愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引

  愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。

  此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。

  最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。

相關連結
你可能會想參加
※ 愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=57&tp=1&d=8442 (最後瀏覽日:2025/02/17)
引註此篇文章
你可能還會想看
D.C. Cir. 首次作出認同網路中立性的判決

  2016年6月,美國哥倫比亞特區聯邦巡迴上訴法院(United States Court of Appeals for the District of Columbia Circuit, D.C. Cir.)在United States Telecom Association v. Federal Communications Commission(下稱USTA案)一案,作出認同聯邦通信委員會(Federal Communications Commission, FCC)主張網路中立性的判決,宣告歐巴馬政府在致力於推動網路中立性政策上獲得重要的勝利。這是D.C. Cir在近七年中第三次碰到FCC試圖規範寬頻業者遵循網路中立性相關法規,卻遭受業者挑戰的訴訟。前兩次分別是2010年的Comcast Corp. v. F.C.C.(下稱Comcast案),及2014年的Verizon v. F.C.C.(下稱Verizon案)。   隨著科技的進步與網路的普及,網路成為了現代人生活的必需品,歐巴馬政府認為所有美國公民享有近用高速網路的服務乃是基本權利。因此FCC遂嘗試透過行政命令規範寬頻業者,要求其對於所有網站的流量應平等對待,並禁止供應商提供優惠的網路傳輸快車道予特定對象,寬頻業者與FCC的訴訟之路也由是展開。   在Comcast案中,D.C. Cir.認為當時的FCC,在要求寬頻業者應遵守其於2008年提出之網路中立性的行政命令時,並未適當引用相關法源而判其敗訴。有鑑於此,FCC遂根據美國1996年電信法第706條,發布有關網路中立性的行政命令規範寬頻業者,業者不服便對FCC提出告訴,也就是2014年的Verizon案。接著,D.C. Cir.在Verizon案中同樣作出了FCC之行政命令無效的判決結果。原因是在美國1934年通訊法中,FCC將寬頻服務歸類為資訊服務(information service),因此規範電信業者的行政命令並不適用於資訊服務業者。於是FCC便在2015年2月通過開放網路行政規則(Open Internet rules),重新將寬頻業者歸類為電信服務(telecommunications service),使得寬頻業者得以適用規範電信業者的相關法規。   最後,在USTA案中,D.C. Cir的三人法官小組以2:1的表決作出認同FCC主張的判決結果。該案的判決結果對支持網路中立性的一方,包括歐巴馬政府、消費者而言是個重大的勝利。尤其能在過去曾經兩度作出對FCC不利判決的D.C. Cir獲得成功,對FCC而言,這樣的判決結果更顯意義非凡;惟敗訴的一方也表示他們將不惜上訴至最高法院以尋求最終論斷。

Linux創辦人捍衛商標權

  Linux 創辦人 Linus Torvalds 決心捍衛自己的商標權,並堅稱其要求商標再授權是賠錢生意。   Torvalds 日前委託律師發函給澳洲的 90 家公司,要求他們取銷任何 Linux 名稱的使用,並應向 Linux 商標的授權單位 – 非營利組織 Linux Mark Institute 購買再授權。這些公司必需個別支付 200 美元到 5,000 美元,以取得 Linux 商標的再授權,導致部分開放原始碼社群成員指控 Torvalds 想藉 Linux 的成功大撈一筆。 Torvalds 否認他自己,或任何人因 Linux 商標的再授權而賺錢,因為法律成本遠高於授權費,而律師所發出的通知函,僅是維護一個商標的必要動作。   Torvalds 最近也被人指控偽善,某些開放原始碼社群宣稱他對軟體專利的批評,與他行使專利權的作為互相矛盾, Torvalds 本身並未就此回應。惟反歐盟軟體專利規定的活動領袖,最近還被譽為智慧財產領域最重要人物的 Florian Mueller 表示,商標及著作權與軟體專利不同,軟體專利是有利於反競爭陣營和無產品的敲詐者的有力工具,但著作權和商標大致上獎勵那些創造和銷售真正產品的人,不加區隔地反對智慧財產權,是違法且無意義的;其並警告「反智慧財產激進主義」對開放原始碼的形象有害,某些右翼政客也同意 Bill Gates 的觀點,認為限制智慧財產權等於是共產主義,因此開放原始碼社群有必要將自己和反智慧財產權的觀點脫鉤。

國有研發設施開放近用之法制規範研析-以美日韓規定為核心

歐盟會員國要求分享DNA資料庫

  歐盟十五個會員國為強化對抗恐怖攻擊、跨邊境犯罪及非法遷徙之國際合作,於2007年3月28日提出有關資料分享的立法草案,以期歐盟能夠建立一套資料分享的機制與架構。立法草案明確規範了各成員國就資料保護所應給予的等級,其必須保證個人資料保護必須達到與1980年歐洲理事會(Council of Europe)通過的「保護自動化處理個人資料公約(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)」及其於2001年通過的附加議定書相同等級。   該立法草案係根據「Prüm條約」而來,其條約簽署背景為2004年馬德里的恐怖組織炸彈攻擊事件,有鑑打擊恐怖攻擊及跨國犯罪之國際合作,歐盟七個會員國於2005年5月27日在德國、比利時及盧森堡邊境的城市Prüm,簽訂了該條約。條約中規定,簽署國之警察及刑事追訴機關執法於恐怖攻擊及跨邊境犯罪時,得向他簽署國處理相關資料之單位請求有關DNA之分析資料、指紋及相關車籍資料。   目前,歐盟資料保護監督機構(European Data Protection Supervisor)已背書支持建立該機制與架構,並且聲明表示,該架構之建立,仍應注意資料保護的相關事項,在追求資料分享更為便利的同時,應給予人民更為足夠的保護,再者,資料處理的權責單位對於不同的資料類型,也應以不同的方式處理之,越敏感性的資料越應限制其使用目的,並且讓越少人得以接觸。

TOP