英國資訊委員辦公室首次對違反資料保護案件開罰
英國資訊委員辦公室(Information Commissioner’s Office,ICO)於今(2010)年11月24日首次對違反資料保護案件開罰。
賀福郡理事會(Hertfordshire County Council)員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定,由於賀福郡理事會未能防止兩次資料外洩事件發生,導致嚴重損害,而在首次外洩事件發生後,亦未採取足夠的預防措施避免類似情況發生,因此裁定十萬英鎊之罰鍰。
另一家發生資料外洩事件的人力資源服務公司A4e,則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊,且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為,A4e並未採取適當措施避免資料外洩,且A4e允許其員工將未加密的筆記型電腦帶回家時,已知內含個人資料種類及數量,因此裁定六萬英鎊之罰鍰。
ICO表示,希望本次處罰能對於處理個人資料的機構有所警惕。
ICO今年4月被賦予裁罰權,至於裁罰的標準,則有裁罰指引(fine guidance)可參考。根據裁罰指引,若資料控制者(data controller)故意違反資料保護法(Data Protection Act),或可得而知可能違法之情形,卻未採取適當措施預防之,而可能造成相當損害時,ICO得處以相當罰鍰。
本文為「經濟部產業技術司科技專案成果」
日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下: 1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。 2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。 3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。 4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。 5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。 6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。
日本設置「創新藥品等實用化支援基金」促進創新藥品及再生醫療製劑研發上市日本在2025年2月12日閣議決定「藥機法等部分法律修正案」(原文:医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律等の一部を改正する法律案),送國會本會期審議。其中明文設置「創新藥品等實用化支援基金」,政府預先編列複數年度所需財源,並設有10年時限措施。此項基金業務預定由國立研究開發法人醫藥基盤、健康暨營養研究所(下稱研究所)負責實施,追加創新藥品等實用化支援事業為研究所新業務,並明定至令和18年(2036年)3月31日為止實施,說明如下: (1)為了「創新藥品及再生醫療製劑」(下稱創新藥品等)之實用化,整備研發所必要之具規模的設施及設備,並提供從事於創新藥品等實用化之人得以共同使用,以增加創新藥品等實用化之交流與合作之機會,對於從事此等業務以及其他提供必要支援之事業者(下稱創新藥品等實用化支援事業者),由研究所提供其必要資金及其他支援。 (2)創新藥品等實用化支援事業者欲從事前述支援事業,向厚生勞動大臣提出申請書取得認定。 該基金由政府與製藥企業等共同出資設立,以強化「製藥新創得以創造出創新藥品等之製藥基盤及基礎設施」為目標,對於實施創新藥品等新創進行支援之「創新藥品生態系園區之整備事業者」(例如:育成事業者或製藥企業等),整備育成實驗室(Incubation Lab)、動物實驗設施、臨床試驗用藥製造等設施,以及致力於新創支援之事業者作為補助之對象範圍,明文於實施3年後進行檢討,期能透過此一基金之運作強化創新藥品等之製藥基盤。
微軟向美國專利商標局(USPTO)提出可用以追蹤物體的擴增實境(AR)專利申請依據12月USPTO公開資訊,微軟(Microsoft)於2016年9月2號提出擴增實境(Augmented Reality,以下簡稱AR)系統之美國發明專利申請(申請號:20160373570)。目前AR系統不僅可投射虛擬訊息,還可偵測物理空間之物體位置,不過因為現實生活中,不管是有生命或無生命物體,都不太可能處於完全靜態不動的狀況;而微軟此技術之開發,除了不限於固定空間外,對移動中的物體更具有自動追蹤效果。 微軟專利指出該系統能辨識無生命物體,並可將該物體被選擇為追蹤對象的技術,這個AR系統可持續監測物體的狀態,不僅在同一空間中不同時間點,甚至是物體離開監控空間又被帶回的情況都可追蹤。從微軟專利可以看到這項技術運用在日常生活的價值,如:我們常常花很多時間在想汽車鑰匙和錢包放在哪裡,但透過這個系統的追蹤,可以節省我們找尋的時間;有時我們會忘記家裡的牛奶還剩多少,而花時間去逛超商,倘若我們運用此追蹤技術,能夠隨時知道牛奶剩餘的狀態,就可以避免這種情況的發生。 上開技術不僅包含AR技術,還有虛擬實境(Virtual Reality,簡稱VR)技術,這些技術能透過虛擬與真實世界合併,將真實世界、人類、空間和物體結合,並可進一步的智慧化追蹤,若這項專利被核准且可真實運用到現實生活,必能減少我們的生活中不必要的麻煩。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
美國發布了「消費者隱私權法」草案美國白宮在2015年2月27日發布了「消費者隱私權法」(Consumer Privacy Bill of Rights Act)草案,目的在於擴大消費者資料的保護範圍。 該草案的重點分列如下: 透明性:受規範主體必須提供資訊主體簡潔、明顯、易懂的公告,公告內容必須提供簡潔、明瞭及即時的隱私與安全運作,包含資訊保存、揭露以及個人資料存取機制。 個人控制:受規範主體應該在合理範圍內提供機制,讓資料主體能控制其個人資料之處理,同時也規範應讓消費者撤銷個人資料使用的同意。 注重資料蒐集與合理使用:受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時,在資料蒐集之特定目的完成後的合理時間內,必須針對所蒐集的個人資料進行刪除或是去識別化。 安全性的維護:為了維護個人資料之安全性,以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露,公司機構必須進行安全風險評估,並且採取合理的資訊安全防護措施。 存取與正確性:受規範的公司機構必須提供資訊主體合理的存取權利,同時也應該採取合理的步驟,來維護資料的正確性。 擔負隱私維護的責任:受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。 不受本草案規範之公司機構: 25名員工以下的小型公司,且其處理者僅限於員工與求職者之個人資料。 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼,並符合以下要件之一者: 在12個月內蒐集個人資料筆數在10,000筆下; 5名員工以下。 除了要求產業發展處理消費者資料的標準或規則,該草案也要求「聯邦貿易委員會」(Federal Trade Commission, FTC)確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定,包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」,將會面臨FTC或是州檢察長所發起的法律行動。 該草案引起了產業界極大的反彈,隱私團體也批評該草案太過寬鬆,留給產業界太多自由空間,同時目前國會由共和黨所主導,因此後續立法工作的進行將會面臨極大的挑戰。