紐約SHIELD Act

2019年7月25日,紐約州州長Andrew Cuomo簽署防止非法侵入與加強電子資料安全法(Stop Hacks and Improve Electronic Data Security Act, SHIELD Act),就既有的紐約資料事故通知法(Data Breach Notification Law)增訂更嚴格的規範。

該法關於事故通知的部分於2019年10月23日生效,資料安全的規範則是於今(2020)年3月24日生效。同時該法也擴大適用範圍,換言之,只要處理紐約州居民的企業均有該法的適用,以下簡單說明該法重點:

  • 私人資料(Private information)定義
    1. 使用者名稱或電子郵件地址,以及可藉此存取帳戶之密碼或安全性問題及答案。
    2. 個人資料(Personal information,任何可識別該自然人的資料)與社會安全號碼(social security number)、駕照號碼、信用卡卡號等財務帳戶資料、生物資料(包含指紋、聲紋、視網膜或虹膜等)。
  • 資料安全保護要求
    1. 合理行政保護措施,包含「指定至少一個人員協調安全計畫」、「識別合理可預見之內部與外部風險」、「評估保護措施的有效性以控制風險」、「管理與訓練人員瞭解安全計畫及程序」、「選擇能夠維持適當保護措施的服務提供者並於契約內約定之」、「適時調整安全計畫」。
    2. 合理技術性保護措施,包含「評估網路與軟體設計中的風險」、「評估資料傳輸、處理與儲存之風險」、「偵測、預防與應對攻擊及系統故障」、「定期測試與監測關鍵控制措施、系統與程序的有效性」。
    3. 合理物理性保護措施,包含「評估資料刪除銷毀與儲存之風險」、「入侵之偵測、預防與應對」、「避免私人資料於蒐集、傳輸或刪除銷毀期間及後續遭未經授權存取或利用」、「在其商業目的不再需要該私人資料後合理期間內,刪除銷毀該私人資料,使該資料無法被讀取及還原。」
  • 至於「員工少於50人」、「最近三個會計年度,年營業額均少於300萬美元」或「根據GAAP公認會計原則,其年末總資產少於500萬美元」的小型企業(Small Business)則應考量其規模與複雜性,以實施其上述保護措施。
  • 同時該法也擴大既有資料事故定義,修改為「未經授權的存取或取得私人資料」與「未經有效授權而存取或取得私人資料」,而損害私人資料之安全性、機密性與完整性,同時企業發生資料事故,則應依該法規範進行通知或履行相關義務。
  • 違反紐約SHIELD Act,紐約檢察長將可依法處以每次違反最高5,000美元之民事罰款。

關於Cookies同意,你有更好的作法

愛爾蘭資料保護委員會( Irish Data Protection Commission)於今年(2020)4月6日發布cookies與類似追蹤技術利用的報告與指引

根據該報告與指引:

圖一、不好的Cookies同意框

本網站使用Cookies來確保您在我們網站上獲得最佳使用體驗。(了解更多)

圖二、較佳的Cookies同意框呈現方式

我們透過使用Cookie來達到網站最佳使用體驗,包括社交媒體功能與流量分析。點擊接受即表示您同意我們使用cookie。要更改Cookie的類型,請點擊「Cookie設定」

然而愛爾蘭資料保護委員會指出,儘管圖二所敘述的資訊較圖一來的清楚完整,然而在「接受Cookies」與「變更cookies」兩個按鈕間,不應過份強調「接受Cookies」的按鈕。

同時,委員會也強調,Cookies同意框的呈現還需特別注意「避免預先勾選同意框」、「避免使用輕推(nudge)技巧」、「不得為綑綁式同意」、「cookies的保存期間」與「同意的撤回或修改」等事項。

個人資料保護管理制度(PIMS)比較

本文以下簡單比較臺灣國內主流與個人資料保護有關的管理制度(包含ISO2701、ISO27701、TPIPAS與BS10012):

個人資料保護管理制度規範大綱比較:

ISO27001ISO27701TPIPASBS10012
簡介簡介0.前言0.前言
1.適用範圍1.適用範圍1.適用範圍1.範圍
2.引用標準2.引用標準2.版本標示2.參考規範
3.用語及定義3.用語、定義與縮寫
4.一般要求
3.用語與定義3.名詞、定義與縮寫
4.組織全景5.2組織全景4.要求事項
5.管理責任
4.組織全景
5.領導作為5.3領導作為4.要求事項
5.管理責任
5.領導作為
6.規劃5.4規劃4.要求事項6.規劃
7.支援5.5支援4.要求事項
7.文件及紀錄之控管
7.支援
8.運作5.6運作4.要求事項8.運作
9.績效評估5.7績效評估6.有效性量測
8.內部評量
9.1定期檢視
9.績效評估
10.改善5.8改善9.改善10.改善
6.與ISO27002相關
的PIMS指引
7.對PII控制者於
ISO27002附加指引
8.對PII處理者於
ISO27002附加指引

補充說明:TPIPAS全名為台灣個人資料保護與管理制度

個人資料保護管理制度驗證事項比較

ISO27001ISO27701TPIPASBS10012
性質ISMS資訊安全管理系統PIMS個人資料隱私管理系統PIMS個人資料管理系統PIMS個人資訊管理系統
特色著重資訊安全控制項在ISO27001的基礎上架構個人資料隱私管理要求基於我國個資法所制定標準內容偏重歐盟一般資料保護規則GDPR
驗證相關事項可選擇就組織部分流程或組織進行驗證驗證範圍必須通過ISO27001可選擇就組織部分流程或部門進行驗證,然而
全組織通過驗證者,將會
取得我國的資料隱私保護標章dp.mark
可選擇就組織部分流程或組織進行驗證

由上述比較表可以知道,其實目前國內關於個人資料保護管理制度規範內容大同小異,都是以PDCA為基礎的管理制度,因此組織在選擇管理制度與驗證通過需求時,可以考量自身規模、須遵循的法令、成本等因素。

例如該組織業務皆與我國有高度相關,可考慮導入TPIPAS並取得資料隱私保護標章,以證明組織本身個資管理與保護能力,以及符合個人資料保護法,倘選擇以國外法規為基礎的標準,可能導致組織同仁適用上的疑義,以及與我國法規遵循的不一致(例如我國與GDPR對於個人資料與特種個人資料的定義即有不同、GDPR甚至要求組織踐行諸多義務並賦予資料主體各種權利),相比之下,可能增加組織內許多無形的成本。

華盛頓州修正機構違規通知法

華盛頓州州長於2020年3月18日簽署新修正通過的華盛頓州機構違規通知法(Agency Breach Notification Law, Agency Breach Law),該法適用於州內所有各級州與地方機構,包含部門、局、委員會等機構

該修正案將於2020年6月11日生效,本次修正針對機構違規通知法對個人資料(personal information)的要件,增列社會安全號碼(Social security number)後四碼,換言之,只要該個人姓名結合該後四碼或其他諸如駕照號碼、出生日期等資料要素(data elements),即構成該法的個人資料。

新冠肺炎(COVID-19)與資料保護

隨著新冠肺炎(COVID-19)疫情持續在各地爆發,各國衛生主管機關開始尋求透過科技的運用,協助防堵疫情,例如用手機或電子手環定位被隔離者、透過位置資料瞭解感染者足跡等方式,然而在科技防疫措施與個人資料保護(Personal dara protection)兩者之間如何取得平衡,各國個資主管機關亦紛紛提出相關指引,供行政機關與企業組織依循。

歐洲資料保護委員會
歐洲資料保護委員會(European Data Protection Board, EDPB)便於今(2020)年3月19日即針對新冠肺炎(COVID-19)疫情提出看法,表示防疫乃是各國共同的目標,資料保護法規(例如歐盟一般資料保護規則GDPR)並非防疫措施的絆腳石,然而仍應考量對資料主體的個人資料保護。

歐洲資料保護委員會強調防疫措施仍應符合比例原則等一般法律原則,例如雇主僅得於法律允許內要求員工說明或提供必要且有關之健康個人資料。如有員工罹患新冠肺炎(COVID-19),雇主亦得於必要範圍內告知組織內員工相關資訊,並採取防護措施。

愛爾蘭資料保護委員會
愛爾蘭資料保護委員會(Irish Data Protection Commission, DPC)亦於3月6日提出一些意見
1.雇主有法律義務保護員工健康並維護工作場所的安全,因此雇主得要求員工和訪客告知他們是否曾經前往疫區或有相關症狀與診斷。
2.愛爾蘭資料保護委員會認為為維護員工個資機密性,雇主固得向組織內員工有罹患肺炎或疑似罹患之情形,但不應提及受影響的個人。

而在3月25日的新聞稿內,愛爾蘭資料保護委員會也表示,GDPR有相關法定期限與義務的規定,如組織因新冠肺炎(COVID-19)疫情,而影響其回應當事人權利行使之進度,組織得依GDPR延期2個月,組織仍應遵循其法定義務(例如在承辦員工遠距工作時,可以先向當事人提供電子文件,之後有必要再提供紙本)。然而如有相關延誤,委員會作決定時也會充分考量案件事實(組織裁員等)。


關於聯網汽車的隱私保護

隨著汽車越來越聰明的時候,可能會蒐集駕駛者的位置或駕駛風格等資料,主管機關開始注意到聯網汽車的隱私議題,荷蘭資料保護局(De Autoriteit Persoonsgegevens, AP)於今(2020)年3月24日表示其正在評估汽車製造商對於隱私法遵的情形,希望瞭解其處理哪些個人資料、目的為何、與哪些人共享資料以及如何保護這些個人資料。

荷蘭資料保護局先前亦提供消費者關於聯網汽車的隱私保護指引,呼籲消費者在購買、租賃、使用和出售聯網汽車應注意其潛在的隱私風險。

韓國KISA發布「從IoT服務規劃階段著手個人資料保護」指南

韓國訊息安全局(Korea Internet & Security Agency, KISA)因應自動蒐集與利用大量個人資料的物聯網服務侵害個人資料的可能性,於2020年2月19日發布「從IoT服務規劃階段著手個人資料保護」指南

  • 規劃階段:
    1. 檢查服務所需的個人資料。
    2. 在蒐集個人資料時檢查合法性。
  • 設計階段
    1. 僅處理必要的個人資料。
    2. 對每個個人資料處理步驟採取適當安全措施。
    3. 透明揭露個人資料的處理過程與方法。
    4. 使資料主體易於行使權利。
    5. 在向第三方提供個人資料和委託第三方之情形時,向資料主體提供清楚的資訊。
    6. 於資料主體終止服務時應刪除銷毀其個人資料並避免額外蒐集;
    7. 在服務結束時應考量資料主體的權利
  • 服務啟動前的檢查階段
    • 檢查設計中是否反應個人資料保護的措施,並且沒有侵害個人資料的風險。