歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應
歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。
個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。
此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
林佩瑩
組長 編譯整理
EUROPEAN DATA PROTECTION BOARD, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021), available at https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf (last visited Apr. 1, 2021).
李哲明,〈歐盟資料保護工作小組修正通過個人資料侵害通報指引〉,2018年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=158&d=8028&no=64 (最後瀏覽日:2021/04/01)。
日本數位廳(デジタル庁)與內閣府智慧財產戰略推進事務局(内閣府知的財産戦略推進事務局)於2022年3月4日公布「平台資料處理規則實務指引1.0版」(プラットフォームにおけるデータ取扱いルールの実装ガイダンス ver1.0,簡稱本指引)。建構整合資料提供服務的平台,將可活用各種資料,並創造新價值(如提供個人化的進階服務、分析衡量政策效果等),為使平台充分發揮功能,本指引提出平台實施資料處理規則的六大步驟: 識別資料應用價值創造流程與確認平台角色:掌握從產生資料,到分析資料創造使用價值,再進一步提供解決方案的資料應用價值創造流程,以確認平台在此流程中扮演的角色。 識別風險:掌握利害關係人(如資料提供者與使用者等)顧慮的風險(如資料未妥適處理、遭到目的外使用等疑慮)。 決定風險應對方針:針對掌握的風險,決定規避、降低、轉嫁與包容等應對方針。 設定平台資料處理政策與對利害關係人說明之責任(アカウンタビリティ):考量資料處理政策定位,擬定內容,並向利害關係人進行說明。 設計平台使用條款:依據「PDCA循環」重複執行規則設計、運作與評估,設計平台使用條款。 持續進行環境分析與更新規則:持續分析內部與外部因素可能面臨的新風險,並更新平台資料處理規則。
加拿大運輸部發布自駕系統測試指引2.0,為建立全國一致的實驗準則加拿大運輸部(Transport Canada)於2021年8月6日發布「自駕系統測試指引2.0」(Guidelines for Testing Automated Driving Systems in Canada Version 2.0),建立全國一致的最佳實踐準則,以指導配有自動駕駛系統(Automated driving systems, ADS)之車輛能安全地進行實驗。根據從國內外測試活動中取得的經驗及教訓,對安全措施進行更新,內容包括: 一、實驗前的安全考量:探討在開始實驗之前應考量的安全注意事項,包括(1)評估實驗車輛安全性、(2)選擇適當的實驗路線、(3)制定安全管理計畫、(4)安全駕駛員與培訓、(5)民眾溝通及提高意識、(6)確保當地執法單位及緊急應變人員瞭解實驗活動。 二、實驗中的安全管理:討論在實驗過程中應重新檢視的安全考量,包括(1)使用分級方法進行測試、(2)調整安全管理策略、(3)制定事件和緊急應變計畫與步驟、(4)安全駕駛員的角色及職責、(5)遠端駕駛員和其他遠端支援活動的安全考量、(6)在沒有安全駕駛員的情況下進行實驗、(7)與其他道路使用者的安全互動、(8)與乘客的實驗、(9)定期報告及資訊共享。 三、實驗後應注意之事項:在結束其測試活動後應考量的因素,包括報告實驗結果、測試車輛及其部件的出口或處置。如果測試車輛是臨時進口的,則在測試完成後可能需要將其銷毀或捐贈。 該測試指引僅適用於臨時實驗,而非永久的市場部署,加拿大運輸部將繼續更新該測試指引及其他文件和工具,以支持加拿大道路使用者的安全。
歐盟首例 丹麥救濟基金途徑保障遭受基改(Genetically Modified,GM)作物污染的農民歐盟執委會於11月底同意丹麥針對GM作物所提出的賠償方案(compensation scheme),這是歐盟國家中第一個透過法律途徑來保障因GM作物污染而遭受經濟損失的農民的國家。丹麥所提出的賠償方案為當非GM的作物(如有機或是傳統作物)被含有超過0.9%成份的GM作物污染,且限於標示GM與法律未要求應標示之作物有市場價差時,農民即可得到賠償。 歐盟認為賠償方案有助於基改與非基改的共存制度,目前賠償基金主要來源為種植可能導致污染的GM作物的農民所繳納之特別捐,藉由此方案更可以刺激種植GM作物的農民審慎地預防污染的發生,未來賠償基金將改為由私人保險支付。 生物科技在歐盟一直是受爭議之領域,事實上,歐洲人民反GM食品的情緒有增無減,從英國人民關切GM食品的比例逐漸爬升(從2002年的56%提高至現今的61%)即可看出端倪。此外,歐洲食品大廠Heinz與英國的大型超商也都已改用非GM的名義來當為市場銷售工具。不過,也不是所有的歐盟國家中態度都相同,歐盟所進行不下十次的支持或反對GM食品或飼料投票,英國、芬蘭和紐西蘭永遠都是投下支持GM的那一票。