歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應
歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。
個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。
此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
林佩瑩
組長 編譯整理
EUROPEAN DATA PROTECTION BOARD, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021), available at https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf (last visited Apr. 1, 2021).
李哲明,〈歐盟資料保護工作小組修正通過個人資料侵害通報指引〉,2018年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=158&d=8028&no=64 (最後瀏覽日:2021/04/01)。
關於SONY ERICSSON (SE)將推出PSP手機(PSP phone)的傳聞始終甚囂塵上,每隔一段時間就會有各種充滿想像力的照片在網路上散佈。美國專利商標局(USPTO)於2008年03月06日公開了SE於2006年08月30日所遞交的新專利申請案。從該申請案的內容中可發現,SE將為市場帶來具有更多新奇功能的PSP手機。 SE的該申請案揭露了一種可攜式行動通訊裝置,其包含全觸控式顯示螢幕、加速度感測器或其他方向感測器以及觸覺回饋(haptics feedback)配備,其可透過軟體分別在PSP以及手機模式下設定以及切換多種功能。特別地,由於該螢幕具有觸覺回饋機制,原本提供觸覺回饋的實體按鍵便可以被省去,因此在實務上,該螢幕可佈滿該通訊裝置的整個表面。 當然,在我們談到前述的加速度感測器、全觸控式顯示螢幕以及透過軟體設定功能的同時,SE並未在該專利申請案中限制該通訊裝置只能為PSP手機。因此,該通訊裝置也可能被設定為隨身聽手機、照相手機或行動網路瀏覽器等。 在這篇專利申請案中的構想與蘋果的iPhone相當類似,除了額外的PSP遊戲功能之外。但,我們不能就此認為SE抄襲蘋果的創意,因為,SE似乎是與蘋果同時發展這個構想的-這篇申請案的申請日期比iPhone的主要專利申請案的公開日期早了一週。
美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突美國目前沒有聯邦的隱私法,由各州訂定州隱私法、產業隱私法,要求企業應揭露資訊以提升資訊透明度,然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法(My Health My Data Act)》的州隱私法,其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料,可用於識別消費者過去、現在或未來的物理或心理健康狀況」,例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」,如零售業者蒐集消費者近期採購的訂單內容(非健康資訊),並透過AI機器學習分析得出消費者可能懷孕的比例及預產期,藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下,導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密,建議企業可先採取: 1.使公司的智財部門與資料保護部門合作,確保公司人員對公司營業秘密標的及範圍的認知一致,並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前,先與消費者簽訂保密契約,並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施,建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
何謂瑞士新創事業計畫(CTI Startup)?新創事業計畫(CTI Startup)於1996年推出,為創業家提供創業輔導服務。該計畫挑選有創新商品想法的年輕企業家,藉由在創業過程中,從旁給予實質指導的方式使創新想法可以落實,成立有競爭力的新創企業。為使補助與輔導資源能夠充分的發揮作用,入選新創事業計畫有非常嚴格的程序,大致可分為四個階段,第一階段CTI會針對申請團隊的想法是否創新、技術上是否可行為標準對商業構想進行初步的篩選,並從旁協助申請者註冊新創事業計畫。完成註冊後,將進入第二階段進行更為具體的專業審查,評估的標準包主要包括技術、市場、可行性與管理團隊的能力等層面。通過審查後,即進入專業指導階段,每一個團隊將被授予一位專業的「創業導師」,在團隊創業的過程中,協助其進一步發展與優化企業的戰略、流程與商業模式,並針對新創企業遇到的具體經營問題給予指導與建議。專業指導階段旨在輔導新創事業取得「CTI新創事業標章」(CTI Startup Label),新創事業標章的審查相當嚴格。
南非提出個人資料保護法草案南非共和國議會在2013年8月22日通過了個人資料保護法修正案(PROTECTION OF PERSONAL INFORMATION BILL),該法案已由總統Jacob Zuma簽署正式成為法律,這也是南非首次全面性的個人資料保護立法 。 該部立法目的在於為促進個人資料的保護,建立全面性的個人資料保護原則。此次提出多項修正,包括 : 1. 設立獨立法人監察機構作為獨立且公正的執行個人資料保護法上職務及權力。 2. 公、私部門僅在特定情形時方可處理個人資料。 3. 蒐集個人資料必須提交予前述獨立法人監察機構。 4. 限制蒐集兒童個人資料,並將哲學、信仰、宗教,種族、民族血統,工會會員,政治觀點,健康,性生活或犯罪前科列為特種個人資料,並加以限制蒐集。 5. 需要處理個人資料者,必須落實保護措施,以保護個人資料為完整之狀態。 6. 發生個人資料外洩情形時,必須通知受影響的當事人以及前述獨立法人監察機構。 7. 要求公、私部門均需指定專責個人資料保護人員。 8. 透過自動傳呼裝置行銷需受到一定程度之限制。 9. 限制跨境傳輸時,限制傳輸收受方必須是至少具備與南非相同個人資料保護水準之區域。 南非之個人資料保護法通過後,對於消費者保障係又提升至另一層次,然該法之施行會對企業造成的衝擊,以及消費者是否可以在修法後獲得實質上的保障,仍待觀察。