歐盟資料保護工作小組修正通過個人資料侵害通報指引

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」

資訊工業策進會科技法律研究所
法律研究員 李哲明
2018年3月31日

壹、事件摘要

  因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或有譯為一般資料保護規則,下簡稱GDPR)執法即將上路,針對個人資料侵害之通報義務,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年2月6日修正通過「個人資料侵害通報指引」(Guidelines on Personal data breach notification under Regulation 2016/679),其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。

貳、重點說明

一、何謂個資侵害?個資侵害區分為哪些種類?

  依據GDPR第4條(12)之定義,個資侵害係指:「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說,個人資料之喪失包括含有控制者(controller)顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密,或經控制者加密,但其金鑰已滅失。依據資訊安全三原則,個資侵害之種類區分為:

  1. 機密性侵害(Confidentiality breach):未經授權、意外揭露或獲取個人資料。
  2. 完整性侵害(Integrity breach):未經授權或意外竄改個人資料。
  3. 可用性侵害(Availability breach):在意外或未經授權之情況下,遺失個人資料存取權限或資料遭銷燬。

二、何時應為通知?

  按GDPR第33條(1)之規定,當個資侵害發生時,在如果可行之情況下,控制者應即時(不得無故拖延)於知悉侵害時起72小時內,依第55條之規定,將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者,不在此限。倘未能於72小時內通報監管機關者,應敘明遲延之事由。

三、控制者「知悉」時點之判斷標準為何?

  歐盟資料保護工作小組認為,當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」(reasonable degree of certainty)時,即應視為其已知悉。以具體事例而言,下列情況均屬所謂「知悉」:

  1. 在未加密個人資料的情況下遺失USB密鑰(USB Key),通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事,惟仍應為通知,因發生可用性侵害之情事,且已達合理確信的程度。

  故應以控制者意識到該密鑰遺失時起為其「知悉」時點。

  1. 第三人通知控制者其意外地收到控制者的客戶個人資料,並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時,即為其「知悉」時點。如:誤寄之電子郵件,經非原定收件人通知寄件者之情形。
  2. 當控制者檢測到其網路恐遭入侵,並針對其系統進行檢測以確認個人資料是否遭洩漏,嗣後復經證實情況屬實,此際即屬「知悉」。
  3. 網路犯罪者在駭入系統後,聯繫控制者以索要贖金。在這種情況下,控制者經檢測系統並確認受攻擊後,亦屬「知悉」。

  值得注意的是,在經個人、媒體組織、其他來源或控制者自我檢測後,控制者或將進行短暫調查,以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況,控制者將不會被視為「知悉」。然而,控制者應儘速展開初步調查,以形成是否發生侵害事故之合理確信,隨後可另進行更詳盡之調查。

四、共同(聯合)控制者之義務及其責任分配原則

  GDPR第26條針對共同控制者及其如何確定各自之法遵義務,設有相關規定,包括決定由哪一方負責遵循第33條(對主管機關通報)與第34條(對當事人通知)之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議,約明哪一方係居主要地位者,或須負責盡到個資侵害時,GDPR所定之通知義務,並載於契約條款中。

五、通報監管機關與提供資訊義務

  當控制者通報監管機關個資侵害情事時,至少應包括下列事項

(GDPR第33條(3)參照):

  1. 敘述個人資料侵害之性質,包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。
  2. 傳達資料保護長(DPO)或其他聯絡人之姓名與聯絡方式,俾利獲得進一步資訊。
  3. 說明個資侵害可能之後果。
  4. 描述控制者為解決個資侵害業已採取或擬採行之措施,在適當情況下,酌情採取措施以減輕可能產生之不利影響。

  以上乃GDPR要求通報監管機關之最基本事項,在必要時,控制者仍應盡力提供其他細節。舉例而言,控制者如認為其處理者係個資侵害事件之根因(root cause),此時通報並指明對象即可警示委託同一處理者之其他控制者。

六、分階段通知

  鑒於個資事故之性質不一,控制者通常需進一步調查始能確定全部相關事實,GDPR第33條(4)爰設有得分階段通知(notification in phases)之規定。凡於通報時,無法同時提供之資訊,得分階段提供之。但不得有不必要之遲延。同理,在首次通報後之後續調查中,如發現該事件業已受到控制且並未實際發生個資侵害情事,控制者可向監管機關為更新。

七、免通報事由

  依據GDPR第33(1)條規定,個資侵害不會對自然人之權利和自由造成風險者,毋庸向監管機關通報。如:該遭洩露之個人資料業經公開使用,故並未對個人資料當事人構成可能的風險。

  必須強調的是,在某些情形下,未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報(監管機關)或通知(當事人),以及安全維護措施之缺乏或不足,以違反第33條或(及)34條與第32條等獨立義務規定為由,而依第83條4(a)之規定,併予裁罰。

參、事件評析

一、我國企業於歐盟設有分支機構或據點者,宜指派專人負責法遵事宜

  揆諸GDPR前揭規定,當個資侵害發生時,控制者應即時且不得無故拖延於知悉時起72小時內,將個資侵害情事通報監管機關。未能履踐義務者,將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元,取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等,均或有於歐盟成員國境內或歐洲經濟區(European Economic Area)當地設立子公司或營業據點。因此,在GDPR法遵衝擊的倒數時刻,指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及,未能及時處置而致罹法典之憾。

二、全面檢視個資業務流程,完備個資盤點與風險評鑑作業,掌握企業法遵現況

  企業應全面檢視業務流程,先自重要核心業務中析出個資作業流,搭配全面個資盤點,並利用盤點結果進行風險評鑑,再針對其結果就不同等級之風險採行相對應之管控措施。此外,於全業務流程中,亦宜採行最小化蒐集原則,避免蒐集過多不必要之個人資料,尤其是GDPR所定義之敏感個資(如:種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料,及遺傳資料的處理,用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等)或犯罪前科資料,俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。

三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認(驗)證,並建置認證資訊公開平台

  鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升,我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應,更有賴政府透過法令(如:修正個人資料保護法)強制要求一定規模以上之企業通過第三方專業驗證,俾消弭風險於日常準備之中。蓋我國具一定規模以上企業,無論其係屬何種業別,一旦違反國際法遵要求,遭致鉅額裁罰,其影響結果將不僅止於單一企業,更將嚴重衝擊該產業乃至於國家整體經貿發展。職是,採法律強制要求企業定期接受獨立、公正及專業第三方認(驗)證,咸有其實益性與必要性。

你可能會想參加
※ 歐盟資料保護工作小組修正通過個人資料侵害通報指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8028 (最後瀏覽日:2023/09/30)
引註此篇文章
你可能還會想看
違反荷蘭資料保護法,Google恐遭罰1500萬歐元

  Google為了提供客製化的廣告服務,利用搜尋引擎、Youtube、Gmail及其他服務,在事前未告知並取得使用者同意的情況下,蒐集人們的資料(包括搜尋紀錄、電子郵件、第三方網站軌跡資料、位置資訊及影片觀看紀錄等)。歐洲各國隱私監管機構對此表示憂心,認為Google恐將以前所未有的規模,掌握使用者的一舉一動,紛紛投入調查工作,並相繼認為Google確實已經違反其內國法。   荷蘭資料保護局(Data Protection Authority, DPA)主席Jacob Kohnstamm於2014年12月15日表示,使用者有權知悉他們在某一平台輸入的資料,其他平台也可以利用它們,並要求Google在合併不同服務所取得的個人資料前,應以跳出不同視窗等方式供使用者點選,俾以取得其明示同意(unambiguous consent),僅只透過一般隱私條款,並不足以提供當事人清楚且一致的資訊(clear and consistent imformation)。   DPA希望Google不要再考驗他們的耐心,並揚言對Google處以1500萬歐元罰鍰,除非它在2015年2月底前完成改善。但面對DPA的最後通牒,Google僅回應,他們已經大幅修正了隱私權政策,很遺憾DPA仍作出這樣的決定,但他們將儘快與歐洲各國隱私監管機構就後續修訂方案進行討論。

英國隱私團體主張eBay違反資料保護法

  英國隱私團體「隱私國際」( Privacy International ,以下簡稱: PI ),於日前向英國「資訊官長辦公室」提出控告( Information Commissioner's Office ,以下簡稱: ICO ),主張英國 eBay 提供的網路拍賣服務,阻撓使用者刪除註冊之個人資料,構成不公平之個人資料處理,違反英國資料保護法 (Data Protection Act) 。   由於 eBay 針對使用者資料之利用除一般註冊資料維護外,還有一個 VeRO 方案,參與此方案的使用者,其使用者 ID 、姓名、地址、電話號碼、電子郵件信箱以及公司名稱等基本資料將會在 eBay 自行判斷有必要用於調查詐欺、智慧財產權侵害或是其他非法活動時被公開,因此, PI 於聲明中主張,「刪除個人資料」功能與該網站之使用者之利益關聯甚鉅。   而「刪除帳號」項目已為多數網際網路服務所預設的帳號管理功能之一,經由 PI 人員實際使用 eBay 網站,窮盡各種搜尋方法,方於「帳戶資訊與付款」 (account information & billing) 項目找到關閉帳戶的選項, PI 指出,一般合理的使用者無法花費大量時間與方法搜尋網站各項功能, eBay 此一行為明顯是為了該公司之利益特意將該功能加以隱藏,以杜絕多數使用者對該項功能的利用,故向 ICO 提出控告。 PI 並指出,未來將對歐洲、美洲及亞洲各主要網站進行類似的調查。

未事先告知即監視員工之通訊 企業被判侵犯個人隱私

  根據2005年一項統計調查指出,員工超過一千人的公司中,36.1%對員工從公司內部外寄的電子郵件加以監視,而同時亦有26.5%的公司正準備對員工由公司內部發送的電子郵件加以監視。若是以員工超過二萬人的公司來看,更有高達40%的公司已然利用過濾科技對員工外寄的電子郵件加以監視,而正準備利用相關科技對員工外寄的電子郵件加以監視的公司亦高達32%。   然而根據歐洲人權法院近日所做出的判決,不論公司是否訂有清楚的員工使用政策,一旦公司並未告知員工其在公司內的通訊或電子郵件往來可能會受到公司的監視,則該公司將可能違反歐洲人權公約(European Convention on Human Rights)。   該案例乃是由於一位任職於英國南威爾斯之卡馬森學院(Carmarthenshire College)的員工—Lynette Copland發現自己的網路使用情形及電話均遭到工作單位之監視,憤而向歐洲法院提出告訴。由於卡馬森學院並未提醒員工在工作場合之電子郵件、電話或其他通訊可能遭到監視,因此Lynette Copland之律師主張當事人在工作場合之電話、電子郵件、網路使用等其他通訊都應具有合理的隱私權期待,而受到歐洲人權公約第8條的保障。歐洲法院判決Lynette Copland可獲得約5910美元之損害賠償以及1,1820美元之訴訟費用。

初探與省思我國法制下之侵權行為適用於非依軌道行駛之自動駕駛車輛之過失內涵

初探與省思我國法制下之侵權行為適用於非依軌道行駛之自動駕駛車輛之過失內涵 資訊工業策進會科技法律研究所 2019年03月15日 壹、事件摘要   於2018年03月18日晚間10時許,美國亞利桑那州(Arizona,下稱Arizona)一名49歲的婦人,遭到配備Uber自動駕駛系統之車輛[1],在運行自動領航模式(Autopilot)下撞擊,雖然該婦人立即送往醫院,但仍回天乏術而在醫院中去世。就在前開事故發生後,Arizona州長Doug Ducey因此下令其暫停測試。[2]   此外,同年12月11日晚間10時許,在我國有一輛配備自動輔助駕駛功能的Tesla,疑似駕駛人精神不濟因而未能及時注意車前狀況,導致車禍發生,雖然肇責是否牽涉Tesla之自動輔助駕駛功能或駕駛人本身有無疲勞駕駛等情事,有待進一步釐清。[3]   綜上,不論測試或道路駕駛,現今社會已不乏具有一定自動駕駛等級之車輛於路上行駛,然而在推廣、研發或應用自動駕駛車輛(下稱自駕車)的同時,若不幸發生類似前開新聞之(車禍)事故時,相關肇事責任究應如何釐清,隨著我國已於2018年12月19日公布無人載具科技創新實驗條例以積極推動自駕車相關應用,更愈顯重要,為解決前開肇事相關疑慮,本文擬針對民事上之「過失」本質,反思自駕車相關應用可能延伸的事故責任,是否因應科技發展而有不同的過失內涵。 貳、重點說明   承上,面對自駕車相關科技與應用的世界洪流,若發生車禍等交通事故時,當事人相關之損害賠償請求,仍大多以民法上之侵權行為作為基礎,雖事故肇因種類眾多,亦常見各類的肇因共同造成事故發生,但本文考量相關議題繁複,以下僅就非依軌道行駛之自駕車、駕駛人過失內涵等框架下依序進行初探與反思: 一、我國侵權行為損害賠償係以行為人有無具抽象輕過失為斷   車禍之發生,若涉及駕駛人之行為者,受有不論財產或人身損害之人而欲請求賠償者,無論係依據民法第184條以下何條侵權行為之規定(即民法第184條第1項前段、同條項後段或第191條之2等規定),請求駕駛自駕車之人賠償,前提均為駕駛人具有過失,差別僅在舉證責任是否由請求權人(受有損害之人)負擔。   承上,既然前開侵權行為之重要成立要件為過失,其具體內容為則為駕駛人之注意義務應至何種程度,然在我國民事過失責任之架構上,有不同程度上之區分,即分別為抽象輕過失、具體輕過失及重大過失三種。申言之,抽象輕過失為欠缺應盡善良管理人之注意者義務;具體輕過失者為欠缺應與處理自己事務為同一注意者;重大過失者為顯然欠缺普通人之注意者[4]。   對此,實務見解[5]以及學者[6]歷來均認侵權行為之過失標準,應以行為人是否克盡客觀化之過失標準─抽象輕過失,倘否,則應負擔過失之賠償責任,是以,就此脈絡推論,自駕車之駕駛人若有違善良管理人注意義務致車禍發生且使他人受損害,即應負損害賠償責任。 二、駕駛人注意義務與自駕車自動駕駛程度間之互動   根據引領世界自駕車標準的領銜者─國際汽車工程師學會(Society of Automotive Engineers International,下稱SAE)所分類之自動化駕駛等級,區分為等級0至等級5(共6個等級),而等級3後之自駕車即開始逐漸將環境監控的任務從駕駛人移轉至車輛本身,而駕駛人僅在特殊條件下,方須接管駕駛車輛,更甚在等級5時是由自駕車在任何狀況下均可自行駕駛,不過在等級2前之等級,環境監控之任務大多在駕駛人身上,自駕車至多僅係協助運行駕駛人之指令[7]。   然而,自駕車駕駛人因車禍所生之侵權行為責任,誠如前述,係以駕駛人存有抽象輕過失作為前提,而過失之本質,則係雖非故意,但按其情節,(1)行為人(駕駛自駕車之人)應或能注意,卻不注意,或(2)雖可預見侵權行為(車禍肇事)之事實發生,但確信不發生[8],就此,在SAE分類等級2以前之自駕車,因監控環境之任務仍由駕駛人負擔,則該類等級自駕車之駕駛人應與一般車輛之駕駛人,負擔相同侵權行為之注意義務內容(或程度),但等級3至等級5自駕車之各式應用情境,車輛行駛環境之相關監控資訊已轉由車輛本身處理、控管,則駕駛人是否對於自駕車之車禍發生,仍具有可預見性,或得注意並防免之,則不無疑慮。 參、事件評析   綜上,本文所提不同等級自駕車,是否當然得以繼續適用傳統民事侵權行為之過失標準判斷駕駛人有無過失,實有相當程度上之衝突,蓋若自駕車之駕駛人對於行車環境資訊已不如駕駛一般車輛時,實難期待駕駛人對於車禍之發生有何預見可能,或在遇見後積極防免結果發生,倘若一概遵循傳統對車禍侵權行為之高注意義務要求─抽象輕過失責任,或將產生使不明瞭或難以預見該事故原因發生之人,卻必須就非因己誤之結果負責,某程度上似有違過失責任之本質,而質變成為無過失之擔保責任。   據此,本文認為,若要解決前開損害發生須有補償或賠償之問題,或可(1)透過保險、基金等方式填補損害,或(2)具體化等級3至等級5自駕車之駕駛人應負何等注意義務,如駕駛人須隨時處於得以接管車輛操作之狀態,使等級3以上之自駕車所應盡之注意義務與傳統侵權行為之注意義務脫鉤處理(3)與商品責任間進行相關的調和等,然而無論如何,對於此等問題或疑慮,究竟應採何方向或多方進行,甚或以其他方式解決,則有待後續更進一步的討論與分析。 [1] Uber於該州進行自動駕駛車輛之測試。 [2] ADOT director's letter to Uber halting autonomous vehicle tests, ADOT, https://www.azdot.gov/media/News/news-release/2018/03/27/adot-director's-letter-to-uber-halting-autonomous-vehicle-tests (last visited Mar. 21, 2019); Ryan Randazzo, Arizona Gov. Doug Ducey suspends testing of Uber selfdriving cars, azcentral, Mar. 26, 2018, https://www.azcentral.com/story/news/local/tempe-breaking/2018/03/26/doug-ducey-uber-self-driving-cars-program-suspended-arizona/460915002/ (last visited Mar. 21, 2019); Ryan Randazzo, Bree Burkitt & Uriel J. Garcia, Self-driving Uber vehicle strikes, kills 49-year-old woman in Tempe, azcentral, Mar. 19, 2018, https://www.azcentral.com/story/news/local/tempe-breaking/2018/03/19/woman-dies-fatal-hit-strikes-self-driving-uber-crossing-road-tempe/438256002/ (last visited Mar. 21, 2019). [3] 蘋果日報,〈台灣首例!特斯拉自動駕駛闖禍 國道上撞毀警車〉,2018/12/12,https://tw.appledaily.com/new/realtime/20181212/1482416/ (最後瀏覽日:2019/03/21)。 [4] 96年台上字第1649號判決。 [5] 19年上字第2476號判例。 [6] 王澤鑑,《侵權行為法》,自版,頁308-309(2011)。 [7] SAE International Releases Updated Visual Chart for Its “Levels of Driving Automation” Standard for Self-Driving Vehicles, SAE International, https://www.sae.org/news/press-room/2018/12/sae-international-releases-updated-visual-chart-for-its-%E2%80%9Clevels-of-driving-automation%E2%80%9D-standard-for-self-driving-vehicles (last visited Mar. 22, 2019). [8] 97年度台上字第864號判決。

TOP