英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例
英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。
本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下:
一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。
二、無適當安全維護措施
三、涉及敏感性個資,違法情狀嚴重
四、未積極配合調查
五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。
此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
衛星羽
法律研究員 編譯整理
London pharmacy fined after “careless” storage of patient data, Information Commissioner's Office. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/12/london-pharmacy-fined-after-careless-storage-of-patient-data/ (last visited Dec. 30, 2019)
London pharmacy fined after “careless” storage of patient data, Information Commissioner's Office. https://ico.org.uk/media/action-weve-taken/enforcement-notices/2616741/doorstop-en-20191217.pdf (last visited Dec. 30, 2019)
自特斯拉(Tesla)推行Autopilot(此於特斯拉之繁體中文官網譯作自動輔助駕駛)以降,其原先宣稱可免手動(Hands free),但經美國國家公路交通安全管理局(National Highway Traffic Safety Administration,NHTSA)指摘特斯拉前述宣稱可能使駕駛人注意力渙散而發生事故,似乎影響近年來特斯拉對於其自動輔助駕駛系統之論調,而改要求駕駛人即便開啟該系統仍須將手放置於方向盤上。除了前揭特斯拉於車輛銷售(廣告)資訊所生的爭議外,日前2020年7月間德國慕尼黑第一地方法院(Landgericht München I)之合議庭的判決,認定特斯拉於其車輛(Model 3)之銷售(廣告)標示資訊的整體,以及原告競爭中心(Wettbewerbszentrale)所分別主張之內容,均屬不正當競爭防制法(Gesetz gegen den unlauteren Wettbewerb,UWG)第5條第1項第2句第1款之誤導性商業行為(Irreführende geschäftliche Handlungen,或譯作引人錯誤之交易行為)。 本件之爭點核心在於特斯拉現行車輛既有配備之Autopilot系統,以及消費者可自行選購之Volles Potenzial für autonomes Fahren(德文直譯:具備完全自動駕駛潛力,而特斯拉之繁體中文官網譯作全自動輔助駕駛)系統等用詞,因其等涉及車輛功能與設備之決定性概念和資訊,則與現行「車輛駕駛輔助系統」(Fahrassistenzsystem)存有落差,進而導致消費者理解與實際情況不一致之情形。 法院認定理由在於不論特斯拉之Autopilot或Volles Potenzial für autonomes Fahren等系統,均無法達到毋須人為介入行駛的情境,即便其於官網上有另行標註目前該等系統功能有限,仍須駕駛人主動監控所有行駛環境等,但因該等內容說明不夠透明與清晰,而仍無法排除其等資訊具有誤導性,故特斯拉使用Autopilot等詞以及其他暗示車輛技術上能完全自主(vollkommen autonom)等用語,將引起消費者錯誤認知其可在德國的道路上運行完全自主之自動駕駛系統(註:此部分似係指SAE標準等級5之自動駕駛系統,然德國道路交通法目前僅開放運行等級4以下之自駕系統)。不過該判決結果仍可上訴。
New Balance在中國大陸一審獲判商標侵權賠償美國紐百倫公司(以下稱New Balance)去年控告中國大陸當地三家製鞋商侵害其中N字logo商標。其中一位被告為已在美國科羅拉多州成立公司的新百倫體育用品有限公司(USA New Bai Lun Sporting Goods Group Inc)。近日,中國大陸蘇州中級人民法院判決在一審判決中判處這三名被告侵害New Balance商標權,應支付New Balance人民幣一千萬元(即美金一百五十萬元)之損害賠償。 一名美國律師指出,此賠償數額以國際標準而言不算高,但這是中國大陸外企至今在商標侵權爭議案件中獲得的最大一筆賠償金,對在中國大陸的外企而言是一大鼓舞。New Balance品牌保護經理Angela Shi表示,此案的勝訴讓New Balance更有信心繼續在中國大陸開展品牌保護的工作。 根據中國大陸當地律師指出,過去中國大陸各地方人民法院由於必須考量當地就業及社會穩定等因素,較不傾向做出有利於外企的判決。在本判決之前,美國總統川普曾簽屬一份備忘錄,要求調查中國大陸竊取美國企業智慧財產權之問題,而中國大陸國家主席習近平近期亦曾公開表示要嚴懲侵害智慧財產權者。本次New Balance的勝訴,除了對外企而言有標竿性的作用外,也展現了中國大陸政府解決仿冒問題的決心。
澳洲國家交通委員會提出「自駕車政策革新報告」,並展開「控制自駕車規範建議」意見徵詢2016年11月澳洲國家交通委員會(簡稱NTC)公布「自駕車政策革新報告」(Regulatory reforms for automated road vehicles Policy Paper),當中釐清對自駕車各項可能遭遇的法規障礙並設定修正時程,2017年4月16號NTC並進一歩依前份文件規劃提出「控制自駕車相關規範建議」討論文件,釐清自駕車的控制定義與相對應規範,並提出法制規範修正內容。 2016年澳洲政府並通過了關於陸路交通科技的「政策原則」(Policy Principles),其中包括政府決策時應基於改善交通安全、效率、永續發展和成果的可能實現,並且應以消費為中心等原則,這些原則構成了澳洲政府的政策框架。 澳洲NTC此份討論文件中,提出應釐清能「控制(in control)」自駕車的對象,此將影響自駕車事故的負責人為誰。NTC提出目前仍應定義人類駕駛為控制自駕車的一方而非自駕系統,以避免人類駕駛做出不適當的操作行為。 NTC並釐清「恰當控制」的定義。「恰當控制」為澳洲道路法規第297條第1項:「駕駛者不得駕駛車輛除非其有做出恰當控制」中所規範。恰當控制被目前的執法機關詮釋為駕駛者應坐在駕駛座上並至少有一隻手置於方向盤上。但「恰當控制」將因自動駕駛系統的操作方式受到挑戰。因此NTC認為「恰當控制」不一定需要將手置於方向盤上,而是要有足夠的警覺性和能即時進行干涉,此定義並應隨著科技發展而修正。 本次政策文件意見徵詢至2017年6月2日,收到意見後NTC將會意見納入未來的全國性實施政策方針,提交給澳洲交通與基礎建設諮議會(Transport and Infrastructure Council)通過,預計於2017年年底前完成此自駕車方針。