愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。
此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。
最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
張恩若
法律研究員 編譯整理
Guidance for Controllers on Data Security, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-controllers-data-security (last visited Mar. 27, 2020).
張恩若,〈網路隱私設計—從輕推技巧出發〉,《科技法律透析》,第32卷第1期,頁47(2020)。
李億誠,〈歐盟一般資料保護規則(GDPR)裁罰案例解析〉,《科技法律透析》,第31卷第12期,頁26(2019)。
張恩若,〈英國擬加強兒童網路隱私之保護——簡析網路服務適齡設計實務守則草案〉,《科技法律透析》,第31卷第9期,頁8(2019)。
Guidance on the Principles of Data Protection, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-principles-data-protection (last visited Mar. 27, 2020).
日本《科學技術指標》為文部科學省直接管轄之國立實驗研究機關「科學技術與學術政策研究所(NISTEP)」於每年度發布,主要為讓閱讀者基於客觀而定量的數據,體系性地掌握日本國內科學技術活動的基礎資料,將科學技術活動區分為「研究開發費」、「研究開發人才」、「高等教育與科技人才」、「研究開發產出」、以及「科技與創新」等5個類別,同時制定約180個指標以表達日本國內狀況。本年度公布的《科學技術指標2019》,則新增了「日本與美國各部門擁有博士學位者」、「各產業研究人才集中度與高端研究人才活用程度間之關係」、「主要國家取得博士學位之人數的變動狀況」、「運動科學研究類論文動向」、「主要國家貿易額度的變動狀況」、「各國與各類型獨角獸企業數」等20個指標。 依《科學技術指標2019》分析,日本的研究開發費與研究者人數於日、美、俄、法、英、中、韓等七個國家中皆位居第三,論文數則為世界排名第四,受高度矚目的論文數世界排名第九,專利家族(Patent Family)數世界排名第一而與去年相同。就產業的部份,研究者中擁有博士學位者之比例依據產業類型的不同而有所差異,與美國相較,高階人才之實際就業情況未能充分發揮其所學。另一方面,就每一百萬人中有取得博士學位的人數,在各主要國家當中,僅有日本呈現減少的趨勢。
美國聯邦交易委員會提出巨量資料報告,關注商業應用之潛在歧視性效果美國聯邦交易委員會(Federal Trade Commission, FTC)於2016年1月6日公布「巨量資料之商業應用」報告(Big Data: A Tool for Inclusion or Exclusion? Understanding the Issues),報告中歸納提出可供企業進一步思考之數項議題,期能藉此有助於企業確保巨量資料分析應用之正當合法性,並避免產生排除性或歧視性之對待,但同時亦能透過巨量資料之分析應用為消費者帶來最大的利益。FTC主委Edith Ramirez表示,巨量資料之重要性於商業之各領域均愈發凸顯,其對於消費者之潛在利益自是不言可喻,然企業仍應確保巨量資料之利用不會產生傷害消費者之結果。 「巨量資料之商業應用」報告經徵集公共意見與彙整相關研究後,聚焦於巨量資料生命週期的後端,亦即巨量資料被蒐集與分析之後的利用。報告中強調數種能幫助弱勢群體的巨量資料創新利用方式,例如依病患之生理特性量身訂作並提供醫療照護,或是新的消費者信用評等方式。報告同時也指出可能因為偏見或資料錯誤帶來的風險,像是信用卡發卡銀行降低某人信用額度的原因並非基於該持卡人之消費與還款記錄,而是與該持卡人被歸為「同一類型」之消費者所共同擁有之記錄與特徵。其次,報告對巨量資料於商業領域之利用可能涉及之法規進行了初步盤點,包括公平信用報告法(Fair Credit Reporting Act, FCRA)、與機會平等相關之聯邦立法—像是基因資訊平等法(Genetic Information Nondiscrimination Act, GINA)、以及聯邦交易委員會法,報告也列出7項預擬提問,協助企業因應巨量資料商業利用之法令遵循問題。
從法規及經營面探討電力線通訊開放的相關問題-從美國聯邦通訊委員會的管制措施談起 日本國土交通省等統整了無人飛行載具目視外飛行時的要件為了實現在2018年將無人飛行載具(drone)運用於離島或山區的貨物配送之目標,日本國土交通省及產業經濟省自2017年9月起舉行了6次「關於無人飛行載具的目視外與越過第三人上空之飛行檢討會」,並於2018年3月29日發表了其所統整出無人載具進行無輔助者目視外飛行之相關要件。 依據現行航空法第132條之2、國土交通省頒布的「無人航空機飛行手冊」第3點、以及該發表的內容所示,無人載具的目視外飛行除須就機體、操縱技術與安全對策的面向具備相關要件,尚要求在操縱者之外,應配置輔助者,在飛行時監視飛行與氣象狀況,同時管制飛行路線正下方及其周邊的第三人出入,並綜整判斷上述資訊,適時給予操縱者安全飛行所必要的建議。 基此,該發表指出,考量到以現行的技術而言,地上設備與機上裝置仍難以完全取代輔助者所扮演的角色,故就無輔助者的情形,除在現行飛行基準上,附加:1. 飛行路線須選在第三人存在可能性低、且有人機不會飛行的場所與高度;2. 機體須具備預想中用途的相當飛航實績;3. 事前履勘飛行路線與擬定意外發生時的對策等條件外,又增設新的個別要件如下: (1)就第三人的出入管理,設置能遠距離監視的攝影機,並在管制區域設置看板或海報等,以警示附近居民; (2)對機體施以增加辨識度的塗裝,裝設可供遠距離監視有無有人機接近的攝影機、或將飛行計畫事前提供給有人機營運者; (3)隨時掌握自機狀況,擬定在異常情形發生時降落的適切對策; (4)在飛行路線或機體裝設氣象計以監測氣象狀態,令其得以在判明天候狀況超出機體所能負荷限度的當下即時降落。 預期該發表內容將會成為日本「面向空中產業革命之行程表」中,關於目視外飛行審查要點修訂項目的重要參考基準。