歐盟個資保護委員會公布GDPR裁罰金額計算指引

歐盟個人資料保護委員會 (European Data Protection Board, EDPB)在徵詢公眾意見後,於今(2023)年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」(Guidelines 04/2022 on the calculation of administrative fines under the GDPR)。此一指引,旨在協調各國資料保護主管機關(Data Protection Authorities, DPAs)計算行政罰鍰的方法,以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」(Starting Point)。

時值我國於今(2023)年5月29日甫通過《個人資料保護法》之修法,將違反安全措施義務的行為提高裁罰數額至最高1500萬,金額之提高更需要一個明確且透明的定裁罰基準,因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟,說明如下:

1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時,應分別裁罰;而如以一行為因故意或過失違反數GDPR規定者,罰鍰總額不得超過最嚴重違規情事所定之數額(指引第三章)。

2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別,並界定不同級別的起算金額範圍,個案依照違反GDPR行為嚴重程度決定金額範圍後,尚需考量企業的營業額度以定其確切金額作為裁罰數額起點(指引第四章)。

3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額(指引第五章)。

4.針對各違反行為,參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額,而是對不同違反行為規範了裁罰最高額度上限,EDPB提醒,適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制(指引第六章)。

5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰,必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則,而予以相應調整裁罰額度,而如果有客觀證據表明裁罰金額可能危及企業的生存,可以考慮依據成員國法律減輕裁罰金額(指引第七章)。

EDPB重申其將不斷審查這些步驟與方法,其亦提醒上述所有步驟必須牢記,罰鍰並非簡單數學計算,裁罰金額的關鍵因素應取決具體個案實際情況。

相關連結
你可能會想參加
※ 歐盟個資保護委員會公布GDPR裁罰金額計算指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9024&no=86&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
簡介美國《營業秘密案件管理的司法指引》

2023年7月13日,美國聯邦司法中心(Federal Judicial Center)發布《營業秘密案件管理的司法指引》(Trade Secret Case Management Judicial Guide)。該指引是由美國聯邦司法中心與Berkeley大學合作出版,旨在提供處理聯邦營業秘密訴訟的法官參考,並為訴訟當事人提供營業秘密案件各階段的注意事項。其中特別指出識別營業秘密及證據開示在訴訟中的重要性。 1.在識別營業秘密的部分 《營業秘密案件管理的司法指引》指出在訴訟中,識別應達到「足以與已公開的資訊進行比較」的程度。而識別程度應具備以下兩個要件,包括: (1)使被告了解原告所主張之營業秘密範圍; (2)使被告能確定證據開示項目與本案所涉及之營業秘密間的關聯性。 據此,若原告僅識別其所主張之營業秘密的類別不足以識別其營業秘密。為達到《營業秘密案件管理的司法指南》所要求之識別程度,企業應盤點其擁有的營業秘密並留存產出紀錄,以利後續訴訟中能具體識別其營業秘密。 2.在證據開示的部分 《營業秘密案件管理的司法指引》指出證據開示的範圍會受到不同因素影響,比如各類型的特殊紀錄、個人隱私權是否受到保護等。為了能在證據開示階段取得優勢,企業應與員工簽署協議,明確約定其於機密資訊有外洩之虞時,有權對員工之個人設備等進行調查。 由上述內容可以發現,若要在美國營業秘密案件中取得優勢,建議企業採取識別所擁有的營業秘密、保存產出紀錄、與員工簽署相關協議等措施。關於前述營業秘密管理措施之重要內容,企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」,並進一步了解該如何管理,以降低自身營業秘密外洩之風險,並提升其競爭優勢。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

開放生物技術淺析

Ofcom宣佈將為身障者提供更為便利的電話服務

  英國電信管制機關Ofcom宣布,所有固網與行動電話業者將必須提供更為先進便利的「文字中繼服務(Text Relay Service)給所有聽力或語言障礙的民眾使用。文字中繼服務使聽力或語言障礙民眾能透過電話或文字電話(TextPhone)等設備而能與他人溝通,這項決定意味著所有的手機用戶將有機會獲得一個「下一代(next generation)」文字中繼服務,各種設備將能夠輔助身障者以更快、更流暢的交談速度與他人溝通。   Ofcom在經過文字中繼服務的審查研究後發現,目前的中繼系統以助理作為通話雙方的中介,進行語音與文字的轉換,反之亦然。然而研究發現,通話者對於對話速度的即時性與情感表達的完整性有提昇的需求,現在的系統通話的速度很慢,因為呼叫者只能輪流說話或輸入文字,無法即時快速如正常人一般的溝通。   因此Ofcom決定下一代文字中繼服務,在未來的18個月內將提供顯著的改進,包括:   語音雙向並行傳輸,透過網際網路的連接,允許通訊雙方可隨時插嘴,而無須等到一方的對話結束傳輸。如此將使交談雙方對話流動更快,有更自然的結果,新的服務也將支援更多種類的設備。為了達成這些改進,Ofcom將與產業、身障團體代表進行合作,探討當前和未來中繼服務所需語音辨識技術的精確度和速度的發展。Ofcom也將要求電信業者在未來提供視訊中繼服務,以確保身障者可以使用可靠的、先進的各種中繼服務,以幫助他們更容易溝通。

加州法院判決刪除公司電腦之個人資訊非屬犯罪行為

  美國加州北區聯邦地方法院,於去年(2017年)12月5日做出關於雇員刪除其由公司提供電腦中與公務無關資料是否屬電腦犯罪之判決(United States v. Zeng, 4:16-cr-00172(District Court, N.D. California. 2017).)。   該案情為曾(Zeng)氏為避免其竊取自家公司商業機密行為被揭發,而逕自刪除其在公司提供筆記型電腦內之相關資料。而嗣後仍然被公司發現並報案,於此偵查單位FBI則以曾氏違反電腦詐欺及濫用法案(Computer Fraud and Abuse Act,下稱CFAA)中「未經授權而毀損他人電腦(18 U.S.C. § 1030(1984).).」以美國政府名義(下稱控方)起訴曾氏刪除其犯罪證據之行為。   對於該控訴,被告曾氏以被刪除之電子紀錄與其業務無關,非為公司所有財產為由作為抗辯。此外曾氏同時以其他判決主張毀損電腦之定義應係指由外部傳輸行為所致(如駭客行為),電腦使用者自己刪除行為應不包含之,以及控方未舉證其刪除行為將導致公司有不可回復或無法替代之損害作為抗辯。於此,控方則以刪除行為不應以內容而有所區分作為回應。   在審理期間,承審法官多納托(Donato)氏除參酌控辯雙方證詞外,並特別詢問控方律師指控內容是否會對一般大眾造成其在公用電腦中刪除同類資訊上之顧慮。而控方則以曾氏行為屬特殊情況作為答辯。最後,多納托氏則以控方主張將造成社會恐慌以及控方未提出被告刪除資料行為究竟對公司有何實際損害,判決被告無罪。

TOP