加拿大公布新的企業個資保護自評工具
加拿大聯邦政府與亞伯達省(Alberta)及英屬哥倫比亞省(British Columbia)的隱私委員會針對一般企業,聯合推出新的個人資料保護自我評量線上工具,該線上工具之內容包括風險管理、政策、記錄管理、人力資源安全、物理安全、系統安全、網路安全、無線、資料庫安全、作業系統、電子郵件和傳真安全、資料完整性和保護、存取控制、信息系統獲取,開發和維護、事件管理、業務連續性規劃、承諾等項目之評估測驗。
聯合制定該線上自我評量工具的隱私委員辦公室表示,該線上工具可用於任何私人組織,特別是小型及中小型企業,而且新的線上工具是針對企業為一全面性的評估,並且該評估的內容十分鉅細靡遺。另外,為了提供使用者於使用該線上工具時的靈活性,故使用者亦可以將重點放在最切合自己的企業的部分,亦即僅選擇其中一項或數項為自我評估的內容即可。
又,該線上自我評量工具會將使用者的自我評估和分析過程的結果做成結論,而使用者可以獲得該分析得出之結論,並將作成之結論用來有系統地為評估組織本身的個人資料保護安全性,並藉以提高個人資料保護的安全。
歐洲聯盟法院(CJEU)2019年10月1日對Planet49案(Case C-673/17)作出裁決。Planet49 GmbH為線上遊戲公司,用戶必須註冊並填寫姓名、地址等資料,點擊「參加」鍵後,會出現兩個選項框,一為「同意接收贊助商及合作夥伴的廣告訊息」,用戶必須勾選此一選項始可參加;另一選項框是「同意將用戶的Cookies用於廣告目的與分析」,此一選項已被預先勾選,而用戶可以取消勾選;在選項旁附有說明(如Cookie的用途等),並告知用戶可以隨時刪除所設置的Cookie。 歐盟法院針對《電子通訊隱私指令》(ePrivacy Directive, ePD)以及《一般資料保護規則》(General Data Protection Regulation, GDPR)進行闡明,重點如下: 一、ePD所要求對於Cookie儲存與使用的「同意」必須符合GDPR的「同意」原則,必須是當事人自願、具體、知情且明確的同意,本案「預先勾選同意」不構成有效同意。 二、「同意」必須特定對象,而不能藉由其他標的加以包裝、暗示,用戶點擊「參加遊戲」不能代表「Cookie的同意」。 三、ePD是對於用戶資料儲存與取得的保護,不論是否涉及「個人資料」均有ePD的適用,而必須取得用戶同意。 四、對於Cookie的使用必須清楚揭露,包括Cookie用途、運作期間、第三方是否有機會取得此一資訊等,以確保用戶確實了解其所為「同意」的內容與範圍。
利用安裝SPYWARE擅自寄送廣告,挨告美國紐約州律師 Eliot Spitzer 4 月 4 日 表示, 他已經 對 Direct Revenue LLC 這家網路公司提出告訴。控訴其秘密安裝上百萬之間諜軟體( Spyware )至網路使用者的電腦中,或利用已安裝於使用者硬碟中之間諜軟體,以彈出視窗方式進行廣告,而其中有很多都屬於色情廣告;這些程式具追蹤網路使用者活動之功能,且一經下載,使用者就極難移除甚至不易察覺。 Spitzer 將此訴訟上訴到紐約州之最高法院,認為 Spitzer 應該為未經使用者同意秘密安裝間諜軟體,或透過已存在的間諜軟體寄送廣告之行為負責。 Spitzer 同時要求 Direct Revenue ,應對其所受之利益和不特定的金錢損害,負擔賠償責任。 去年( 2005 ), Spitzer 也對在洛杉磯的 Intermix Media Inc. 提起告訴。這家公司擁有一個相當受歡迎的 MySpace 的社交網絡網站,卻將間諜軟體隱藏附隨在上百萬的免費程式中,最後 Intermix Media Inc. 因而付了 750 萬美元。 Spitzer 表示這種詐欺的行為對消費者極不公平,且將對利用正當管道行銷的企業以及需要消費者信任的小型網路商家造成損害。 Spitzer 也說到,他將會繼續的與消費者站在同一陣線,與消費者共同為他們的掌控權而戰。 Direct Revenue 網站說明指出,他們已事先取得消費者之同意,而其提供之內容資訊和免費軟體,目的在交換傳遞廣告之功能。
澳洲發布《人工智慧臨床應用指引》提供臨床照護之人工智慧使用合規框架澳洲醫療安全與品質委員會(Australian Commission on Safety and Quality in Health Care, ACSQHC)與衛生、身心障礙及高齡照護部(Department of Health, Disability and Ageing)聯合於2025年8月發布《人工智慧臨床應用指引》(AI Clinical Use Guide),旨在協助醫療人員於臨床情境中安全、負責任使用人工智慧(Artificial Intelligence, AI)。該文件回應近年生成式AI與機器學習快速導入醫療現場,卻伴隨證據不足、風險升高的治理挑戰,試圖在促進創新與確保病人安全之間建立清楚的合規框架。 該指引以臨床流程為核心,將AI使用區分為「使用前、使用中、使用後」三個階段,強調醫療人員須理解AI工具的預期用途、證據基礎與風險限制,並對所有AI產出負最終專業責任。文件特別指出,當AI工具用於診斷、治療、預測或臨床決策支持時,可能構成醫療器材,須符合澳洲醫療用品管理管理局(Therapeutic Goods Administration, TGA)的相關法規要求。 在風險治理方面,該指引明確區分規則式AI、機器學習與生成式AI,指出後兩者因輸出不確定性、資料偏誤與自動化偏誤風險較高,臨床人員不得過度依賴系統建議,仍須以專業判斷為核心。同時,文件要求醫療機構建立AI治理與監督機制,持續監測效能、偏誤與病安事件,並於必要時通報TGA或隱私主管機關。 在病人權益與隱私保護方面,指引強調知情同意與透明揭露,醫療人員須向病人說明AI使用目的、潛在風險及替代方案,並遵循《1998年隱私法》(Privacy Act 1988)對個人健康資料儲存與跨境處理的限制。澳洲此次發布之臨床AI指引,展現以臨床責任為核心、結合法規遵循與風險管理的治理取向,為各國醫療體系導入AI提供具體且可操作的合規參考。 表1 人工智慧臨床應用指引合規流程 使用前 使用中 使用後 1.界定用途與風險。 2.檢視證據與合規。 3.完備治理與告知。 1.AI輔助決策。 2.即時審查修正。 3.維持溝通透明。 1.持續監測效能。 2.標示可追溯性。 3.通報與再評估。 資料來源:AUSTRALIAN COMMISSION ON SAFETY AND QUALITY IN HEALTH CARE [ACSQHC], AI Clinical Use Guide (2025).
以Apple Pay服務捲入營業秘密糾紛案為例,提醒企業合作應留意的機密管控作法2025年8月6日,行動支付技術開發公司Fintiv向喬治亞州北區聯邦地方法院亞特蘭大分院控訴Apple科技公司以詐欺手段竊取Fintiv公司的前身公司CorFire的專屬行動支付技術,違反《保護營業秘密法》(Defend Trade Secrets Act,DTSA)及《喬治亞州營業秘密法》(Georgia Trade Secrets Act,GTSA)等規定,向法院尋求賠償。 Fintiv公司主張Apple公司在2011年至2012年間,以行動支付技術之業務合作為由,與CorFire公司進行多次技術性洽談。Apple公司利用雙方簽訂之保密契約,取得CorFire公司的行動支付技術的詳細實施方案之接觸權限,並要求CorFire公司上傳部分機密資料至Apple公司管理的共享平臺,以促進合作交流關係,最終Apple公司放棄與CorFire公司的合作計畫,Apple公司卻將協商期間所獲技術內容整合,並應用於其在2014年推出的Apple Pay行動支付服務。Fintiv公司進一步主張Apple公司為將Apple Pay商業化,與信用卡處理商及銀行組成企業聯盟,並隱瞞其非法取得技術的真相,宣稱Apple公司自主研發Apple Pay。Fintiv公司指出,Apple公司此舉不僅損害Fintiv公司的合法權益,也嚴重破壞市場競爭秩序。此外,Fintiv公司表示,Apple公司多年來有系統地採取類似策略,如以合作名義獲取其他企業之機密,進而不當使用多項機密以進行商業化使用。 觀察前述實務案例可得知,即使雙方基於保密契約交換機密資料,仍存在終止合作衍生的機密外洩糾紛,如:機密資料歸屬不清、逾越授權範圍使用機密資料等風險。建議企業在「資料提供前」,應先透過「盤點」營業秘密與機密「分級」,確認合適揭露的機密資料,再藉由「審查」機制確認必要揭露的內容;在「資料提供後」,要求他方提供機密資料之「收受證明」以明確歸屬,並在合作關係結束後,要求他方「聲明返還或銷毀機密資料」,以降低他方不當使用機密資料的風險。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋,企業如欲精進系統化的營業秘密管理作法,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)