美國提出個人資料安全及外洩通報法草案
華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉,其旨趣,在於統一美國各州不同個資外洩通報法,並嘗試為消費者個人資料之安全及隱私設定全國性的標準。
Pryor法案曾於2007年提出,惟當時未能通過,其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容,在要求處理及儲存消費者私人資訊,諸如「社會安全碼」〈social security numbers〉之企業,一旦發生資料外洩事件,需對國家提出通報,如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險,則應於發現個資外洩六十日內通知受影響之消費者。
Pryor法案之適用對象甚廣,故有認為,該法一旦通過,其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act,簡稱GLBA〉後的模範法典,其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉,但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。
惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度,因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報,但對「損害門檻」並無明確定義。此外,受影響之企業似無實行適當風險評估之誘因,除需耗費大量成本評估外洩事件是否超過損害門檻外,尚需面臨企業名譽受損與客戶不滿之損失,在個資外洩要素風險指導原則付之闕如之情形下,企業恐無法客觀地評估自身個資外洩之風險。故有建議,解決之道,應明定損害門檻,並聘請外部專家或使用市場新工具,訂定客觀的指導原則,使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。
就資訊安全部分,此法案揭櫫於其通過一年內,美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定,要求擁有或處理含有個人資料或契約之企業,必須建立並執行蒐集、使用、出售,及其他傳播、維持個人資訊之資訊安全政策,以達保護個人資料之目的。
美國聯邦通信委員會(FCC)批准,有線電視業者可對其基本電視服務進行完全加密,有線電視用戶將需要向有線電視業者租用機上盒或使用CableCARD的技術,以繼續收看有線電視。在本項新規則發布之前,有線電視業者被禁止在基本服務加密,有線電視用戶不需租用額外設備便能收看基本電視服務內容。業界人士表示,據估計目前約有近5%非法盜接的服務,造成每年約5億美元的收入損失,此一新規則有助於對抗訊號盜接的問題。 同時隨著數位有線電視普及程度的提高,大多數有線電視用戶已經透過機上盒或CableCARD技術收看有線電視,僅少部份用戶可透過特殊裝置接收數位電視基本服務,但因為此種接收方式無須加密,因此存在有盜接的問題,因此有線電視業者希望FCC能夠放寬規定,使業者可將整個有線電視系統均加密傳輸,避免訊號盜接的問題。 然而相對的,一些第三方公司所生產的設備將因為有線電視系統業者的加密,而無法提供低成本的替代裝置,有線電視用戶將必須向有線電視公司租用機上盒,部份第三方公司生產的機上盒具有DVR功能,如果系統業者完全加密他們的內容,這些第三方設備的生產將必須花費額外的成本與時間與系統業者協商。有線電視業者如Comcast自然是抱持樂觀其成的看法,全系統加密使業者可在遠端管理電視訊號之播送,而無須至消費者家戶進行,可節省人力與成本。
歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含: 今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障? 而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)? 於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」
英國資料倫理與創新中心提出「議題速覽-深度偽造與視聽假訊息」報告英國資料倫理與創新中心(Centre for Data Ethics and Innovation, CDEI)於2019年10月發布「議題速覽-深度偽造與視聽假訊息」報告(Snapshot Paper - Deepfakes and Audiovisual Disinformation),指出深度偽造可被定義為透過先進軟體捏造特定人、主題或環境樣貌之影片或聲音等內容。除取代特定主體之臉部外,其亦具備臉部特徵重塑、臉部生成與聲音生成之功能。而隨相關技術逐漸成熟將難辨網路視聽影像之真偽,故CDEI指出有必要採取相關因應措施,包含: 一. 立法 許多國家開始討論是否透過訂立專法因應深度偽造,例如紐約州眾議院議員提出法案禁止特定能取代個人臉部數位技術之應用,美國國會亦有相關審議中草案。然而,縱有法律規範,政府仍無法輕易的辨識影片製造者,且相關立法可能抑制該技術於正當目的上之應用,並導致言論自由之侵害,故未來英國制定相關制度之制定將審慎為之。 二. 偵測 媒體鑑識方法於刑事鑑識領域已實行多年,其也可以運用於辨識深度偽造。媒體鑑識方法之一為檢查個體是否有物理上不一致之現象,以認定特定證物是否經竄改,包括拍攝過程中被拍攝對象是否眨眼,或皮膚上顏色或陰影是否閃爍。雖目前英國相關鑑識專家對於媒體鑑識方法是否可辨識深度偽造仍有疑義,惟相關單位已經著手發展相關技術。 三. 教育 教育亦為有效因應深度偽造之方法。目前許多主流媒體均開始喚起大眾對於深度偽造之意識,例如Buzzfeed於去年即點出5個方法以辨認有問題之影片。科技公司也開始投入公眾教育,提高成人網路使用者對於假訊息與深度偽造之辨識,然而報告指出其成效仍有待觀察。
網路數位內容權利保護,牽涉各方角力iPod的成功,塑造了網路數位內容傳播的新商業模式,但對著作人權利保護團體來說,新科技與新產品對著作權人的權利會造成怎樣的影響,則是他們所高度關心的。 目前,著作權權利團體包括「美國唱片協會」(RIAA)與「美國電影協會」(MPAA)正在美國推動一項立法,希望透過法律的規定,限制未來數位媒體接收設備的若干科技發展。依法案推動者目前的構想,任何設備如能對於從數位網路上接收或下載的數位內容做任意的修改,便可能構成違法。共和黨籍參議員史密斯(Senator Gordon Smith)已表明支持此項立法。 此一立法運動,已引起各界高度的關注,包括科技廠商及民間組織在內,也表示質疑的態度。如何在保護著作權人權利與促進新科技發展之間,取得一個適當的平衡點,會是一個愈來愈重要的議題。