智慧電表的陷阱

　　歐盟於2022年5月30日正式簽署通過「資料治理規則」，同時引入（EU）2018/1724修正案（REGULATION (EU) 2022/868 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance and amending Regulation (EU) 2018/1724），針對資料中介組織及資料利他主義組織業務啟動、營運等註冊程序進行補充。 　　資料治理規則也通稱為資料治理法（Data Governance Act, DGA）。DGA以建立一個可信賴的資料流通環境，達成資料的可利用性，以促進資料可用於各項研究以及創新的商品和服務為目標。 　　DGA中，特別引人注意的是第四章「資料利他主義」（Data altruism）的提出。依據資料治理規則第二條，所謂的資料利他主義係指資料主體基於自願且無償的情況下，同意他人得處理或利用其所持有的個人資料；或資料持有者在不尋求補償的情況下允許他人得利用其所有的非個人資料（non-personal data）。而這些資料利用的目的是以實現公共利益為目標，例如醫療保健、解決氣候變化、改善交通、促進公部門統計資料的產製與應用、改善公共服務、制定公共政策，或是科學研究等。 　　為利於資料利他主義的落實，歐盟希望有明確的的制度設計，藉以促成更多資料主體或資料持有人，在有足夠信任的基礎下，願意將資料無償提供並進行公益目的之利用，進而實現改善生活的目標。 因此，DGA中提出以下作法： 制訂「歐洲資料利他主義同意書」（European data altruism consent form）：該法授權歐盟執委會應在諮詢過歐盟資料保護委員會（European Data Protection Board）以及考慮過DGA新設之歐盟資料創新委員會（European Data Innovation Board）的意見後，制定統一的「歐洲資料利他主義同意書表格」。以此增加資料主體對於資料授權的信任，提高資料主體同意將資料釋出與流通再利用之意願，並為授權或撤銷同意建立法遵明確性。 資料利他主義組織（data altruism organisations）管理機制： (1) 資料利他主義組織採自願註冊制度，而非許可制。在資料利他主義於符合形式登記要件後，並符合非營利、透明性以及滿足保障民眾權利等要求後，於其所屬會員國中註冊以成為公認（recognised）的資料利他主義組織。採自願註冊而非許可制的目的，是希望先以管制密度較低的方式，鼓勵更多組織投入資料利他主義的推動。 (2) 給予已註冊之資料利他主義組織識別標誌：透過相關的認可機制並授予識別標誌，藉此提高資料利他主義組織的可辨識度與信賴度，讓民眾在選擇合作的組織時有所依循。 (3) 透明度要求：為了增加資料主體或資料持有者對該組織的信任度，歐盟也將對資料利他主義組織進行一定程度的監督管理，例如年報編列與管理、是否以清晰易懂方式通知資料主體或資料持有者其資料被利用的目的、需保留資料利用之所有紀錄等。此外，也需要遵守DGA授權歐盟執委會未來訂定的相關補充規範。 　　整體而言，歐盟將資料利他主義的公益精神經由法制化的方式納入歐洲資料治理規則，透過歐洲資料利他主義同意書以及資料利他主義的相關管理規範，降低溝通成本以及建立信任基礎，以增加資料釋出的可能性，進而提升資料被利用的程度，最終達成改善人類福祉的目標。

　　2014年2月12日，美國發表「網路安全框架(Cybersecurity Framework)」，該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成，其蒐集了全球現有的標準、指引與最佳實務作法，最後由國家標準技術局（National Institute of Standard and Technology, NIST）彙整後所提出。 　　本框架主要可分成三大部份： 1.框架核心（Framework Core） 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期，藉由這五項功能的要求項目與參考資訊的搭配運用，可使組織順利進行網路安全管理。 2. 框架實作等級（Framework Implementation Tiers） 共分成局部（Partial）、風險知悉（Risk Informed）、可重複實施（Repeatable）、合適（Adaptive）四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察，瞭解組織目前的安全防護等級。 3. 框架側寫（Framework Profile） 框架側寫係組織依照本框架實際操作後所產出的結果，可以協助組織依據其企業需求、風險容忍度，決定資源配置的優先順序，進一步調整其網路安全活動。 　　此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考，而針對已有建立網路安全架構者，該框架並未意圖取代組織原先的風險管理程序和網路安全計畫，而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。

　　這是客戶的資訊，該資訊如何被使用應為客戶的選擇。」於此一理念下，美國聯邦通訊委員會（Federal Communication Commission，FCC）於2016年10月27日通過了寬頻客戶隱私規定（Broadband Consumer Privacy Rules），該規定要求寬頻網路服務提供者（broadband Internet Service Providers，ISPs）應保護其客戶之隱私，該新通過的隱私規範非禁止使用及分享客戶的資訊，而係給予客戶有更多的選擇去決定自身的資訊該如何被分享及使用。以下簡介規範內容： 一、規範對象：寬頻網路服務提供者及其他電信營運商，例如Comcast、Verizon、AT&T等。規範對象未包含聯邦貿易委員會（Federal Trade Commission，FTC）所管轄的隱私保護措施下的網站或其他邊緣服務商（edge service），例如Google、Facebook、Amazon等。亦未規範寬頻網路服務提供者營運的社交媒體網站或政府監管、加密，執法等問題。 二、 主要規範內容：將ISP所蒐集得使用及分享的資訊分為三類，建立客戶同意要件，分類如下。 （一）敏感性資訊須事前取得客戶肯定地選擇同意加入（opt-in），才得為使用及分享。敏感性資訊包含精確的地理位置、金融資訊、健康資訊、孩童資訊、社會安全碼、網站瀏覽紀錄、app使用紀錄及通訊內容。 （二）非敏感性資訊，例如電子郵件地址或服務層資訊，得使用及分享，惟當客戶選擇退出（opt-out）則不得使用及分享。 （三）同意要件之例外。除了在建立客戶與ISP關係外，針對特定目的將會被推定為已取得客戶同意，包含寬頻服務之提供或針對服 三、 其他重要規範內容：清楚告知客戶收集的資訊、將如何使用、向誰分享；實施合理的資料安全準則；保密性違反之通知。 　　然而針對FCC是否具有相關管制權限，質疑聲浪仍存於本次規範之通過。亦有認為該規範與FTC的管制同時運行將形成疊床架屋，造成社會大眾之混淆。並且該規範未能真實反映網路生態，未將網路公司或社交網站公司列入管制對象，無法真正保護客戶隱私。

　　新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年7月27日發布資料共享指引(GUIDE TO DATA SHARING)，該指引協助組織遵守新加坡2012年個人資料保護法(Personal Data Protection Act 2012, PDPA)，並提供組織內部和組織之間的個資共享指引，例如得否共享個資，與如何應用，以確保符合PDPA共享個資之適當方法；並得將特定資料共享而豁免PDPA規範。該指引共分為三部分，並有附件A、B。 　　指引的第一部分為引言，關於資料共享區分為三種類型探討： 在同一組織內或關係組織間共享 與資料中介機構共享(依契約約定資料留存與保護義務) 與一個或多個組織共享(在不同私部門間、公私部門間) 　　共享包含向一或多組織為利用、揭露或後續蒐集個資；而在組織內共享個人已同意利用之個資，組織還應制定內部政策，防止濫用，並避免未經授權的處理、利用與揭露；還應考慮共享的預期目的，以及共享可能產生的潛在利益與風險。若組織在未經同意的情況下共享個資，必須確保根據PDPA的相關例外或豁免之規定。 　　指引的第二部分則在決定共享資料前應考慮的因素： 共享目的為何？是否適當？ 共享的個資類型為何？是否與預期目的相關？ 在該預期目的下，匿名資料是否足以代替個資？ 共享是否需要得同意？是否有例外? 即使無須同意，是否需通知共享目的？ 共享是否涉及個資跨境傳輸? 　　上述因素還能更細緻對應到附件A所列應思考問題，附件B則有相關作業流程範例。 　　指引的第三部分，具體說明如何共享個資，與資料共享應注意規範，並提供具體案例參考，值得作為組織遵守新加坡個人資料保護規範與資料共享之參考依據。