英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例

  英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。

  本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下:

一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。
二、無適當安全維護措施
三、涉及敏感性個資,違法情狀嚴重
四、未積極配合調查
五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。

  此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。

相關連結
相關附件
你可能會想參加
※ 英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8409&no=55&tp=1 (最後瀏覽日:2026/04/15)
引註此篇文章
你可能還會想看
德國聯邦內政部公布《資訊科技安全法草案》

任天堂於哥斯大黎加的「SUPER MARIO」商標爭議中敗訴

哥斯大黎加國家登記處(Costa Rican National Register)於2025年1月21日做出准許當地超市登記「SUPER MARIO」商標的決定,駁回任天堂之異議。 該超市位於哥斯大黎加的聖拉蒙區,屬於區域型超市,因創辦人名為Mario Alfaro,且當地通常將超市簡稱為super一詞,在1970年創立超市時取名為SUPER MARIO,並於2013年註冊商標「SUPER MARIO Su lugar de confianza」(意為超級瑪利歐值得信賴的地方),實際是將SUPER MARIO與 Su lugar de confianza分成上下兩列,且SUPER MARIO之字體大於Su lugar de confianza之字體。該超商於2024年以「SUPER MARIO」申請第35類商標,惟被任天堂(Nintendo)主張「SUPER MARIO」為任天堂所擁有商標而提起異議。 任天堂雖於當地有註冊「SUPER MARIO」商標,惟其註冊類別係電子遊戲、玩具、服飾等第9、18、25、28等產品類別,並未包含第35類之民生消費品零售服務,因此其異議被哥斯大黎加國家登記處所駁回,該「SUPER MARIO」超市得以註冊第35類「SUPER MARIO」商標。 另須留意的是,該超市名稱「SUPER MARIO」,雖與任天堂的「SUPER MARIO」相同,但其標誌實際之配色,係以黃色與藍色搭配,此種顏色差異可避免消費者產生與任天堂「SUPER MARIO」商標之間的聯想。 組織常隨著業務經營變動就品牌商標進行變更或調整,此案之超市於長期經營後欲以其「SUPER MARIO」名稱作為商標註冊而發生之爭議,該爭議差點造成無法註冊新商標,顯見商標權利管理不只限於申請、延展、主張權利等事宜,尚包含品牌命名或標誌全新/優化設計,須留意命名或標誌全新/優化設計方向,是否與他人既有商標近似,無法取得註冊商標的風險;行銷使用品牌商標時,應留意是否依註冊商標樣態使用,避免任意變換使用註冊商標樣式,致與他人商標近似而被控侵權。完整之智財管理機制可參經濟部產業發展署所推廣之台灣智慧財產管理規範(Taiwan Intellectual Property Management System,簡稱TIPS),組織可依其風險情境展開對應之風險應對措施,以降低組織營運可能產生的智財風險,並因應環境變化調整內部規定與做法。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) .Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em}

FDA允許第一個可以直接對消費者進行個人基因遺傳的健康風險服務測試法-GHR

  「美國食品和藥物管理局(FDA)」於2017年4月6日准許「23and me個人基因遺傳健康風險服務測試(簡稱GHR)」進行行銷,FDA要求該測試方法可以一定準確度檢測出十種疾病及可能條件。GHR是第一個被美國食品藥物管理局授權允許直接對消費者進行測試並提供個人遺傳傾向及醫療疾病條件資訊給消費者的測試。   GHR試圖提供遺傳風險資訊給消費者,但這個測試無法確定人們發展成疾病或發病條件的總體風險,因為除了某些遺傳變體的存在,還有很多因素會影響健康條件的發展,包含環境以及生活方式的因素,因此該檢測可能可以幫助人們做選擇生活方式的決定或告知消費者專業的健康照護。   23and me的GHR測試是運作自隔離唾液樣品中的DNA,此檢測被測試超過500000個遺傳變體,其檢測關於發展成以下十種疾病或發病條件增加風險的存在與否,包括帕金森氏症(Parkinson’s disease)、阿茲海默症(Late-onset Alzheimer’s disease)、自體免疫問題(Celiac disease)、α-1抗胰蛋白酶缺乏症、早發性原發性肌張力障礙(early-onset primary dystomia)、因子XI缺乏症(factor XI deficiency)、高血病1型(gaucher disease type1)、葡萄糖6-磷酸脫氫酶缺乏症(glucose 6- phosphate dehydrogenase defiency)、遺傳性血色素沉著症(hereditary hemochromatosis)、遺傳性血栓形成(hereditary thrombophilia)。   此外,FDA更要求所有DTC測試在醫療用途目的上之使用必需要能跟消費者溝通,使消費者可以充分了解該測試法後選用。其中一個研究顯示,23andMe的GHR測試的相關資訊是容易被理解的,有90%的人能夠了解報告中所呈現的資訊。

網路媒體界群起抗議,美國總統歐巴馬表示反對,SOPA法案遭到擱置

  SOPA法案,全名「禁止網路盜版法案(The Stop Online Privacy Act)」,是於2011年10月26日由美國眾議員Lamar Smith所提出,主要支持團體包括美國「娛樂軟體協會(the Entertainment Software Association)」、網路域名公司GoDaddy.com、「美國動畫協會(the Motion Picture Association of America)」以及「美國商會(United States Chamber of Commerce)」等等。另外一個類似的法案為美國參議院於2011年5月提交的「保護知識產權法案」,簡稱PIPA(Preventing Real Online Threats to Economic Creativity and Theft of Intellectual Property Act),該法案原預訂於2012年1月24日交付表決。   2012年1月18日,為了表明對SOPA的反對立場,美國各網站發起了關站的行動,包括Google、Wikipedia等這些大型網站皆參與了抗議行動(抗議行動的參與網站名單可參考下述網址: http://sopastrike.com/)。美國總統歐巴馬也於今年一月公開表明他不會支持SOPA以及類似的法案,主因為該法案箝制了資訊流的自由發展。白宮於官方部落格表示「保護線上智慧財產權的重要任務不可危害網路的開放以及創新發展」、「任何打擊線上盜版的努力必須避免線上審查對合法活動所造成的風險,並避免阻礙了商業的創新發展」、「我們必須避免創造新的網路安全風險或者是瓦解網路的基礎架構」、「期許並鼓勵所有的私人團體,包括網路內容創作人以及網路平台提供人,共同努力,採取自願性的措施以及最佳作法去減少線上盜版」,但是部落格中的聲明也指出,線上盜版已經是危害美國經濟的一個重要問題,它危害了中產階級的工作,並且危害了具有創造力以及創新力的美國公司以及企業。由於反對的浪潮,SOPA以及PIPA法案於今年1月20日正式地遭到議院擱置。   SOPA的立法主要是用來打擊國外販售仿冒品的網站以及提供非法下載影音軟體系統的網站,俗稱「海盜灣(pirate bay)」,使用人在這些網站只要輸入影集或者是電影名稱就可以免費下載收看。這些海盜灣由於伺服器不在美國境內所以難以管制,但是透過SOPA,美國政府可以藉著管制美國的網路服務者去切斷這些海盜灣在美國提供服務的生路。依照SOPA,Google將被禁止在其搜尋結果中顯示這些海盜灣,PayPal也將被禁止提供資金傳輸服務與這些被認定有侵權事實的業者。   事實上,著作權的侵權行為原本就是非法的,在此之前已有「數位千禧年著作權法案(the 1998 Digital Millennium Copyright Act,簡稱DMCA)」提供執行措施。依照本法,舉例說明,假設歌曲創作人發現有人非法在YouTube上上傳其享有著作權的歌曲,著作權人可以要求YouTube將之下架,這樣的要求稱為「DMCA 投訴公告(DMCA warning)」。光是2011年,Google就收到了約五百萬筆侵權下架的要求,若確定要求為合法,Google一般而言會在六個小時之內將之下架。問題在於DMCA投訴公告對於美國國外的網站並無法發揮其預期的效力。   但是類似YouTube這類的網站經營者則擔心,SOPA可能帶來網站營運者必須負擔審查使用人所上傳的檔案是否有侵權事實義務的負面效應。依照SOPA,任何支付服務或者是廣告營運主都需要提供一個管道供第三人檢舉「偷竊美國財產」的使用人,一遭檢舉,營運主就有義務在五天之內切斷其服務。雖然亂檢舉有刑事責任,但是是否無侵權行為的舉證責任則需要受控告者自行負擔,而許多小網站以及非營利性網站根本無力去負擔龐大的訴訟費用。另外,反對者認為SOPA對於「搜尋引擎(internet search engine)」以及「國外侵權網站(foreign infringing site)」的定義過於廣泛,在本法之下,維基百科也會被定義為「搜尋引擎」,並有義務在任何美國法院的要求下去移除「國外侵權網站」的有關聯結,否則將會被視為助長侵權行為並面臨「藐視法庭罪」,這將造成言論自由箝制的相關問題,除此也會大量增加維基百科的營運成本。業者多表示肯認SOPA的立意並表示願意合作,但是業者表示SOPA過於廣泛模糊的法規文字將可能會流於網站內容的審查並造成無法控制的後果。反對者指出,SOPA的影響範圍無法預測,網站內容若只是部分有侵權疑慮,可能整個網站都無法出現在搜尋引擎的搜尋結果中。「電子前哨基金會(Electronic Frontier Foundation, EFF)」指出,類似Facebook或YouTube這類由使用者自創內容的網站,未來可能都要被迫自行去監管網站內容,將大量增加營運成本。另一方面而言,SOPA賦予業者只要具有合理懷疑就可以封鎖使用者,這將會成為大公司用來打壓潛在競爭者並迴避反托拉斯法的手段。

TOP