歐盟質疑Google新訂網路隱私權政策服務條款
2012年3月,Google 公告使用者的新網路隱私權政策條款,這項措施將Google 所提供的各項服務適用同一個隱私權政策,並整合多項服務於同一帳號之中,隨著隱私權政策的變動,使用者條款也一併更新,這項措施並同時透過電子郵件通知所有的使用者。然而,Google 此項新政策在歐洲地區實施時卻碰到困難,歐盟表示該隱私權條款適法性受到質疑,將可能受到有關單位的調查。
歐盟資料保護相關指令乃建構基礎架構規制網路使用者個人的隱私,相關機構與業者都必須遵守。關於此項Google 新隱私權政策條款,規定使用者的資料可以合併使用於各個不同的服務中,將可能造成使用者的個人資料將可能透過不同的服務而洩漏,並且遭受第三人使用,而有違反歐盟資料保護指令之虞。針對此問題,法國資料保護管理機構(The Commission Nationale de l'Informatique, CNIL)已對Google 提出詢問,詢問的內容包含Google是如何保存使用者的資料;如何將使用者於不同服務中揭露的資訊加以整合等問題。由於既存的使用者若要繼續使用Google相關服務,就必須同意該新訂隱私權政策條款,因此CNIL也透過此次機會了解使用者退出資料不被揭露的機制內容,以避免使用者在未經同意下個人隱私受到侵害。不過,屆至目前為止,包含英國在內的歐洲各國仍普遍認為,該隱私權政策條款並未充分賦予使用者掌握個人資料的權限。
相較於歐盟,美國聯邦交易委員會(Federal Trade Commission, FTC)對於使用者於使用網路時隱私權的保護,著重於業者隱私權保護的承諾;亦即歐盟著重於隱私權為個人基本權利,而美國普遍要求網路業者能於條款中,明確承諾保護使用者使用網路時的各項權利。無論如何,各國對於保護使用者使用網路服務的原則與概念雖然不同,但對於使用者資訊揭露的透明化要求均為一致。
歐盟為推動歐洲單一市場,在2014年2月26日通過三項新的政府採購指令,包括「一般政府採購指令」、「公用事業政府採購指令」、「特許採購指令」,其修正宗旨主要在於從下列四個改革方向改善採購招標程序: 1.簡化及採用彈性的政府採購程序 2.擴大適用電子招標; 3.改善中小企業參與招標程序; 4.於採購招標程序中納入策略性目的之考量,以實現「歐洲2020策略(European Strategy 2020)」之創新目標。 因此一般政府採購指令第26條明訂,要求會員國應提供除原有之公開招標(open procedure,政府採購指令第27條)、限制性招標(restricted procedure,政府採購指令第28條)程序外,應另外提供創新夥伴(innovation partnerships,政府採購指令第29條)、競爭談判(competitive procedure with negotiation,政府採購指令第30條)及競爭對話(competitive dialogue,政府採購指令第31條)三種程序。 其中最重要者,在於將政府採購視為其達成創新政策之政策工具,在招標程序中推動所謂的創新採購(Public Procurement for Innovation, PPI)及商業化前採購(Pre-commercial procurement, PCP)。 前者係指創新解決方案幾乎或已經少量上市,不需要再投入資源進行新的研發(R&D)工作。而後者則針對所需要改善的技術需求,還沒有接近上巿的解決方案,需要再投入資源進行新的研發。採用競爭方法及去風險,經由一步一步的方案設計、原型設計、開發及首次產品測試來比較各替代方案的優缺點。
日本修訂《教育資訊安全政策指引》以建構安全的校園ICT環境日本文部科學省於2022年3月發布「教育資訊安全政策指引」(教育情報セキュリティポリシーに関するガイドライン)修訂版本,該指引於2017年10月訂定,主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考,本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 (1)增加校務用裝置安全措施的詳細說明: 充實「以風險為基礎的認證」(リスクベース認証)、「異常活動檢測」(ふるまい検知)、「惡意軟體之措施」(マルウェア対策)、「加密」(暗号化)、「單一登入的有效性」(SSOの有効性)等校務用裝置安全措施內容敘述。 (2)明確敘述如何實施網路隔離與控制存取權的相關措施: 對於校務用裝置實施網路隔離措施,並將網路分成校務系統或學習系統等不同系統,若運用精簡型電腦技術(シンクライアント技術)則可於同一裝置執行網路隔離。另外,針對校務用裝置攜入、攜出管理執行紀錄,並依實務運作調整控制存取權措施,例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。
歐盟公布資料保護相關指令適用意見書由歐盟二十七個會員國資料保護主管機關組成的第二十九條資料保護工作小組(The Article 29 Working Party)最近公布其應適用何國資料保護法規之意見書。 歐盟資料保護指令(EU Data Protection Directive)第四條對於蒐集或處理個人資料所應適用之法規有所規範,依該條規定,機構必須依其成立之國別適用該國資料保護法規;機構若於其他國家裝置設備處理資料,則須遵守設備所在地之法令。 隨著全球化的趨勢與新興科技的發展,目前處理資料機構之運作方式已與當初制定指令時有所不同,許多機構在世界各國設置營運點,向全球各地提供各類型服務,尤其是網際網路的發展,使得遠端服務及在虛擬環境下分享個人資訊更為容易,但同時也增加辨識資料處理所在地之困難度,因此工作小組提出該意見書,希望藉此釐清資料保護指令第四條之適用。 工作小組於該意見書中指出,資料保護指令所指的應適用法規,並非資料控制者(data controller)所在地之法規,而是附屬於該資料控制者並實質進行資料處理之機構的所在地法規。蓋因同一資料控制者可能在數國成立附屬機構,在此種狀況下判別適用法規的標準,應視實際上相關資料處理活動的發生地,亦即處理資料機構所在地。 而針對處理個人資料所使用之設備,工作小組表示,即使處理資料之機構並未擁有設備,而使用該設備處理個人資料時,亦可適用指令第四條之規定,需遵守設備所在地之相關法規;但工作小組同時特別釐清,以電信電纜或郵政服務等方式傳輸資料並不會落入資料保護法規之範疇。
Sir Tim Berners-Lee呼籲,開放政府資料(Open Government Data)的持續發展需要政府兌現其承諾開放政府資料(Open Government Data)從2009年美國發起開放政府倡議開始,在全球颳起一陣的旋風,主張公民享有政府資料的權利。這開放資料的浪潮,在2013年由G8工業國簽署開放政府資料憲章(Open Data Charter),約定將以開放為預設(open by default)推動開放政府資料,承諾致力於開放公部門資料、以不收取費用,並採用可再利用格式提供。隨後,G20工業經濟體於2014年跟進,以推動開放政府資料做為反貪腐的利器;聯合國也同時認知,現時亟需資料革命(Data Revolution)以做為實現全球發展的目標。 然而,依據網際網路基金會(World Wide Web Foundation)繼2013年所發布的Open Data Barometer(第一版),於2015年1月再度發布Open Data Barometer(第二版),以開放政府資料的整備、落實、與影響程度三大要素,來檢視與評估86個國家於2014年間對於開政府資料推動的狀況,結果發現仍有90%的資料還是閉鎖在政府機關。 從在資料內容方面來看,僅8%的國家採用開放格式與開放授權釋出核心資料,例如政府預算支出、公共服務執行資料集等,大部分國家仍未真正釋出多數核心資料集,不然就是雖已釋出但卻很難使用;更不用提用得以打擊貪腐和促進公平競爭的資料,如公司註冊、政府契約、土地所有權資料等。在法制與政策規範面,僅17%的國家具有公民對於資料主張權利(the right to information)的相關法制,大多數國家尚未以法律或政策做為課與機關主動積極(proactive)釋出資料的義務(mandated)、實現公民對於資料主張權利的依據,而且多數國家在開放政府資料的規範與程序上,對於個資隱私的保護仍然不足,或仍處於非常不確定的狀態。 為確保資料革命達成通透度和政府的性能,Open Data Barometer研究報告提出下列關鍵步驟,提供各國政府參採: ‧由政府高層承諾將主動積極釋出公部門資料,尤其是得促進問責(accountability)的關鍵資料 ‧持續投入支援與提供培訓,使多數公民社會與企業理解與有效率地使用資料 ‧因應各國需求開發開放資料的工具和方法,例如於在識字率較低的國家,採用視覺化方式呈現資料 ‧支持地方層級開放資料的倡議,以補強國家層級開放政府資料的方案 ‧進行法規調適,以確保公民對於資料主張權利,並於開放資料倡議中加強對於個資隱私保護的基礎 網路發明者與網路基金會創始人Sir Tim Berners-Lee依Open Data Barometer的調查結果,批評政府仍持續迴避開放可用於增強問責與信任的資料,並強調開放資料的強大力量,在於資訊的權利還給公民。 備註: Open Data Barometer群組排名如下: 已開發國家 新興市場國家 開發中國家 1)英國 21)巴西 36)印尼 2)美國 22)墨西哥 39)印度 3)瑞典 33)匈牙利 46)迦納 4)紐西蘭 33)秘魯 46)盧安達 4)法國 36)阿根廷 49)肯亞