英國發布《資料主體近用權指引》說明資料近用權法遵重點及實例解析
英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2020年10月21日發布《資料主體近用權指引》(Guidance of Right of access),針對資料主體行使資料近用權之請求(Data Subject Access Request, DSAR),受請求之機構應如何進行識別判斷、簡化處理方式,以及特殊例外情況等法遵重點提供指導方針,並進行實例說明解析,以幫助受請求之機構在面臨資料主體之近用權請求時能快速且有效的處理。
英國「個人資料保護法」(The Data Protection Act 2018)依據歐盟「一般資料保護規則」(GDPR)於2018年重新修訂,其中資料近用權更是對於資料主體相當重要的基本權利,進而影響受請求之機構必須了解如何有效率的處理資料近用權之請求,並確實履行其在法規上所要求的保護義務,主要分為三點:
- 在資料主體確認其資料近用權所欲請求的範圍之前,受請求之機構依法應回覆時限應予以暫停,以利受請求之機構能有更充裕完整的時間釐清及回應資料主體之近用權請求。
- 為了避免受請求之機構耗費大量時間判斷何謂「明顯過度之請求」(manifestly excessive request),該指引提供相關定義說明及判別標準。
- 針對「明顯過度之請求」收取處理費用所包含的項目,例如受請求之機構處理請求所增加人力行政成本,在受請求之機構收取處理費用時可將其納入斟酌。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
林佩瑩
組長 編譯整理
1、ICO, Blog: Simplifying subject access requests – new detailed SARs guidance, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/blog-simplifying-subject-access-requests-new-detailed-sars-guidance/ (last visited Nov. 5, 2020).
2、ICO, Guidance of Right of access, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/right-of-access/ (last visited Nov. 5, 2020).
1、金韋伶,〈英國資訊委員辦公室(ICO)發布當事人近用請求權實務準則〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=156&d=6366&no=64(最後瀏覽日:2020/11/05)。
2、陳靜怡,〈英國資訊委員辦公室(ICO)發布指引以因應歐盟一般資料保護規則(GDPR)正式施行〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8018&no=64 (最後瀏覽日:2020/11/05)。
2024年9月1日,澳洲生效《政府負責任地使用人工智慧的政策》(Policy for the responsible use of AI in government,下稱政策)。澳洲數位轉型局(Digital Transformation Agency,以下稱DTA)提出此政策,旨於透過提升透明度、風險評估,增進人民對政府應用AI的信任。 1. AI之定義 此政策採經濟合作暨發展組織(OECD)之定義:AI系統是一種基於機器設備,從系統接收的資訊進而產出預測、建議、決策內容。 2.適用範圍 (1)此政策適用於「所有非企業的聯邦個體(non-Corporate Commonwealth entities, NCE)」,非企業的聯邦個體指在法律、財務上為聯邦政府的一部分,且須向議會負責。此政策亦鼓勵「企業的聯邦實體」適用此政策。 (2)依據2018年國家情報辦公室法(Office of National Intelligence Act 2018)第4條所規定之國家情報體系(national intelligence community, NIC)可以排除適用此政策。 3.適用此政策之機構,須滿足下列2要件 (1)公布透明度聲明 各機構應在政策生效日起的6個月內(即2025年2月28日前)公開發布透明度聲明,概述其應用AI的方式。 (2)提交權責人員(accountable official,下稱AO)名單 各機構應在政策生效日起90天內(即2024年11月30日前)將AO名單提供給DTA。 所謂AO的職責範圍,主要分為: I.AO應制定、調整其機構採取之AI治理機制,並定期審查、控管落實情況,並向DTA回報;鼓勵為所有員工執行AI基礎知識教育訓練,並依業務範圍進行額外培訓,例如:負責採購、開發、訓練及部署AI系統的人員,使機構內的利害關係人知道政策的影響。 II.當既有AI 應用案例被機構評估為高風險AI應用案例時,通知DTA該機構所認定之高風險AI應用案例,資訊應包括:AI的類型;預期的AI應用;該機構得出「高風險」評估的原因;任何敏感性資訊(any sensitivities)。 III.擔任機構內協調AI的聯絡窗口 IV.AO應參與或指派代表參與AI議題之政策一體性會議(whole-of-government forums)。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
日本雅虎公布個資刪除標準自從歐洲法院判決谷歌(Google)應該尊重當事人的「被遺忘權」,從搜尋結果移除敏感、不當或過時的資訊聯結後,日本雅虎(Yahoo!)於2014年11月組成了專家小組,針對民眾請求刪除網路搜尋結果時,搜尋引擎應該在何種程度上及如何給予回應等議題進行討論,並於2015年3月30日公布了個資刪除標準,隔日起生效。 日本雅虎表示,當搜尋某人的姓名,出現其病歷、過去曾經犯下的輕罪等敏感性資訊或明顯侵害個人權益的資訊(如非公眾人物的地址、電話號碼等)時,當事人可以請求刪除搜尋結果,但在決定是否准許當事人請求前,雅虎將先行檢查當事人係屬成年人、弱勢族群或公眾人物(包括國會議員、公司高階主管及影視圈名人等)。至於那些被強烈懷疑為非法的性愛照片,如兒童色情或報復性色情(未經本人同意而散播的親密照片)等,將主動予以封鎖而無法瀏覽。 由於線上文字及圖片相當容易複製,不願意公開的資訊被公開在網路上而無法移除時,往往造成當事人心理上極大的痛苦,於搜尋階段便設法封鎖有問題的資訊,能夠有效地防止因資訊傳播而帶來的傷害。但從言論自由及知的權利的角度出發,某些資訊的揭露本身即具有公益色彩,應該適度限制當事人移除資訊的請求。日本雅虎率先公布個資刪除標準,預料將帶動亞洲入口網站對於隱私保護的重視。
歐盟決定開放800MHz供無線寬頻應用歐盟執委會於2010年5月6日公布790-862 MHz頻段(簡稱800MHz)的統一技術規格決定(Commission Decision 2010/267/EU on harmonised technical conditions of use in the 790-862 MHz frequency band for terrestrial systems capable of providing electronic communications services in the European Union)。會員國以為,與其單純保留800MHz給地面廣播系統使用,不如開放該頻段供網路使用,故會員國必須立即根據決定,以一致性的技術規格,讓800MHz頻段可以供無線寬頻接取技術使用。 執委會下一步將對數位紅利的使用提出規劃草案,草案內容並將成為預計於6月底公布的「2011-2015年無線頻譜政策方案」(Radio Spectrum Policy Programme 2011-2015)的一部份。各界預期,該草案有可能包括制訂一個所有會員國都必須釋出800MHz供寬頻服務發展的實施日期。
英國、新加坡領導全球發布供應鏈勒索軟體防護指引在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下,英國於10月24日發布「全球性供應鏈勒索軟體防護指引」(Guidance for Organisations to Build Supply Chain Resilience Against Ransomware),該指引係由英國與新加坡共同領導的「反勒索軟體倡議」(Counter Ransomware Initiative, CRI)框架下推動,旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持,標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部(UK Home Office)指出,勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告(Cost of a Data Breach Report 2025)估計,單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進,勒索攻擊已由單點入侵擴大為透過供應鏈滲透,攻擊者常以第三方服務供應商為跳板,一旦供應商遭入侵,即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件,即造成數千次門診與手術延誤,凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向,英國政府與CRI強調,企業應在營運治理、採購流程與供應商管理中系統性導入相關措施,包括: 一、理解供應鏈風險的重要性 在高度互聯的數位環境中,供應鏈已成為勒索軟體攻擊的主要目標,企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊,評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排,以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施,包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時,合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制,並鼓勵供應商採用國際資安標準,例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形(Near Miss,即近乎事故),不論是否構成正式資安事件,均應納入檢討範圍;並定期進行資安演練、共享威脅情資,依攻擊趨勢滾動修正合約與內部規範。 指引同時指出,供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性,以及資安稽核與驗證機制不足。英國政府與CRI亦強調,雖然網路保險可作為風險管理工具之一,但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業,顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構,以強化全球數位經濟的整體韌性,降低勒索軟體攻擊帶來的系統性風險。