歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應
歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。
個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。
此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
林佩瑩
組長 編譯整理
EUROPEAN DATA PROTECTION BOARD, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021), available at https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf (last visited Apr. 1, 2021).
李哲明,〈歐盟資料保護工作小組修正通過個人資料侵害通報指引〉,2018年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=158&d=8028&no=64 (最後瀏覽日:2021/04/01)。
美國專利商標局在2019年1月4日公布專利適格性審查指南(2019 Revised Patent Subject Matter Eligibility Guidance, 下稱新審查指南)。新審查指南對於如何使用美國最高法院Alice/Mayo測試法第一步驟(步驟2A),判斷專利請求項是否指向司法排除事項(judicial exception),做了兩個主要修改: (1)明確屬於「抽象概念」的排除事項包括:數學概念、組織人類活動的特定方法與心智活動。新審查指南並舉例說明數學概念包括數學關係、公式或方程式;組織人類活動的方法包括基本經濟原則或實踐、商業或法律互動關係,或管理個人行為或人與人之間的關係或互動;心智活動包括人類在心中執行的思想,例如觀察、評估、判斷或意見。根據新審查指南,審查委員不再需要將專利請求項與過去的判例比較來判斷專利標的是否屬於抽象概念。 (2)將判斷請求項是否指向司法排除事項的第一步驟(步驟2A)改為兩階段測試。首先,審查委員評估請求項是否屬於司法排除事項(自然法則、自然現象、抽象概念),若是,要進一步評估請求項是否有其他要素(element)可將該司法排除事項結合到「實際應用」中。若可,則不屬於司法排除事項。若無法將其結合到「實際應用」中,才須進行Alice/Mayo測試法第二步驟(步驟2B)的審查。新審查指南也對其他要素結合司法排除事項的「實際應用」提供例示,包括:反映電腦功能或其他技術的改進、應用該司法排除事項使特定疾病或醫療狀況的治療或預防產生效果、將該司法排除事項用在特定機器或製品中且在請求項中限定使用的機器或製品、使特定物品轉換到另一種狀態或成為另一種物品。 此修改將增加審查委員以抽象概念核駁專利請求項的舉證負擔,審查委員必須闡明為何發明不構成步驟2A中的「實際應用」,還要在步驟2B證明為何該元素屬於已熟知、常規或習知的行為。因此,新審查指南將使審查委員要以抽象概念核駁發明,特別是軟體相關發明的難度變高。 新審查指南已於2019年1月7日生效並徵求公眾意見,後續還可能會發生變化。此外,由於該指南不具有法律約束力,因此法院將如何根據新審查指南評估核准專利之有效性仍有待觀察。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
德國將放寬非基因改造標示法規德國聯邦食品農也消保部(BMELV)發言人宣布,針對非基因改造食品標示制度之修正,今(2008)年初已達成政治協商,未來德國的非基因改造食品標示,將會容許那些在無可得替代產品的情形下而使用了基因改造維他命、添加物或加工輔助用料等基因改造產品之終端食品,標示為非基因改造食品。如此一來,那些使用目前只能以基因改造加工製成之維他命(如維他命B21、lyside等)所飼養之動物,日後動物來源食品以其作為原料時,這些食品將來也可以標示為非基因改造。此修法預計可在明年初完成實施。 德國此次修法目的,實係為了促進食品產業使用非基因改造標示。自從1990年建立非基因改造食品專有之標示制度起,動物來源食品如要作非基因改造標示,必須連在飼養時都使用非基因改造飼料,但食品產業卻表示此規定審為嚴苛且維持基因改造聲明所需的文件繁多,此機制實際上根本難以運用。BMELV為了促進食品產業使用非基因改造標示,遂決定修法放寬標準。 然而,這樣的修法仍然引起部分反對意見,例如德國食品產業聯盟(German food industry federation)即表示,非基因改造標示應當只能給予完全未使用基因改造之產品,其他產品則應使用諸如未含基因改造植物之類的聲明,否則就是誤導民眾之行為。此外,假如標有非基因改造標示的食品以此種方式使用過基因改造材料的話,更可能會折損非基因改造食品標示可性度。
啟動印度專利市場:印度推出國家智財政策草案2014年12月19日,印度官方智財政策智庫公佈草擬的國家智財政策,該智庫成員囊括法官、律師等智財領域專家。草案的主要口號,為打造「創新印度」! 為達成利用智慧財產權,推動國內先進技術發展之目標,配合「國內自產自銷」、「推動數位內容軟實力」等相關政策,草案提出8大智財政策改革面向,包含:「智財意識推廣」、「智財創造」、「新智財法令與法制架構」、「智財管理運用」、「國內創新商業化」、「智財執法」、以及「智財人力培育」等。其中值得注意的,為根據印度專利局資料顯示,印度專利申請案統計中有75%的申請來源為國外,印度智財政策智庫認為,這對國內創新與科技產業、學研機構來說是個警訊,應強化國內研發人員對於商業化與智慧財產權的相關知識;並且,對於促進智財權創造以及技術商業化,草案亦提出研發補助、租稅減免方案,期能增進國內智財創新動能;最後,因應增加國內專利申請數量與品質之目標,提昇國內專利審查能耐,即為必要配合之政策。 我國2013年推出智財戰略綱領至今,已進入第3年,面對國際上瞬息萬變的市場與法制環境,新興市場如印度最新作出之智財政策,對我國政府具有一定參考價值。
巴西通過網際網路公民權法案2014年3月25日,巴西下議院通過編號2126/2011號法案,稱為網際網路公民權力法案(Marco Civil da Internet),是國際少見針對網際網路基本權利的立法例。該法律包含網際網路使用者權利、網路服務業者(ISP)責任、保障網際網路言論自由、保障隱私權、資料所有權及網際網路的普及化。 在數個月前,美國國家安全局被揭露監控全球網路流量的作法,引起國際間的軒然大波。許多國家均表達對於美國侵害其隱私及資訊安全,感到非常不滿。巴西政府自2011年以來,便逐步推動網路網路基本權利保障之立法,經過多年的程序,終於完成此次具代表意義的立法。該法律的規範對象涵蓋使用網際網路之個人、政府及企業,主要目的在保障網際網路的開放性、可接取集中立性。其主要規範重點在言論自由、網路中立性、隱私及個資保護、網路中介者責任等四部分。 在基本言論自由部分,該法律承諾保障言論及表達的自由,促進網路企業的競爭,維護公民使用網際網路的權利,促進網路服務的普及化;在網路中立性方面,則規範ISP不得對於網路內容及應用之傳輸有差別待遇,除非基於安全或技術支援的情形,而ISP進行差別待遇時,必須告知使用者;而在個人資料及隱私保護上,除了配合巴西既有的個資法處理資料收集、分析、處理及利用外,尚規範資訊保存與資訊所有權,對於ISP所保留有關使用者的資訊,除明訂各種隱私資料的保存期限外,也規範必須經過法院授權才能加以調閱,使用者對其資料也擁有所有權,ISP對於使用者資料必須嚴格保密;最後則是網路中介機構的責任,當發現網路上有侵害著作權之傳輸行為時,必須透過法院授權,ISP業者才能加以阻斷或刪除,而相對的,ISP業者只要遵守法院授權,便無需為網路上的侵權行為負擔連帶賠償責任,避免了業者因為用戶的侵權行為而連帶受到賠償責任。 巴西本次制訂的網際網路法律在國際上相對少見,例如其中的網路中立性規範也是屬於國際上少數將網路中立性加以明文規範的國家,對於網際網路上自由的維護可以說是非常的具有示範性。目前,國際上針對網際網路的規範模式也一直爭執未定,加強管制或放鬆管制的聲音也不斷的拉鋸,此次巴西的創新立法也可說相當具有參考性。