國資訊委員辦公室(ICO)針對COVID-19接觸史追蹤應用程式框架,發布意見報告英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2020年4月17日,依據英國資料保護法(Data Protection Act 2018)第115條第3項第b款之授權,針對2020年4月10日Apple和Google因應COVID-19疫情發表之「接觸史追蹤應用程式框架」(Contacting Tracing Framework, CTF),發布意見報告。報告認為,由於CTF具備以下三大特性:(1)不會在裝置間交換個人資料,如帳戶資訊或使用者名稱;(2)配對過程僅在裝置本身進行,並不會有如應用程式伺服器之第三方介入;(3)不需要地理位置資訊就能順利運作,因此符合英國資料保護法第57條有關「透過設計並作為預設以保護個人資料」(Data protection by design and default)之規定。 縱然CTF符合英國資料保護法之規定,英國資訊委員辦公室仍於報告中指出:「未來軟體開發商若於接觸史追蹤應用程式中使用CTF技術,該應用程式於處理使用者之個人資料時,仍應隨時符合英國資料保護法關於透過設計並作為預設以保護個人資料之規定。」COVID-19疫情席捲全球,如何於「掌握感染者接觸史以預防疫情擴散」與「保障個人資料及隱私」間取得平衡,實為各國政府需考量之重要議題。我國人工智慧實驗室於2020年4月開發之「社交距離App」,便是使用類似Apple和Google之CTF技術。此份英國資訊委員辦公室意見報告,等於針對社交距離App是否侵害隱私權益,提供相當解答與指引。