歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應
歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。
個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。
此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
林佩瑩
組長 編譯整理
EUROPEAN DATA PROTECTION BOARD, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021), available at https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf (last visited Apr. 1, 2021).
李哲明,〈歐盟資料保護工作小組修正通過個人資料侵害通報指引〉,2018年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=158&d=8028&no=64 (最後瀏覽日:2021/04/01)。
英國政府於2024年12月19日依據《經濟犯罪及公司透明法》(Economic Crime and Corporate Transparency Act)的授權,發布《公司及有限責任合夥企業(資料保護與揭露及相應修訂)辦法》(The Companies and Limited Liability Partnerships (Protection and Disclosure of Information and Consequential Amendments) Regulations 2024),該辦法已於2025年1月27日生效。 根據現行《公司(地址揭露)辦法》(Companies (Disclosure of Address) Regulations 2009),經營公司之個人應登錄並公開其個人資料,包含居住地址,以利利害關係人聯繫並確保其對業務負責。但公開個人資料,將導致詐欺和身分盜用之風險,因此現行《公司(地址揭露)辦法》規定於特定情形下,如經營公司之個人曾遭受家庭暴力,或從事警察、法官、議員等職務,得向主管機關申請保護其居住地址不對外公開。新辦法將進一步強化對個人隱私之保護,允許將居住地址作為公司註冊地址之情形,亦得適用前述居住地址保護之規定。此外,對於進行清算程序的公司,經營公司之個人亦得申請不公開其居住地址,惟為兼顧第三方權益,僅得於公司清算程序開始後六個月後提出申請,以便第三方對公司提起訴訟。 隨著科技發展,對於個人資料之保護日益重要,英國此次新辦法擴大居住地址保密適用情形,設法在隱私保護與利害關係人權益間取得平衡,其細緻化地衡酌資訊透明化及個人資料保護兩項基本原則之作法,或可成為我國未來在思考相關議題之參考。
淺談美國行動健康服務應用程式之管理規範 以「公私夥伴關係(PPP)」發展科技之作法近來常聽聞各國以公私夥伴關係(Public-Private Partnership, PPP)之模式發展產業科技,PPP故名思義,係指結合公私部門之力量,以共同達成公共政策目標之合作模式。公部門可借重私部門的專業、經驗與品質,使其服務更有效率,私部門也可得到政府與政策之支持。 如今科技進步程度往往可代表ㄧ國之競爭力,惟科技研發需投入大量成本,因此各國多有針對科研補助之相關政策,從早年的單方補助,到如今強調公私合作進行科研的PPP模式。各國亦提出各種產官學合作研發的模式或組合之立法或相關政策。例如成立獨立非營利法人讓各項研發活動進行更方便、研究設施設備共享更容易的日本「技術研究組合」、芬蘭之SHOKs。荷蘭近來亦大力推行PPP研發之策略。德國之高科技領先戰略計畫( Spitzencluster-Wettbewerb)亦以區域聚落(該區域聚落即包含產業界、大學及其他相關學術機構)為單位,藉競爭給予補助的方式,促成該地區產官之緊密合作。
美國國家公路交通安全管理局發布自駕車安全性評估相關法規預告美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2025年1月15日發布「配備自動駕駛系統車輛之安全、透明度及評估計畫」(The ADS-equipped Vehicle Safety, Transparency, and Evaluation Program , AV STEP)法規預告(Notice of proposed rulemaking, NPRM),建立全國性自願評估與監督制度,以提高自駕車安全性之公共透明度,並促進其負責任布建。 根據《國家交通與機動車輛安全法》(National Traffic and Motor Vehicle Safety Act),自駕車在符合〈聯邦機動車輛安全標準〉(Federal Motor Vehicle Safety Standards, FMVSS)及州、地方法律的前提下,得於公共道路上行駛;若無法符合FMVSS之要求,則需進行豁免申請。惟不論採何種途徑,FMVSS皆未針對自駕車之安全性與性能進行評估,因此NHTSA提出AV STEP,為自駕車設計專門之豁免申請途徑,並針對不同自動化程度車輛提出涵蓋車輛設計、開發與運行之安全性審查條件,以對現行FMVSS之豁免規定進行補充。簡要說明如下: (1)需配置駕駛人之自駕車:需具備手動駕駛功能與清晰的交接程序,以於自駕系統失效時透過充分提示與反應時間,使駕駛人接管操作。 (2)完全由自駕系統操作之自駕車:監管著重於各種情況下皆能自主運作、回退(Fallback)機制需具遠端監控能力,且能自動進入最小風險狀態。 除上述要求外,申請者皆須提供第三方機構之獨立評估報告、說明自動駕駛系統故障之應對措施,並持續接受NHTSA監督。