奈米產業民間導引規範先行－以美國推動奈米保險機制及自願性計畫法制為例

　　雲端運算具有降低資訊營運成本、資料集中化管理等正面效益，因此，許多事業紛紛選擇將資料轉而儲存至雲端運算設備。 　　事業會評估多項因素做為選擇雲端運算廠商之依據，這些因素包含資料隱私防護程度、權限控管功能等。為提供事業更有效率及精準地選擇雲端運算廠商，紐西蘭個人資料隱私主管機關（Privacy Commissioner）特別諮詢及訪談了當地使用雲端運算的企業及政府單位，彙整其所提供之經驗與意見後，撰寫檢視雲端運算廠商之指導原則。該原則不僅著重於協助中小企業如何有效管理上傳及儲存於雲端運算或其他委外設備儀器資料之隱私及安全性，另還發展出10項檢視要點，提供企業做為選擇評估之自我檢視工具。 　　10項檢視要點分別為：（1）評估事業所能承受之風險等級與擁有之資源，選擇相對應的雲端運算供應商與類型；（2）確認所上傳至雲端運算之資料對於當事人隱私之重要程度；（3）確認事業所需承擔之所有責任；（4）資料傳輸過程與儲存位址之安全維護措施；（5）確認雲端運算供應商條件是否符合資格；（6）確認與雲端運算供應商所簽合約之涵蓋範圍及條件保障；（7）對資料提供者踐行告知義務並建立完善之回應機制；（8）了解資料儲存城市或地點，並確認該地區所提供之隱私保護制度與侵害申訴管道；（9）資料使用及接觸之人員權限管理；（10）雲端運算供應商服務契約終止後資料之處理及提供方式。 　　紐西蘭個人資料隱私主管機關相信，事業必須確保傳輸至雲端運算資料之隱私及安全能受到一定程度之保護，才能避免其商譽及信譽受到損害。

　　紐西蘭隱私專員辦公室日前針對「是否及如何揭露涉及隱私案件之機關（公務機關或非公務機關）名稱」發布政策；該政策自2014年12月1日起生效。 　　根據紐西蘭1993年隱私法的規定，隱私專員可決定公開有助於貫徹隱私法立法意旨的資訊等；只要符合此規定，原則上隱私專員也可揭露涉及所調查隱私案件之機關名稱。據此，紐西蘭隱私專員辦公室即於日前針對是否及如何揭露上述機關名稱制定並公布政策。 　　須說明的是，即使機關確有違法情事，其名稱亦不必然會被揭露，如果有法律上原因或有理由認定不適揭露時，則隱私專員將不會簽署授權揭露之文件。 　　根據該政策，如機關違反隱私法之行為將導致難以回復之損害、其行為將導致嚴重之後果、該機關被認定為故意違反法律、揭露機關名稱有利於公益，或存在不揭露機關名稱將導致同領域、產業之其他機關受到不合理之牽連或不利益等情形時，則違反機關之名稱較可能被揭露。反之，如果僅屬單一事件、機關之行為較不至於致不利影響，或存在揭露機關名稱反不利於公益等情形時，則機關名稱則較可能不會被揭露。

　　英國於2020年1月31日正式脫歐，同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定（Free Trade Agreement, FTA）。然而，美國認定中國大陸華為的5G設備存在資安風險，可能被用於間諜活動進而威脅國家安全，故主張美英貿易合作與情報共享的前提，必須建立在英國排除使用華為5G網路基礎建設之上，對此英國嘗試透過政策研擬，在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心（National Cyber Security Centre, NCSC）於2020年1月28日，即針對使用「高風險供應商（High risk vendors簡稱HRV）」之電信網路，提出風險管理建議，說明如何因應HRV帶來的網路安全風險及挑戰（須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor，必須透過關鍵與否及風險高低兩個變動因素加以細部區分）。目前英國5G及光纖到戶（Fiber To The Home, FTTH）計畫推動處於關鍵階段，NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議，將有助於保護營運商免於外部攻擊，並降低英國電信網路的國家安全風險。 　　NCSC在報告中，針對何謂高風險供應商，及如何管理這些供應商帶來的特定安全風險，提出詳盡判斷標準包括：供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點：包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管，進而與英國法律相抵觸甚至進行外部指導等。 　　又為減少由HRV引起的網路安全風險，NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務，並將高風險廠商供應上限設定為35％，有效進行網路安全風險管理，平衡安全性風險和市場供應多樣化彈性需求。另外，其他具備敏感性的網路營運模式，例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統（BNG / BRAS）等，必須根據具體情況，對HRV進行限制；且不得在與政府營運或重要國家基礎設施，及任何與安全系統直接相關的敏感網路中使用HRV設備。目前，中國大陸華為是英國NCSC唯一認定的HRV廠商，華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制；華為亦需遵守NCSC要求，訂定風險緩解策略，確保產品及服務不致威脅英國網路即國家安全。