愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。
此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。
最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
張恩若
法律研究員 編譯整理
Guidance for Controllers on Data Security, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-controllers-data-security (last visited Mar. 27, 2020).
張恩若,〈網路隱私設計—從輕推技巧出發〉,《科技法律透析》,第32卷第1期,頁47(2020)。
李億誠,〈歐盟一般資料保護規則(GDPR)裁罰案例解析〉,《科技法律透析》,第31卷第12期,頁26(2019)。
張恩若,〈英國擬加強兒童網路隱私之保護——簡析網路服務適齡設計實務守則草案〉,《科技法律透析》,第31卷第9期,頁8(2019)。
Guidance on the Principles of Data Protection, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-principles-data-protection (last visited Mar. 27, 2020).
「群眾募資(crowdfunding)」過去原泛指一切提出資金需求計畫,向社會大眾招募資金的行為;目前則指資金需求者透過群眾募資網路平台提出資金需求,由平台代為籌資後再將資金轉交與資金需求者之活動。 群眾募資可紓解創業家有創意無資金無擔保品的資金困境,因此主要運用於難以透過傳統金融管道取得資金之產業,例如文化創意產業。然而除了商品生產或短期計劃的募資,廣義的群眾募資運用尚包含永續的事業資本募集以及週轉資金募集。目前各種群眾募資模式可分為捐贈模式、股權模式及債權模式: 1、捐贈模式:群眾捐錢贊助某個特定方案,但不期待因個人的捐助而獲得任何金錢上的回報。但通常會獲得提案者承諾提供之實物或者是體驗服務作為回饋。 2、資本模式(或稱股權模式):群眾透過網路平台將金錢投入某個專案,未來可以獲得因該專案所成立之公司的股票,或者是獲得盈餘或收益的分配。 3、債權模式:群眾透過網路平台將金錢借給某個專案或某人某公司,承諾未來會償還所借之金額及利息。
美國國會議員(Patrick Leahy)提案(PROTECT IP Act)封鎖違反智慧財產權的非法網站美國國會議員日前提案,擬立法對抗違反智慧財產權的非法網站。該法案(Preventing Real Online Threats to Economic Creativity and Theft of Intellectual Property Act, 或稱PROTECT IP Act)主要係針對侵害智慧財產權的非法網站,擬賦予美國司法部或著作權人,可向法院聲請於網路上封鎖該網站,或者不讓其在搜尋引擎上顯示,亦即讓該非法網站從網路徹底消失。同時,經營網路金流的業者以及網路廣告商,也不得再提供服務給予這些違反智慧財產權或者是販售贗品的非法網站。 該法案明確的規定,舉凡與非法網站相關的資料、數據、索引、超連結等,皆需從網際網路上移除。亦即,美國人民在網路上將不會再看到這些非法網站的任何資訊,若該法案通過,將連帶影響到Google、Yahoo等搜尋引擎的實務運作。有反對者指出,此舉將使得美國政府可以決定美國人民在網路上應該看什麼內容,因此戲稱該法案為網路審查法案(Internet censorship bill)。 網路巨擘Google執行長(Eric Schmidt)也於今年5月中聲明反對該提案,認為該提案已經嚴重侵害言論自由。執行長Eric Schmidt表示,美國政府試圖以立法手段解決複雜的網路侵權爭議,以立法封鎖、移除非法網站所有資料,跟中國限制網路言論自由的方式如出一轍。 目前該法案尚未通過,已出現不少反對聲浪,財產權以及言論自由同樣是憲法上保障的權利,究竟應如何在保障著作財產權人與言論自由間取得平衡,該法案未來發展值得密切注意。
美國聯邦通訊委員會新通過的隱私規範這是客戶的資訊,該資訊如何被使用應為客戶的選擇。」於此一理念下,美國聯邦通訊委員會(Federal Communication Commission,FCC)於2016年10月27日通過了寬頻客戶隱私規定(Broadband Consumer Privacy Rules),該規定要求寬頻網路服務提供者(broadband Internet Service Providers,ISPs)應保護其客戶之隱私,該新通過的隱私規範非禁止使用及分享客戶的資訊,而係給予客戶有更多的選擇去決定自身的資訊該如何被分享及使用。以下簡介規範內容: 一、規範對象:寬頻網路服務提供者及其他電信營運商,例如Comcast、Verizon、AT&T等。規範對象未包含聯邦貿易委員會(Federal Trade Commission,FTC)所管轄的隱私保護措施下的網站或其他邊緣服務商(edge service),例如Google、Facebook、Amazon等。亦未規範寬頻網路服務提供者營運的社交媒體網站或政府監管、加密,執法等問題。 二、 主要規範內容:將ISP所蒐集得使用及分享的資訊分為三類,建立客戶同意要件,分類如下。 (一)敏感性資訊須事前取得客戶肯定地選擇同意加入(opt-in),才得為使用及分享。敏感性資訊包含精確的地理位置、金融資訊、健康資訊、孩童資訊、社會安全碼、網站瀏覽紀錄、app使用紀錄及通訊內容。 (二)非敏感性資訊,例如電子郵件地址或服務層資訊,得使用及分享,惟當客戶選擇退出(opt-out)則不得使用及分享。 (三)同意要件之例外。除了在建立客戶與ISP關係外,針對特定目的將會被推定為已取得客戶同意,包含寬頻服務之提供或針對服 三、 其他重要規範內容:清楚告知客戶收集的資訊、將如何使用、向誰分享;實施合理的資料安全準則;保密性違反之通知。 然而針對FCC是否具有相關管制權限,質疑聲浪仍存於本次規範之通過。亦有認為該規範與FTC的管制同時運行將形成疊床架屋,造成社會大眾之混淆。並且該規範未能真實反映網路生態,未將網路公司或社交網站公司列入管制對象,無法真正保護客戶隱私。
避免昂貴訴訟成本,微軟參與專利審查團隊微軟成為crowdsourcing(集結式資訊來源)服務的第一會員,其服務用於對抗專利流氓(patent trolls)所提出昂貴的訴訟,挑戰將訴訟中所使用的軟體專利使之無效。 Litigation Avoidance是由全球線上社群100萬名科學家及技術人員所組成的Article One Partners所建立的一種付費服務。該組織採用crowdsourcing,其為透過網際網路所採用的一種社交媒體工具,藉由找出前案或先前揭露資料中證明專利無效之證據。而Article One所取得的利潤是由使用crowdsourcing資訊的企業而來的,但並未對外揭露收費的價格。 根據Article One指出,Litigation Avoidance主要針對的目標是專利流氓,其為購買大量專利,透過所買的專利向其他企業提出訴訟,進而要求權利金或授權金。 受到專利流氓提出訴訟的微軟指出,Litigation Avoidance服務將是應訴前調查專利品質的另一種工具。微軟首要專利律師Bart Eppenauer說明,”使用Litigation Avoidance服務其目的為降低風險及降低潛在的訴訟成本”。 Article One試圖解決問題之一,為crowdsourcing技術可於數周內得到專利評估結果,可取代需花費數月或數年始得產生結果的美國專利商標局低效能的專利審查系統。