西班牙隱私保護專責機構對Google發動刑事制裁程序
西班牙隱私保護專責機構「資料保護專員」(Data Protection Commissioner;一般多以其西班牙文縮寫AEPD簡稱之 ),針對Google街景服務(Street View)攝影過程中不當蒐集網路用戶資訊一事,於2010年10月18日對Google發動刑事制裁程序(criminal sanction procedure)。AEPD於其網站上發表聲明,其已經掌握Google涉及五項犯罪活動的證據,其中包括蒐集Wi-Fi用戶資訊並將相關資料傳送回美國等,AEPD已將相關證據資料提交馬德里法院。
Google街景服務提供全球諸多地區的地理圖片,但此一服務也引發人們對於侵犯個人隱私之擔憂。儘管Google先前已多次針對街景攝影車攫取Wi-Fi用戶未經加密訊息之行為進行道歉,但仍有諸多國家對於Google是否違反內國隱私保護法規展開調查。
此次AEPD採取法律行動前,事實上西班牙網路用戶權利協會已就相同問題Google提起訴訟,而西班牙法院亦於今年8月展開調查。AEPD對外表示,一旦法院認定Google犯罪情事屬實,各個犯罪行為將可處以6萬至60萬歐元之罰金。無獨有偶,加拿大政府亦於10月19日認定Google收集Wi-Fi用戶資料之舉動,屬於違法行為。
郭戎晉
副主任兼應研組組長 編譯整理
Yahoo! News,2010年10月18日,http://news.yahoo.com/s/afp/20101018
/tc_afp/spaininternetitcourtrightsgoogle,最後瀏覽日:2010年10月31日Deutsche Welle,2010年10月19日,http://www.dw-world.de/dw/
article/0,,6125830,00.html,最後瀏覽日:2010年10月31日
PhysOrg.com,2010年10月18日,http://www.physorg.com/news/2010-10-spanish-agency-sues-google-street.html,最後瀏覽日:2010年10月31日
近年隨基因檢測技術成熟及成本下降的影響,基於醫療診斷或照護目的,而對於血液、其他體液、細胞或DNA所進行之基因檢測行為已有逐漸增多的趨勢,惟基因資訊使用本身往往容易觸及倫理、道德或法律層面的爭議,導致專業醫療人員在實際為檢測時容易產生法規遵循上的困難;因此,若能有明確的程序或標準可供依循,將能大幅增進基因檢測技術的商業運用價值。 1. 有鑑於此,三個英國醫療團體-英國皇家內科醫學院(Royal College of Physicians)、英國皇家病理科醫學院(Royal College of Pathologists)及英國人類遺傳協會(British Society for Human Genetics)於今(2011)年9月聯合公布了一份『診療性基因使用行為的同意及秘密性:基因檢測及基因資訊的分享指引』報告書(Consent and confidentiality in clinical genetic practice:Guidance on genetic testing and sharing genetic information)。該建議書之主要目的即在於指引醫療人員在使用基因資料及樣本時,應如何遵循相關的法律規範,包括1998年資料保護法(the Data Protection Act of 1998)及人類組織法(the Human Tissue Act)等;內容上則涵蓋病患同意、基因醫療行為、家族史與醫療資訊的秘密性,以及當病患所提供之基因樣本可能作為研究用途時,應如何告知等事項。 建議書中特別強調當病患選擇接受基因檢測以獲得更好的診療建議時,基因資訊也開始對病患個人及其家族成員帶來的風險。基此,該報告對基因檢測行為提出三項主要建議:1. 基因檢測所得到的家族史及診斷資訊只有在其他家族成員出現健康照護(healthcare)需求時,才能進行共享,且必須在醫療人員不違反保密義務的前提下進行。2. 醫療人員應當告知病患包括基因調查對其近親屬的潛在好處、部分基因訊息可能會提供給家族親屬、基因檢測可能會得到不確定或非預期的發現、其所提供之樣本及基因資訊將如何被運用,以及該樣本若對於該類型之檢測具有相當重要性時,其檢測結果可能會被收錄於國家資料庫以作為未來醫療研究之用。3. 由於醫療干預行為可能會導致基因診斷(genetic diagnoses)結果的改變,所以應該由病患本人或專業醫師直接告知其親屬,此誤差所可能導致的遺傳風險(例如血友病患者的基因診斷結果發生誤差,可能導致其近親屬生下患有血友病的下一代)。 目前基因檢測技術雖已趨向商業化及普及化發展,但由於基因訊息一般被界定為個人隱私資訊,因此在使用、分享及儲存上有相當之限制規範,並造成醫療人員遵循上的難度。而英國皇家內科醫學院等三個醫療團體所公佈的這份指引建議書,在內容上聚焦於告知病患的程序及病患的同意,同時擬定明確的流程圖及同意表格供各醫療人員參考使用,相信對於未來英國基因檢測技術的普及化會有相當正面之幫助。
英國政府公布物聯網設備安全設計報告及製造商應遵循之設計準則草案英國數位文化媒體與體育部於2018年3月8日公布「安全設計:促進IoT用戶網路安全(Secure by Design: Improving the cyber security of consumer Internet of Things)」報告,目的在於讓物聯網設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。此報告經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論,並提出了一份可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則: 不應設定預設密碼(default password); 應實施漏洞揭露政策; 應持續更新軟體; 應確保機密與具有安全敏感性的資訊受到保護; 應確保通訊之安全; 應最小化設備可能受到網路攻擊的區域; 應確保軟體的可信性; 應確保設備上之個資受到妥善保障; 應確保系統對於停電事故具有可回復性; 應監督設備自動傳輸之數據; 應使用戶可以簡易的方式刪除個人資訊; 應使設備可被容易的安裝與維護; 應驗證輸入設備之數據。 此草案將接受公眾意見至2018年4月25日,並規劃於2018年期間進一步檢視是否應立相關法律與規範,以促進英國成為領導國際之數位國家,並減輕消費者之負擔並保障其隱私與安全權益。
英國政府發佈「網路安全規範與誘因評論」,評估是否有必要新增規範或誘因 來加強整體經濟活動中的網路風險管理英國文化、媒體暨體育部(Department for Culture, Media & Sport)於2016年12月21日發佈「網路安全規範與誘因評論」(Cyber Security Regulation and Incentives Review)(下稱本評論),本評論旨在評估新增規範或誘因對於強化整體經濟活動中之網路風險管理的必要性。 本評論的主要結論與建議為: 1.保護公民免於受到犯罪或其它形式的傷害具備明確的公益性,保護個人資料的相關規範亦具有強烈的正當性基礎。 2.有鑑於此,英國政府將藉由施行歐盟「一般資料保護規則」(General Data Protection Regulation,下稱GDPR)來增進整體經濟活動中的網路安全風險管理。英國政府藉由GDPR所課與企業在合理時間內向主管機關通報資料外洩事件之法律義務,以及GDPR在企業違反個資保護義務之罰鍰機制,要求產業界對網路安全的風險管理積極採取行動。 3.英國政府將採取若干措施來增加資料保護與網路安全之間的連結,以強化網路風險的管理。這些措施包括加強資訊委員辦公室(Information Commissioner’s Office),以及國家網路安全中心(National Cyber Security Center)之業務上合作關係、與投資人社群合作來制定網路安全規範,以及經由新的管理者論壇(Regulators’ Forum)與管理者合作,並且彼此分享良好的做法以及網路威脅的資訊等。 4.目前英國政府暫不在GDPR以外訂定其他的一般網路安全規範。
GSM 協會公布未來行動電話市場的規範原則建議在面對未來3G行動通訊市場的激烈競爭中,主管機關應如拿捏管制的強度?GSM協會於2006年2月6日公布未來行動通訊市場的規範原則建議有執法者應持續注意管制干預手段可能造成的成本及效益;管制目標及政策應該被清晰定義,且管制手段應符合最小干預及必要性;管制的內容必須是可公開即可受公評;應以市場現況,並從微觀及宏觀角度進行規範;在發照政策上應鼓勵新進業者對於電信設施的建設並促進有效市場競爭;頻譜的核配應從促進經濟上的效率、有效競爭及從市場結構面進行考量;對於行動通訊網路的限制應基於以科學、技術或確實研究結果,而不以公共顧慮為考量;對於客戶資料的不當用途,應設計安全防範措施等等。