愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。
此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。
最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張恩若
法律研究員 編譯整理
Guidance for Controllers on Data Security, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-controllers-data-security (last visited Mar. 27, 2020).
張恩若,〈網路隱私設計—從輕推技巧出發〉,《科技法律透析》,第32卷第1期,頁47(2020)。
李億誠,〈歐盟一般資料保護規則(GDPR)裁罰案例解析〉,《科技法律透析》,第31卷第12期,頁26(2019)。
張恩若,〈英國擬加強兒童網路隱私之保護——簡析網路服務適齡設計實務守則草案〉,《科技法律透析》,第31卷第9期,頁8(2019)。
Guidance on the Principles of Data Protection, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-principles-data-protection (last visited Mar. 27, 2020).
戰略產業與關鍵技術保護法規修正趨勢分析 資訊工業策進會科技法律研究所 2022年2月14日 戰略性高科技產業是我國重要的經濟發展基礎,在全球半導體產業鏈中,臺灣更是位居關鍵領先地位。半導體產業作為未來新興科技領域發展根基,內含許多國家核心關鍵技術,若此類技術洩漏至境外,將損及國家安全與整體經濟競爭優勢。 壹、國際產業經濟安全保障法案推動趨勢 參考國際上以產業經濟安全角度出發,且與我國同具技術保護需求之國家,以亞洲的日本及韓國為代表,正在密集推動產業競爭與供應鏈安全及技術保護相關法案。 一、日本《經濟安全保障法》 日本首相官邸於2021年11月19日召開第一次「經濟安全保障推進會議」,強調國家安全概念已迅速擴展到經濟和技術領域,在各國推進和加強支持工業基礎設施、防止敏感技術外流、提升出口管制等經濟安全相關措施下,日本內閣府應加強《經濟安全保障法》草案推動,確保戰略物資與維護重要關鍵技術[1]。 其中《經濟安全保障法》草案著重在四大工作面向:1.供應鏈:透過公私技術合作加強重要材料和原材料的供應,避免對人民生活和工業產生重大影響。2.公私技術合作:透過公共和私營部門合作共享並利用技術資訊,培育和支持尖端重要技術框架。3.核心基礎設施:確保與維護核心基礎設施功能安全性和可靠性。4.私人專利:採取補償措施以要求特定專利私有化,防止敏感發明公開外流,同時促進創新[2]。 二、韓國《國家高科技戰略產業特別法》 韓國產業通商資源部方面,於2022年1月25日舉行的第5次內閣會議上宣布,通過《國家高科技戰略產業特別法》立法議案。該特別法案旨在培育和保護韓國的高科技戰略產業,以維護國家和經濟安全,並取得高科技競爭力,其具體內容包含:1.成立由南韓總理主導的國家高科技戰略產業委員會,制定5年戰略產業培育和保護的基本計畫。2.指定國家關鍵技術,以發展戰略產業和保護國家經濟安全。3.全面支持戰略產業,包括投資、研發、人力資源等方案。4.為振興戰略產業生態系統,提供監管法規修訂和企業合作方向支援。5.對戰略技術的出口和併購採取部分緊縮的保護措施。 韓國產業通商資源部強調,全球各主要國家皆體認到,必須在高科技產業競爭環境中培育知識人才,以及保護國家戰略產業發展的重要性。《國家高科技戰略產業特別法》的制定,將由產業通商資源部採取「無縫接軌的推進措施」,並與相關產業積極溝通,以便及時協助基礎設施能力建構,並在本法案立法程序完成後落實執法[3]。 貳、我國國家核心科技修法走向 我國法務部與陸委會於110年7月公告《國家安全法》與《臺灣地區與大陸地區人民關係條例》部分條文修正草案,二者皆是以經濟安全角度出發,針對「國家核心關鍵技術」保護作法規調整,期能建構跨部會產業技術防堵外洩策略。 一、兩岸條例修正:管制受政府委託補助關鍵技術及人員赴陸 依據陸委會第27次委員會議討論通過「兩岸條例第9條、第91條修正草案」,針對「受政府機關(構)委託或補助達一定標準」,並從事涉及國家核心關鍵技術業務之個人或民間團體、法人、機構成員,進行赴陸管制。其中,因國家核心關鍵技術及一定標準的具體內容,涉及高度專業性,故兩岸條例第9條修正草案授權科技部會商有關機關訂定並進行妥適規範。另外,對於違反赴陸應經許可的特定人員,依據兩岸條例第91條,可處新台幣200萬元以上1,000萬元以下罰鍰。如係違反返台通報義務者,(原)服務機關、委託機關或補助機關得處新台幣2萬元以上10萬元以下罰鍰[4]。 二、國家安全法修正:保護半導體、農業、國防關鍵技術 法務部國安法修正草案第2之2條,明定任何人不得替外國、中港澳、境外敵對勢力或其所實質控制的各類組織,為侵害國家核心關鍵技術的營業秘密行為;且刑度較營業秘密法提高,違者可處3年以上、12年以下徒刑,併科5百萬元以上、1億元以下罰金。至於何項技術列入關鍵技術,則交由科技部檢討,並將攸關台灣經濟、國防優勢的產業列入,包括半導體先進製程、涉及國防技術、台灣關鍵品種農業科技、關鍵生技技術等[5]。 參、法規評析 台灣是全球高科技代工產業的重鎮,半導體技術尤其發達且人才集中。全球晶片短缺之際,台灣也面臨人才帶槍投靠、與關鍵技術外流,危害戰略產業發展危機。未來針對我國國家核心科技認定與管制,可以由以下幾個方向作思考: 一、參考科技部政府資助國家核心科技手冊之作法 為避免我國有太多個不同的核心科技清單,導致法規適用的複雜,未來可能參考現有科技部政府資助國家核心科技手冊之作法,由科技部邀集相關部會自行就主責類別科技項目進行認定。篩選之科技項目(包含企業關鍵技術),經主管機關核定後,提報科技小組,科技小組成立專責審議小組審議是否列入國家核心科技項目。 二、重新建立國家核心科技篩選標準 雖然產業技術保護法規強化是全球趨勢,但若是修正力度過猛或審查過嚴,也同樣可能影響產業投資、干預研發合作,甚至促使台灣關鍵產業出走,連帶失去半導體等關鍵技術研發創新動能,因此重新建立篩選管制標準是我國法規的重要課題。 首先,就製造業關鍵技術,應思考台灣在該產業技術上是否具國際領先地位作為優先考量。其次,就所篩選之產業,評估其對台灣經濟發展是否具核心關鍵性(例如產值高低,或者在全球供應鏈具關鍵地位)。最後,對於國家安全有重要影響之相關產業,應納入作為我國核心關鍵科技。 總歸而言,各國對於戰略產業與國家核心科技認定標準與方式不一,就算技術被歐美及日韓認列為新興科技管制類別,我國是否要列入國家核心科技,仍然必須綜合考量該產業技術在我國產業競爭力與國際領先定位而定。未來,可參採日韓模式,盡速建立國家層級高度的戰略產業與技術保護法規,並且制定明確清單與審查機制流程,使企業能有所預見,事先安排以降低對高科技產業的經濟發展衝擊。 [1] 経済安全保障推進会議,首相官邸,令和3年11月19日,https://www.kantei.go.jp/jp/101_kishida/actions/202111/19keizaianpo.html (最後瀏覽日:2022/1/25)。 [2] 経済安全保障法制に関する有識者会議 提言骨子,内閣官房,令和3年11月26日,https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/index.html (最後瀏覽日:2022/1/25)。 [3] Cabinet passes National High-Tech Strategic Industries Special Act, Ministry of Trade, Industry and Energy, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911(last visited 2022/02/14). [4] 為保護國家核心關鍵技術,本會第27次委員會議通過「兩岸條例第9條及第91條修正草案」,中華民國大陸委員會,110年9月29日,https://www.mac.gov.tw/News_Content.aspx?n=A0A73CF7630B1B26&sms=B69F3267D6C0F22D&s=4C0B2E06FFF6B248 (最後瀏覽日;2022/02/14)。 [5] 法務部公告「國家安全法」部分條文修正草案,法務部法檢字第11004519510號,110年7月21日,https://www.lawbank.com.tw/news/NewsContent.aspx?nid=179044.00 (最後瀏覽日;2022/02/14)。
簡介美國700MHz頻段之使用規劃 個人資料保護脈絡下的「綑綁式同意」 歐盟執委會公佈2016年歐洲數位進度報告歐盟執委會(The European Commission)於05月23日釋出一份關於歐洲數位化進展的報告。 歐洲數位進度報告(Europe's Digital Progress Report ,EDPR)首先以2016年02月公佈的「數位經濟社會指標」(Digital Economy and Society Index ,DESI) 為基礎,分析歐盟會員國的數位發展情況。數位公共服務(Digital Public Services)方面,報告指出, 當前各國政府數位化服務越來越複雜,歐盟現在的挑戰是要讓52%目前還偏好實體互動的民眾進入數位世界。此外,這份報告也提出一些歐盟會員國中數位公共服務還不錯的進度,像是義大利跟匈牙利的eID,奧地利的OpenData,比利時跟羅馬尼亞的協同電子政府 (collaborative eGovernment),以及斯洛伐克電子政府的雲端方案等。 其次,歐盟執委會調查了各國的數位改革方案實施情況,並公佈歐盟會員國與世界上其他15個國家的「數位表現國際指標」完整報告 (full report on a new international index, iDESI),「數位表現指標」指的是連結性(connectivity)、數位能力( digital skills)、網路使用(use of Internet)、企業數位科技整合( Integration of Digital Technology by businesses),以及數位公共服務(Digital Public Services)。這份數據顯示,歐盟領先國(瑞典、丹麥以及芬蘭)在國際上也是處於領先地位,緊接在韓國以及美國之後,但其他歐盟會員國仍有很長一段路要追趕。 最後,歐盟執委會同時發布了「歐洲電子通訊量表研究」( Eurobarometer study on e-communications),這份研究發現使用網路通訊的歐洲民眾逐漸增多,且行動網路普及率大幅增加。 歐盟官方表示,未來將會根據這幾份調查報告提出具體建議,盼能改善多數會員國的數位表現並有益於其經濟與社會,持續朝創造歐盟「數位單一市場」(Digital Single Market)的目標邁進。