愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。
此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。
最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張恩若
法律研究員 編譯整理
Guidance for Controllers on Data Security, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-controllers-data-security (last visited Mar. 27, 2020).
張恩若,〈網路隱私設計—從輕推技巧出發〉,《科技法律透析》,第32卷第1期,頁47(2020)。
李億誠,〈歐盟一般資料保護規則(GDPR)裁罰案例解析〉,《科技法律透析》,第31卷第12期,頁26(2019)。
張恩若,〈英國擬加強兒童網路隱私之保護——簡析網路服務適齡設計實務守則草案〉,《科技法律透析》,第31卷第9期,頁8(2019)。
Guidance on the Principles of Data Protection, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-principles-data-protection (last visited Mar. 27, 2020).
紐西蘭人工智慧論壇(AI Forum)協會成立於2017年,為非營利組織,是紐西蘭政府的重要智庫單位。該協會的AI法律、社會和倫理工作組於2020年3月4日發表了紐西蘭第一份《紐西蘭可信賴的AI指導原則》, 此指導原則目的在提供簡潔有力的人工智慧參考點,以幫助大眾建立對紐西蘭人工智慧的開發和使用的信任。此份AI指導原則對政府具有重要的參考價值。 《紐西蘭可信賴的AI指導原則》,內容摘要如下: 一、公平和正義 (一)適用紐西蘭及其他相關管轄地包含科克群島、紐埃、托克勞、南極羅斯屬地法律; (二)須保護紐西蘭國內法及國際法所規範的人權; (三)須保障《懷唐伊條約》中毛利人的權利; (四)民主價值觀包含選舉的過程和在知情的情況下進行公眾辯論; (五)平等和公正的原則,要求人工智慧系統不會對個人或特定群體造成不公正地損害、排斥、削弱權力或歧視。 二、可靠性、安全性和私密性 AI利益相關者須確保人工智慧系統及資料的可靠、準確及安全性,並在人工智慧系統的整個生命週期中,保護個人隱私以及持續的識別和管控潛在風險。 三、透明度 人工智慧系統的運作應是透明的、可追溯的、並在一定的程度上具可解釋性,在面對責問時能夠被解釋且經得起質疑。 四、人類的監督和責任 AI利益相關者,應該對人工智慧系統及其產出進行適當的監督。 在利益相關者確定適當的問責制度和責任之前,不應使用會對個人或群體造成傷害的技術。 五、福利 AI利益相關者應在適當的情況下設計、開發和使用人工智慧系統,盡可能促進紐西蘭人民和環境的福祉,像是健康、教育、就業、可持續性、多樣性、包容性以及對《懷唐伊條約》獨特價值的認可。 此份AI指引較大的特色有兩點,第一,紐西蘭人工智慧論壇協會的成員組成,其中女性成員比例超過半數。第二,在其指導原則中第一點的「公平和正義」及第五點「福利」中,都特別提到須遵守《懷唐伊條約》以確保毛利人的權益。在這樣的基礎下,能更期待紐西蘭在發展AI技術的過程,能夠更切實的做到公平正義、無歧視。
聯邦巡迴上訴法院確認同為蘋果供應商的玉晶光並未侵害大立光的專利權2013年6月4日大立光在北加州聯邦地方法院起訴玉晶光,主張玉晶光生產的八款透鏡侵害其五件美國專利。就部分的產品玉晶光請求法院裁判無引誘侵權,北加州聯邦地方法院部分准許了玉晶光的請求,之後大立光就無引誘侵權部分上訴聯邦巡迴法院敗訴。 大立光未能主張直接侵權,因為玉晶光絕大部分的透鏡是銷售給蘋果在亞洲的供應鏈中的鏡頭模組廠,鏡頭模組廠再販售給亞洲的系統組裝廠,最後由系統組裝廠整機出售給蘋果,再由蘋果販賣給美國的消費者。這個過程中玉晶光並非唯一的透鏡供應商,大立光也是供應商之一甚至供應量大於玉晶光。 法院贊同並認為引誘侵權是行為人(本案中為蘋果)被引誘而有直接侵權的證據,但大立光在本案中無法證明玉晶光有引誘侵權責任,因玉晶光沒有在美國有直接製造、使用、銷售、許諾銷售或進口的行為,故不構成直接侵權,而玉晶光在本案中並不爭執侵害大立光的專利權,但主張並非是引誘侵權人。 大立光另提出的主張是蘋果的供應鏈是「隨機選擇」大立光或玉晶光的透鏡,因此推論蘋果在美國的產品採用玉晶光的比例,等於蘋果在全世界的產品採用玉晶光的比例,進而認定蘋果在美國有直接侵權。唯聯邦巡迴上訴法院認為大立光關於「隨機選擇」這個主張,沒有提出來自供應鏈的相關證據,所以沒辦法證明蘋果在美國的產品有使用玉晶光的透鏡。大立光可再上訴美國最高法院。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
論政府資料探勘應用之個人資料保護爭議