EDPS發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」
歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」(EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data),旨在協助決策者更易於進行隱私友善(privacy-friendly)之決策,評估其所擬議之措施是否符合「歐盟基本權利憲章」(Charter of Fundamental Rights of the European Union)關於隱私權和個人資料之保護。
該指引分為三大部分,首先說明指引的目的與如何使用;第二部分為法律說明,依據歐盟基本權利憲章第8條所保護個人資料的基本權利,並非絕對之權利,得於符合憲章第52條(1)之規定下加以限制,因此涉及處理個人資料的任何擬議措施,應進行比例檢驗;指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗:
- 必要性檢驗(necessity test)
(1) 步驟1:初步對於擬議措施與目的為詳細的事實描述(detailed factual description)。
(2) 步驟2:確定擬議措施是否限制隱私保護或其他權利。
(3) 步驟3:定義擬議措施之目的(objective of the measure),評估其必要性。
(4) 步驟4:特定領域的必要性測試,尤其是該措施應有效(effective)且侵害最小(the least intrusive)。
若前述評估認為符合必要性,則接續比例性檢驗,透過以下4步驟評估:
- 比例性檢驗(proportionality test)
(1) 步驟1:評估目的正當性(legitimacy),擬議措施是否滿足並達到該目的。
(2) 步驟2:擬議措施對隱私和資料保護基本權的範圍、程度與強度(scope, extent and intensity)之影響評估。
(3) 步驟3:繼續進行擬議措施之公平對等評估(fair balance evaluation)。
(4) 步驟4:分析有關擬議措施比例之結果。
科技時代的決策者在立法和政策擬定時,面臨的問題愈趨複雜,需要全面性評估,擬議措施限制應符合歐盟法規,且具必要性並合於比例,隱私保護更是關鍵,參酌該指引搭配EDPS於2017年發布之「必要性工具包」(Necessity Toolkit),將使決策者所做出的決策充分保護基本權利。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
孫鈺婷
專案經理 編譯整理
1. EDPS publishes new Proportionality Guidelines aimed at making privacy-friendly policymaking easier, EDPS, https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-publishes-new-proportionality-guidelines_en (last visited Dec. 24, 2019).
2. Assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, EDPS, https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en (last visited Dec. 24, 2019).
3. EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, EDPS, https://edps.europa.eu/sites/edp/files/publication/19-12-19_edps_proportionality_guidelines_en.pdf (last visited Dec. 24, 2019).
4. Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit, EDPS, https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en.pdf (last visited Dec. 24, 2019)
英國資訊委員辦公室(Information Commissioner’s Office,簡稱 ICO)在2013年聖誕節前夕,呼籲消費者在聖誕節或其他重要節日使用行動裝置下載app應用程式時,需特別注意個人資料之保護,以防止遭受惡意攻擊而導致個人資料外洩。因為根據相關資料顯示,光是2012年聖誕節當天,即有32億8000萬個app應用程式被消費者下載使用。從ICO公布的ㄧ項調查結果中發現,有62%的app使用者,關心app供應商會透過何種方式使用他們的個人資料;此外,有49%的app使用者,會因為隱私權問題而拒絕下載使用app應用程式。 為提升消費者個人資料保護意識,降低個資外洩事件發生,並促進app產業於當地之發展,ICO提供下列5項使用要點:1.只下載官方或備受信賴app商店所提供之app應用程式,盡量避免使用來源不明之app應用程式;2.下載app應用程式前,應詳細閱讀該app所公告之相關資訊,並確認願意提供相關資料作為後續可能之使用;3.養成定期移除不需要之app應用程式的好習慣,降低資料外洩可能;4建議安裝手機防毒軟體或相關程式,協助並確保手機之安全性;5.於手機轉售、丟棄或回收之前,將手機恢復成「原廠設定」之狀態,以確保手機不會留下任何個人相關之資訊。ICO期以透過使用要點之提供,協助消費者於享受app應用程式之樂趣時,仍能確保個人資料行蹤之掌握,以達個人資料之保護。
點對點分享軟體導致資料外洩位於美國紐約州的一家知名藥廠2007年9月初宣佈其已確認大約有34000名員工的個人資料從某位員工的電腦外洩並遭人非法下載。 整起事件係導因於一位藥廠的員工自行於公司配發的筆記型電腦上安裝未經授權的檔案分享軟體,導致大約有34000名員工的個人資料在網路上被人下載流傳。至於因這起事件遭到外洩的個人機密資料包括員工姓名、社會福利號碼、出生日期、電話號碼和銀行信用狀況等等。 美國司法部門目前已針對這起資料外洩事件展開調查,並要求這家藥廠針對他們用來防止資料外洩的處理方式以及事件發生時的所有相關應變措施提出報告。根據調查,事實上早在今年7月10日這家藥廠即已發現這起大量個人資料外洩事件,卻遲至8月24日才以電子郵件通知資料外洩的被害人,反應時間長達六個星期之久,導致損害持續擴大。 由這起藥廠員工個人資料外洩事件正可顯示點對點(P2P)網路分享軟體確實潛藏著嚴重的資訊安全風險。透過此類軟體,網路駭客得以完整地掃描他人電腦硬碟中的檔案,讓不知情使用者的機密資料隨時處於高度的風險當中。 點對點檔案分享軟體(P2P),當初開發的目的在於集合眾人電腦之力,增加網路的連結數量,進而快速傳輸檔案。但以此作為入侵他人電腦的工具,甚至未經允許盜取他人的電腦中檔案資料等之新電腦犯罪型態,值得相關主管機關注意。
日本修訂《數位行政推動法》,完善行政機關雲端服務之使用環境日本自2002年制定《活用資訊通信技術推動行政相關法律》(情報通信技術を活用した行政の推進等に関する法律,現簡稱《數位行政推動法》)以來,已歷經多次修正,旨在因應國家面臨數位轉型時代,持續調整法規以促使資訊通信技術有效應用於行政領域,並提升國家行政效率、改善國民使用政府服務之便利性為目的。日本數位廳(デジタル庁)於2024年12月9日向日本國會提出修正案,經通過後已於2025年3月8日開始施行。關於《數位行政推動法》本次修正重點簡要如下: 1. 增訂第18條第1項、第2項,要求中央(国家)與地方政府(地方公共団体)共用雲端服務環境之規章制度: 透過立法要求中央(国家)應採取相關必要措施,使地方政府(地方公共団体)能共用雲端服務,並促進公共資訊系統的有效利用,以及完善資訊系統之開發與維運,據以強化資訊共享基礎。 2. 增訂第18條第3項、第4項,使行政機關利用雲端服務之責任明確化: 明訂各行政機關,應提供行政事務專用的雲端服務,並開發符合服務需求之公共資訊系統,據以有效提升政府公共服務品質。 3. 增訂第19條第1項至第3項,要求中央(国家)與地方政府(地方公共団体)建立共同使用雲端服務之相關費用規章: 有關雲端服務提供者(Cloud Service Provider,簡稱CSP),包含AWS、Google Cloud、Microsoft Azure等,與行政機關簽訂相關之雲端服務合約,若地方或民間因使用同一雲端服務而須另支付CSP雲端使用費時,為強化公部門雲端服務基礎環境治理,依本條規定授權先由日本各府省廳、地方政府、行政法人等先向數位廳支付雲端服務使用費,再由數位廳統籌後向CSP支付款項,同時由數位廳訂下規格要求,以利公部門採購作業,促使行政機關與CSP之間的合約、雲端服務品質等得到一元化管理。 日本為了促進國家之行政事務能更有效率地推展,透過立法要求中央與地方間之行政機關應完善雲端服務基礎環境供行政事務專用,與建立相應之費用規章,以強化機關間資訊共享。不僅如此,依據本次修正之第18條「應採取必要措施」,其未來所採用之行政規則與具體實踐方式,如何有效提升行政資訊系統效率,仍可持續關注其發展情況。日本藉由持續完善法規與操作機制,打造中央與地方能夠共享、互通的公務體系雲端服務環境,提升人民使用數位化公共服務品質之作法,值得我國未來參考借鏡。
歐盟創業教育政策推動對我國創業人才培育之啟示