愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。
此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。
最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
張恩若
法律研究員 編譯整理
Guidance for Controllers on Data Security, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-controllers-data-security (last visited Mar. 27, 2020).
張恩若,〈網路隱私設計—從輕推技巧出發〉,《科技法律透析》,第32卷第1期,頁47(2020)。
李億誠,〈歐盟一般資料保護規則(GDPR)裁罰案例解析〉,《科技法律透析》,第31卷第12期,頁26(2019)。
張恩若,〈英國擬加強兒童網路隱私之保護——簡析網路服務適齡設計實務守則草案〉,《科技法律透析》,第31卷第9期,頁8(2019)。
Guidance on the Principles of Data Protection, Data Protection Commission, https://www.dataprotection.ie/en/guidance-landing/guidance-principles-data-protection (last visited Mar. 27, 2020).
淺談台灣行動寬頻覆蓋率議題 科技法律研究所 法律研究員 黃志雯 2013年11月26日 壹、事件摘要 我國4G頻譜拍賣在歷經40天、393回合的「同時多回合上升」競標後,終在2013年10月底結束。這次的競標價金不僅高達1186.5億元外,也加入了國碁電子(鴻海集團)與台灣之星(頂新集團)兩家新進電信業者,使整體產業競爭性提高。預計民眾最快在2014年中時,即可享受靜態1Gbps、行動間100Mbps的高速網路,在無線寬頻的高速下,許多新興服務可孕育而生。 根據我國政府的規劃,4G營運時間越早,無論對產業、或是民眾皆是利大於弊。但是,從我國3G發展經驗可知,行動寬頻基地台建置的普及程度,攸關整體產業發展的關鍵。因此,行政院於今(2013)年11月成立「加速無線寬頻基礎設施小組」,依據電信法第32條第2項的規定,並透過跨部會協調,逐步落實公有建築物開放建設基地台之政策,增加4G業者涵蓋率,督促其儘速開台服務。同時,立法院為讓公有建物建設基地台能順利推行,於同年11月三讀通過修正電信法第32條。依據新修正之條文,未來除了因應輿論認為電磁波可能影響青少年發展,故允許高中職以下學校「得不同意」第一類電信事業設置室外基地台外,其餘公有建築物之主管機關,無正當理由不得拒絕業者申請。 透過落實公有建築物開放的政策,不僅可加速未來4G的發展外、亦可提升既有3G的覆蓋率。除此之外,當4G涵蓋全台後,其高速、穩定的特性將可被視為具有如固網般最後一哩(Last Mile)之效益,進而協助政府克服偏遠地區鋪設寬頻的困境,使全國居民皆可享有網際網路的便利。 貳、重點說明 政府透過落實公有建築開放架設基地台之政策,協助4G業者加速開台義務(5年內達人口涵蓋率50%),更希望能降低協商、架設基地台的成本,減少我國行動寬頻在都會區基地台數量不足、非都會區距離過遠之問題。其實,如何增加行動寬頻涵蓋率,是當前每一個國家致力發展的目標。新加坡與英國政府為了實現無所不在網路的目標,在管制的手段上分別是: (一)新加坡:為了協助電信服務業者可利用建物空間架設通訊設備,達到「行動寬頻訊號戶外覆蓋率99%、室內覆蓋率85%」的目標,新加坡修訂「建築物資通訊設施實施條例」。本條例要求開發商或屋主在建設大型建案時,必須依據建案大小設置「行動通訊設備布放空間」,以提供電信業者使用,增加行動寬頻覆蓋率。本條例落實後,預期可協助4G業者在既定時間內(2.5GHz須最早實現)完成全國、所有捷運/公路隧道內必須可接收4G訊號的要求。 (二)英國:英國為了改善既有行動寬頻涵蓋率,在今(2013)年11月提出5點改善措施。其中,在相關規範上,Ofcom除了直接提高3G業者涵蓋義務、在訊號難以達到區域建設基礎設施、定時提供行動寬頻速率報告,以及與交通部(Department for Transport and Network Rail)共同改善行動寬頻於鐵路、道路的覆蓋率與品質外,Ofcom認為4G寬頻亦扮演重要角色。當時,Ofcom即透過4G頻段拍賣,賦予一張2017年須提供98%人口於室內、95%人口能於英國境內取得行動寬頻服務義務之執照,希冀實現偏遠地區亦能擁有寬頻服務之理想。 參、事件評析 綜合上述,各國為了讓4G覆蓋全國,使所有民眾皆能享有高速、穩定的網路,無不透過兩階段方式,拍賣前賦予部分頻段提前完成涵蓋率普及的義務、拍賣後透過政策、法律協助、要求業者維護網路品質。台灣屬於地狹人稠的國家,行動寬頻業者對政府賦予的涵蓋義務,絕非是行動寬頻發展困境。但是,業者是否可提供如同牌告的速度與品質,一向倍受挑戰。我國3G產生這個問題,除了民眾在居家附近拒絕建置基地台之住抗問題外,其主因亦是在3G拍賣時並未賦予相關頻段義務、在「第三代行動通信業務管理規則」又僅要求涵蓋率達人口50%,導致業者不積極面對都會區基地台數量,少於負荷使用人數的事實;非都會區則是消極處理基地台與使用人距離過遠,造成訊號品質不佳、或是接收不到等問題。 因此,即使這次電信法32條修正後,排除高中職學校得以架設室外基地台,根據我國「行動寬頻業務管理規則」第66條規定,電波涵蓋範圍應達營業區人口50%,合理推測業者可一舉解決都會區架設基地台的問題。但是,在我國4G頻譜拍賣前,並未與新加坡、英國相同,賦予所謂的「黃金頻段」(700MHz)與「帝王頻段」(1800MHz)普及全國(含偏遠地區)之義務。在管理規則涵蓋率僅訂為整體人口50%,將可窺見多數業者終將先行投資都會區,造成部分非都會區仍存有網路延遲、或是難以接收的問題,使4G難以成為全國性最後一哩。 本文認為4G頻譜拍賣結束已成事實,現階段主管機關唯有透過「行動寬頻業務管理規則」第40條第二項第三款的規定,鼓勵業者積極建置偏遠地區高速基地台,並承諾於事業計畫書中。再者,從資通訊科技發展的角度,新加坡強置新建物必須具備、開放「行動通訊設備布放空間」,使業者得以自由建置基地台,對於4G、或是未來5G發展而言,建築物開放使用確實具有前瞻性。不過,在我國民眾目前仍對電磁波有所疑慮的情況下,現階段僅能開放公有建築建置基地台,唯待透過具權威的報告證明電磁波無害、且全民達成一定共識後,我國政府方能逐步推動既有建築開放、或是新建築必須具備「行動通訊設備布放空間」。最後,主管機關除了繼續支持推動相關行動上網速率測速計畫外,關於電信法第32條第1、2項,要求公有建築開放架設基地台,是否要朝向正面表列機關拒絕條款,亦是未來可探討的地方。
美國FDA為因應藥品汙染事故公告四項製藥新指導原則美國食品藥物管理局(the United States Food and Drug Administration,以下簡稱FDA)於2015年2月13日公告四項與藥品製造有關之指導原則(guidance)作為補充相關政策執行之依據,主要涉及藥品製程中,藥品安全不良事件回報機制、尚未經許可之生技產品的處理模式、藥品重新包裝,以及自願登記制度中外包設施之認定應進行的程序與要求。 該四項指導原則係源於FDA依據2013年立法通過之藥物品質與安全法(The Drug Quality and Security Act,以下簡稱DQSA)所制定之最新指導原則。因2012年位於麻州的新英格蘭藥物化合中心(The New England Compounding Center),生產類固醇注射藥劑卻遭到汙染,爆發致命的黴菌腦膜炎傳染事故,故美國國會制定DQSA,以避免相同事故再次發生。DQSA要求建立自願登記制度(system of voluntary registration),倘若製藥廠自願同意FDA之監督,成為所謂的外包設施(outsourcing facilities)。作為回饋,FDA即可建議特定醫院向該製藥廠購買藥品。 而本次四項指導原則之內容,其一主要涉及外包設施進行藥物安全不良事件回報之相關規定,要求製藥廠必須回報所有無法預見且嚴重的藥物安全不良事件。在不良事件報告中必須呈現四項資訊,其中包括患者、不良事件首名發現者、所述可疑藥物以及不良事件的類型。同時,禁止藥品在上市時將這些不良事件標示為潛在副作用。第二份指導原則對於尚未經許可的生技產品,規定可進行混合,稀釋或重新包裝之方法;並排除適用某些類型的產品,如細胞療法和疫苗等。第三份指導原則涉及重新包裝之規定,內容包括包裝地點以及如何進行產品的重新包裝、監督、銷售和分發等其他相關事項。而第四份指導原則規範那些類型之藥品製造實體應登記為外包設施。為此,FDA亦指出聯邦食品藥物和化妝品法(the Federal Food Drug & Cosmetic Act)之規定裡,已經要求製造商從事無菌藥品生產時,必須將法規針對外包設施之要求一併納入考量。
新興產業五年免稅優惠 未來擬改採總量管制鑑於促進產業升級條例 2010 年底屆滿,且立法院在去年底通過所得基本稅額條例(即最低稅負制)時,同步做成附帶決議要求,財經兩部必須在今年年底前完成促產條例減免優惠的檢討,財經兩部已經展開促產條例與相關子法規的修正方向檢討會議, 未來促產條例該不該限縮對產業別的獎勵項目,面對產業持續對外投資的趨勢,租稅獎勵工具是不是該增列「創造就業」指標,做為未來獎勵項目等,都是修法的考量方向之一。 目前促產條例的主要租稅優惠有兩種,除投資抵減之外即為五年免稅,財政部統計,民國 90 年的抵稅總額只有 547 億元,其中科技業享有的減稅優惠就有 276 億元;至 93 年時,產升條例的抵稅總額已經暴升至 1,694 億元,僅高科技業者就抵掉 1,096 億元稅捐。財經兩部預估, 94 年的抵稅額將突破 2,000 億元。由於產業五年免稅優惠被認為過於浮濫,財經兩部正研商未來新興重要策略性產業享有五年免稅的減稅優惠,將採總量管制,企業享有的五年免稅優惠,改朝配額制進行「專案許可」管理,配額一滿即不再提供免稅。 目前促產條例中有關租稅獎勵的認定,採較消極的作法,僅訂定一些適用條件,只要符合促產條例揭櫫或獎勵的產業升級研發或投資在促產條例獎勵的新興策略產業,都適用租稅優惠。業者只要據此向經濟部提出申請,經濟部依慣例,即發給免稅證明。但財政部要求未來應調整為專案許可制,除了基本資格規定外,經濟部應該再成立審查委員會,就每個產業租稅優惠,訂出總量管制,據此准駁。 所謂「專案許可」的總量管制措施,財經兩部初步交換的意見是指,現在明列在新興重要策略性產業五年免稅辦法中的九大產業、 305 項免稅產品,都要依據發展成熟度,訂出適用免稅的家數。家數額滿,同一產業、同性質產品,即使符合五年免稅條件,也不再提供租稅優惠。
美國航空公司控告Google銷售不當的關鍵字廣告美國航空公司(American Airlines, 以下簡稱AA),世界最大的航空公司,控告Google私自銷售包含AA的名稱或註冊商標之搜尋關鍵字 AA日前向德州北區地方法院提出訴訟,控告Google將關於AA的名稱或註冊商標的搜尋關鍵字,如「American Airlines」或「AA.com」,銷售給其它公司作為廣告用途。 AA表示,Google甚至將該等搜尋關鍵字銷售給AA的競爭者。換言之,當使用者於Google搜尋引擎查詢關於前述之AA名稱或註冊商標之關鍵字時,Google除了提供相關連結之外,也可能會在「贊助者連結」中提供AA競爭者的連結,而引導使用者前往其競爭者的網頁。 AA於聲明中指出:「我們希望能減輕此類行為所造成的損害」。截至目前為止,AA並未透露求償金額等細節。 Google則在其聲明中指出:「我們相信本公司的商標政策已經在商標所有人的權益以及消費者的選擇之間取得適當的平衡,並且我們的立場在相關案例的判決中已經被證實是合法的」。