歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應

  歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。

  個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。

  此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

相關連結
相關附件
你可能會想參加
※ 歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8652&no=55&tp=1 (最後瀏覽日:2026/07/17)
引註此篇文章
你可能還會想看
歐盟支付服務指令修正案(PSD2)於2016年1月12日生效

  2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」,並進行廣泛的公眾意見徵詢,舉辦公聽會,最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出,2015年10月歐洲議會通過,今年1月12日生效,預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎,因為本次修正將會大幅提升支付創新應用的發展可能,尤其是行動支付。   PSD2之重大修正包含針對支付服務的內容作出修正,新增第三方支付服務提供人(third party payment service provider,簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取,提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定,TPP服務提供者具備下列義務: 1.確保支付服務使用者的個人化安全資訊不會被其它人取得。 2.以明確的方式向帳戶之支付服務提供者認證自己的身分。 3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。   除此之外,PSD2明確將純粹的技術服務提供者排除於支付機構之範圍,無需適用支付服務指令。   PSD2亦授權EBA發布相關規定制定技術門檻,包含強力的客戶身分認證以及通訊資訊標準。

美國聯邦最高法院判決PTAB就IPR申請是否逾期不立案之決定不得上訴

  依據美國專利法第314(d)條,美國專利商標局(USPTO)作成多方複審程序(Inter Partes Review, IPR)是否立案(institute)之決定,不得上訴。美國聯邦最高法院於2020年4月20日針對Thryv, Inc. v. Click-to-Call Technologies, LP, et al.一案作成判決,認定USPTO下轄之專利審理暨訴願委員會(Patent Trial and Appeal Board, PTAB)依據美國專利法第315(b)條判斷IPR申請是否逾期不立案之決定,同樣屬於第314(d)條不得上訴之決定。   本案源自2012年Click-to-Call公司就其所有的第5,818,836號美國專利(以下簡稱836號專利)向Thryv公司的前身Ingenio, LLC.提起的專利侵權訴訟,Ingenio公司隨即在收到訴狀後一年內針對836號專利向PTAB提出IPR申請,PTAB認定Ingenio公司的申請並未逾期而立案IPR,並最終做成836號專利無效之決定。Click-to-Call公司不服,認為836號專利之侵權訴訟早在2001年即被提起,即便後因雙方和解而撤回,Ingenio公司的IPR申請早已逾越第315(b)條所規定應於被訴後一年內提出IPR申請之期限,進而對PTAB認定本案申請並未逾期而立案的決定提起上訴。   本案前於2018年經聯邦巡迴上訴法院(CAFC)作成判決,認為PTAB依據第315(b)條認定本案尚未逾期而立案IPR之決定為可上訴,並進而認為即便本案曾經起訴後旋即撤回,當時送達之訴狀仍可觸發IPR申請期限的起算,IPR申請期限應以訴狀是否送達(served with the complaint)為準,與訴訟後續是否撤回無關,PTAB就該訴訟經撤回而認定期限未起算並立案IPR之決定,顯然增加法律所無之規定。   不過在聯邦最高法院的判決中,以7票對2票推翻了聯邦巡迴上訴法院的見解,聯邦最高法院引用Cuozzo Speed Technologies, LLC v. Lee一案的見解,認為依據第314(d)條是否立案IPR之決定為不可上訴,係立法者有意設計,使USPTO得以自我檢視並有效清除不良專利。而第315(b)條的立法本意為減少訴訟與IPR程序重疊的資源浪費,若允許對是否立案之決定上訴顯然無益於本條立法目的之達成。因此聯邦最高法院撤銷聯邦巡迴上訴法院的判決並以無上訴管轄權為由駁回Click-to-Call公司之上訴。

英國國家統計局政府資料品質中心發布《政府資料品質框架》

  英國國家統計局(Office for National Statistics)轄下之政府資料品質中心(Government Data Quality Hub)為實踐英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport)發布之《國家資料戰略》(National Data Strategy),於2020年12月3日釋出《政府資料品質框架》(The Government Data Quality Framework),以達成國家資料戰略中「資料基礎(Data Foundation)」之核心目標。該框架提出「資料品質原則」(Data quality principles),旨在解決目前政府資料品質低落的問題。該原則包含以下五點: 一、確保資料品質:機關內部應建立有效的資料治理機制,例如培訓員工具備管理資料的能力、持續改進資料品質等。 二、了解使用者需求:機關應將使用者對資料品質的需求視為優先處理事項。 三、評估資料於資料生命週期各階段之品質:機關應密切關注資料於生命週期各階段之品質,並與使用者及利益關係人交換意見。 四、持續溝通資料品質:機關應持續與使用者交流資料品質現況,提供使用者有效的文件及中繼資料(metadata)。 五、了解造成資料品質低落的主因:分析造成資料品質低落的根本原因,從源頭徹底解決資料品質問題。   英國國家統計局政府資料品質中心希望藉由本框架揭示的資料品質原則,提升政府機關人員主動辨別及解決資料品質問題的能力,以改善政府資料品質、為人民帶來更高品質的資料,釋放資料價值並促進社會經濟發展。

經濟部預告試辦自願性綠色電價計畫(草案)

TOP