英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例

  英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。

  本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下:

一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。
二、無適當安全維護措施
三、涉及敏感性個資,違法情狀嚴重
四、未積極配合調查
五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。

  此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。

相關連結
相關附件
你可能會想參加
※ 英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8409&no=16&tp=1 (最後瀏覽日:2026/07/08)
引註此篇文章
你可能還會想看
歐盟研究揭示研發策略新方向 將以氣候變遷、能源、健康與中小企業為主軸

  歐盟執委會於6月公布新的一般策略架構(Common Strategic Framework,CSF),在歐盟第七期研究架構計畫(FP7)於2013年告一段落後,CSF鎖定的研發策略方向仍會繼續,然此同時也引發一些不同的意見。為此執委會於6月間邀集產官學研進行討論,並於6月底揭示了新的計畫—Horizon 2020—。   歐盟執委會早於2011年初即發佈歐盟競爭力白皮書,揭櫫了未來新一期研究架構計畫之政策方向,其對於現有政策結構與資助機制有不小的衝擊。   新的CSF以氣候變遷、能源、健康與中小企業為研發資助之主軸,而為瞭解並蒐集各界包括大學、國有研究機構、各國政府以及企業界的意見,執委會於今年2月間發布了意見徵詢綠皮書以預先蒐集各界意見。根據執委會的規劃,新的CSF除要求教育體系應跟隨業界研發人才需求的腳步外,更鼓勵中小企業未來投入創新活動,因為執委會發現,歐洲的企業研發投資經費總額,僅有日本和南韓的一半。   歐盟執委會表示,氣候變遷、能源、健康與中小企業為未來研究資源資助與投入的方向,以呼應歐洲民眾的期待。此外,針對目前計畫所存在的行政效率不彰、缺乏透明性及計畫遲延等問題,也將列入未來改善重點,為此,歐洲議會已於6月進行FP7期中檢討時通過解決方案,日後將靠各國分別於歐盟及國家層級的計畫執行與管理中落實。   Horizon 2020計畫將於2014至2020年間斥資800億歐元於研發與工作機會的創造,以提升歐盟競爭力,後2013時期(post-2013)歐盟則將致力於化解計畫執行的分歧,確實協調各國投入新計畫的步調一致性。

澎湖發展風力發電 催生大規模離岸風場

  「能源」將是本世紀最受注目的議題之一 。為了有效規劃能源配置,台電擬定風力發電十年計畫,規畫在十年內建造30萬瓩的風力發電容量,其中在風車的故鄉—澎湖,計畫催生231部風力發電風車,並將興建台澎海底電纜傳輸電力。未來,澎湖將成為台灣首座大規模的「離岸風場」。   目前我國政府正大力發展再生能源,其中台電計畫在西部沿海大量興建風力發電廠,另外,在離島的澎湖也將大量興建風力電廠。風是澎湖獨特的天然資產,目前台電在澎湖白沙鄉中屯已經建有8部風車,未來將繼續在澎湖設置231部風車。   在荒漠或海上興建風電場,是世界新趨勢,英國 2003年第一個離岸風場開始營運,下一世代新的離岸風電場總容量更將高達120萬瓩,德國兩個離岸風場容量高達30萬瓩,風場發出來的電將傳輸到歐洲中央電網。這些離岸風場不光是建在小島上,還包括以鋼或木頭架在淺海中的風車。

美國音樂授權平台營運觀察─以BMI為例

美國音樂授權平台營運觀察─以BMI為例 資策會科技法律研究所 法律研究員 丘瀚文 104年10月22日 壹、前言   我國著作權法採「創作保護主義」[1],於著作完成之時,立即取得著作權保護,惟亦因如此,實務上難以證明何人為著作權人,常使利用人鋌而走險非法使用著作,使我國著作權流通、發展受到限制。如何讓著作人可以安心授權著作、利用人得以透過合法授權管道,簡單的取得授權,國外已有透過建立著作權授權平台來解決問題的先行實例。本文為研析我國著作權授權平台可行之營運方式、授權契約、費用計算方式,故觀察分析美國第二大音樂授權平台Broadcast Music Inc.(以下簡稱BMI),之特色,希望對我國著作權授權平台建立,有所助益。 貳、BMI音樂授權平台介紹 一、BMI音樂授權平台介紹   American Society of Composers Authors and Publishers(以下簡稱ASCAP)是美國最大的音樂授權平台,自1914年成立以來,凡是以公開播放方式利用音樂著作皆須向ASCAP支付授權費用,長久壟斷音樂授權市場[2]。在1940年ASCAP大幅提高授權費用後,以美國廣播協會為首廣播業者,為了因應ASCAP之調整價格,便聯合了500多家廣播公司自行組織了BMI進行抵抗,並蒐集大量非ASCAP管理之音樂供廣播業者利用,但由於後續運作獲得許多利潤,因而繼續經營。   美國司法部於1941年對ASCAP提出反托拉斯訴訟,結果達成和解,之後又於2001年司法部再度與ASCAP達成協議,完成了第二最終修正裁判(Second Amended Final Judgement),該協議讓司法部得藉司法監督,去控制ASCAP授權音樂費率於一定額度內,使BMI跟ASCAP能維持競爭關係。上開原因使BMI能慢慢發展成美國第二大音樂授權團體。 二、BMI授權方式觀察   BMI授權方式分為兩種,一為非即時性授權契約,其提供著作利用人定型化授權契約,但需經由傳真、客服確認時間,故不具有授權即時性;此一類型又區分為概括授權和單一節目授權兩種形式;二為即時性線上授權契約,利用BMI自行創設之數位授權中心,經線上填入資料、金融轉帳後,即可立即獲得授權,惟目前依網頁介紹觀察,授權對象僅限網站[3]。下列即分述兩種授權方式。 (一)非即時性授權契約   BMI非即時性授權契約分為媒體授權合約(Media Licensing)和一般授權契約(General Licensing)等兩大類型,媒體授權合約主要以公開播放業者為授權交易對象,並區分概括授權與個別節目授權;概括授權即繳納年費後不限次數使用,而個別節目授權則限定特定節目使用,如需在其他節目使用則需另外繳納授權費。   一般授權契約對象則多是廣播以外其他行業,如遊樂園、舞廳、餐廳、政府機關、健身俱樂部、手機…等,其使用授權費率皆不同,利用人填入行業內容後,該授權系統會線上提供與該行業相關授權契約內容供利用人參考,利用人填寫後可上傳至BMI管理中心即可完成授權作業[4]。不過亦非所有行業BMI均提供授權契約範本,仍有部分如餐館等,尚需使用人自行連絡BMI代理人方得進行授權。   以零售商(Retail Establishments)為例,本文登入BMI授權系統,並點選「Apply for License」按鈕,即出現下載授權契約選項,其內容包含[5]:有人對使用方提出訴訟,其訴訟標的關於BMI所提供授權服務,BMI將會負責損害賠償部分。使用人若想結束或轉讓生意,應於30日email至licensing @bmi.com,BMI會將授權金額重新計算,並寄送於使用人。   費用計算上BMI對每個行業皆有不同「計算基準」,據此計算出授權費用。例如零售商是以「場地大小」為計算基準;2000平方英呎以下零售商撥放一般音樂,授權費用為一年為227.6美元,播放具有視覺性音樂(MV),授權費用為一年307美元。計算基準是隨行業不同而有所變化,例如健身房則與零售商相異,其一年最少費用為311美元,費率亦非以「場地大小」單價計算,而是用「會員數量」作計算基準,並區分音樂是否使用於健身課程,而有不同費率;用於健身課程則一個會員0.279美元,非用於健身課程則一個會員0.195美元[6]。   最後,申請人應將此一表格掃描後做成電子檔,並藉由BMI網頁的上傳功能,上傳至BMI管理中心,中心審核後並確認匯款無誤,即會通知申請人開放授權[7]。 (二)即時性線上授權   BMI即時性線上授權是透過「數位授權中心」(Digital Licensing Center)進行,和非即時性一般授權契約不同,著作利用人只須登入該系統,線上填妥相關利用資訊,並以信用卡、線上轉帳等方式給付授權費用,即得線上完成與BMI締結授權契約程序。BMI將此一授權方式簡化為線上處理,避免授權契約雙方往返溝通繁雜手續,並具有即時性,是更為便利的交易模式。 x數位授權中心有兩種計價方式,總收入計算法與網頁流量計算法。總收入計算法是將網站一定比例收入計算為音樂授權金額。網頁流量計算法則是依據網頁上的流量為基準計算音樂授權金額[8]。而BMI將網站使用區分為三類:1.音樂網站2企業網站3.非營利網站,三者會讓使用者選擇計價方式不同。   舉例來說,企業網站、非營利網站關於音樂使用,其音樂使用與網站業務目的無關,音樂使用僅為提升形象,故不宜使用總收入計算法,應採網頁流量計算方式會較為節省[9]。簡言之,音樂使用與網站業務目的相關,則多使用總收入計算法,使用音樂與網站業務目的無關,則多使用網頁流量計算法。而網站可對財政報告進行分析,並選擇最經濟的方案,並可在一年中進行四次的變更,以符合網站商業運作模式。 參、結論   藉由觀察國外著作權平台授權方式並參考營運模式,對於我國類似平台建置營運提出三點或許可以借鏡之建議: 一、依行業區分不同授權標準   BMI之授權契約多樣化,並以行業做為區分標準,滿足不同需求,此區分各種行業不同收費方式,值得借鏡。例如廣播業者與零售商播放音樂軟體,使用權利雖可能皆為公開播送權,但播放時間、地點、影響程度可能皆不相同,如一律依使用權利態樣定收費標準,似有失公平,應可參考BMI以行業區分授權契約種類模式。 二、即時性線上授權   BMI將授權契約區分為即時性授權契約與非即時性授權契約,而即時授權對於使用人而言,較為方便,我國則可考慮以即時線上授權為基礎,並將對象擴張至一般行業皆能運用。 三、費用計算方式   BMI即時線上授權收費方式區分為總收入計算法與網頁流量計算,在授權對象為網站時,給予多重選擇,例如使用者為一般網站時,網頁流量計算法是對其比較有利的。這種費用的計算方法,讓使用人可依據網站業務不同,選擇利益最大化之優點,增加了使用人使用平台誘因,故此方式值得借鏡。   綜上,BMI之授權方式與契約內容、經營方式有獨到之處,可成為我國著作權平台建立之參考範本,使著作得以順利流通,促進我國產業發展。惟各式授權契約擬定,除有賴大量契約範本蒐集方得完善,授權費用如何設定仍是未來類似平台建置營運必須透過交易經驗與資料統計分析始能克服之難題。 [1] 著作權法第10條:著作人於著作完成時享有著作權。 [2] Music Licensing History,National Religious Broadcasters Music License Committee,http://www.nrbmlc.com/music-licensing/music-licensing-history(last visited Sep. 8, 2015). [3] BMI,https://apps.bmi.com/licensing/nmwebsite.jsf(last visited Aug. 12, 2015). [4] Musuc Users,BMI,http://www.bmi.com/licensing(last visited Aug. 12, 2015). [5] Music License For Retail Establishments,BMI,http://www.bmi.com/forms/licensing/gl/rtl.pdf (last visited Sep. 12, 2015). [6] Music License For Fitness,Clubs,BMI, http://www.bmi.com/forms/licensing/gl/fit1.pdf,(last visited Sep. 8, 2015). [7] BMI,http://www.bmi.com/digital_licensing(last visited Sep. 8, 2015). [8] 例如來站人次、瀏覽人數。 [9] BMI,http://www.bmi.com/digital_licensing(last visited Aug. 11, 2015).

德國卡爾斯魯爾行政法院(VG Karlsruhe)公布第一個有關DSGVO的判決

  卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則(Datenschutzgrundverordnung,DSGVO)的判決。在本案中,原告是一間負責處個人信用資料的民間公司,其依據現行BDSG(Bundesdatenschutzgesetz,聯邦個人資料保護法)的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下,向原告發出一份行政處分(Verfügung),要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為,其只需要在2018年5月24號之後,就相關作業流程符合DSGVO的規範即可。   本案的關鍵在於,主管機關是否已經可以用DSGVO的規定來規範民間企業?因為依據DSGVO第99條的規定,DSGVO現雖已生效,但必須到2018年5月25日才開始適用。   根據BDSG第38條第5項規定,監督機構可以採取必要措施,確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定;且本案中,原告在2018年5月24號後可能會出現的違法情形也已顯而易見,但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效,但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下,預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守,在DSGVO未開始適用的情況下,目前行政機關仍只能依據BDSG及DSAnpUG(Datenschutzanpassungs- und Umsetzungsgesetz,個人資料保護調整和施行法)的規定,來處理相關的行政措施。

TOP