歐盟質疑Google新訂網路隱私權政策服務條款
2012年3月,Google 公告使用者的新網路隱私權政策條款,這項措施將Google 所提供的各項服務適用同一個隱私權政策,並整合多項服務於同一帳號之中,隨著隱私權政策的變動,使用者條款也一併更新,這項措施並同時透過電子郵件通知所有的使用者。然而,Google 此項新政策在歐洲地區實施時卻碰到困難,歐盟表示該隱私權條款適法性受到質疑,將可能受到有關單位的調查。
歐盟資料保護相關指令乃建構基礎架構規制網路使用者個人的隱私,相關機構與業者都必須遵守。關於此項Google 新隱私權政策條款,規定使用者的資料可以合併使用於各個不同的服務中,將可能造成使用者的個人資料將可能透過不同的服務而洩漏,並且遭受第三人使用,而有違反歐盟資料保護指令之虞。針對此問題,法國資料保護管理機構(The Commission Nationale de l'Informatique, CNIL)已對Google 提出詢問,詢問的內容包含Google是如何保存使用者的資料;如何將使用者於不同服務中揭露的資訊加以整合等問題。由於既存的使用者若要繼續使用Google相關服務,就必須同意該新訂隱私權政策條款,因此CNIL也透過此次機會了解使用者退出資料不被揭露的機制內容,以避免使用者在未經同意下個人隱私受到侵害。不過,屆至目前為止,包含英國在內的歐洲各國仍普遍認為,該隱私權政策條款並未充分賦予使用者掌握個人資料的權限。
相較於歐盟,美國聯邦交易委員會(Federal Trade Commission, FTC)對於使用者於使用網路時隱私權的保護,著重於業者隱私權保護的承諾;亦即歐盟著重於隱私權為個人基本權利,而美國普遍要求網路業者能於條款中,明確承諾保護使用者使用網路時的各項權利。無論如何,各國對於保護使用者使用網路服務的原則與概念雖然不同,但對於使用者資訊揭露的透明化要求均為一致。
日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南(下稱《指南》)》,指南分為三大章,第一章為整體資料環境之變化;第二章為資料治理;第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料處理篇,主要為促使企業理解有利活用於數位技術與服務的資料管理方法。 《指南》資料處理篇指出,資料的生命週期涵蓋資料設計、資料蒐集、外部資料連動、資料整合、資料處理、資料提供、資料累積以及資料銷毀等不同階段。《指南》建議在資料生命週期的各階段,盡可能的不要有人類的介入。舉例而言,資料蒐集可以透過感測器或系統進行。該建議的目的在於,人類介入資料生命週期,僅會引起輸入錯誤或是操作錯誤等風險。 此外,《指南》亦於資料處理篇中針對資料治理給出四點建議,分別如下: (一)資料是企業的重要資產,因此應重視其管理方式。管理方式涵蓋帳號密碼、透過生物辨識技術進行資料接觸管理、Log檔之取得、系統設定禁止使用USB等方式。 (二)資料治理的重點在於對人政策。除了向員工強調不要開啟不明網站及釣魚信件以外,企業亦應與員工建立堅實的信賴關係。 (三)資料公開或流通時應注意,如果不希望提供後的資料被二次利用,應於雙方間的資料利用契約中敘明。此外,由於資料具備易於複製及傳輸的特性,因此在公開或流通資料時,應考量適用諸如時戳技術等可確保資料原本性或使資料無法被竄改的數位技術。 (四)資料銷毀如果僅是單純的刪除資料,有透過數位技術找回資料的可能性。因此,除可評估委由專門進行資料銷毀服務的公司協助以外,由於銷毀資料經由個人電腦外洩之事件時有所聞,故亦應留意個人電腦之資料管理。 我國企業如欲將資料活用於數位技術或服務,除可參考日本所發布之《指南》資料處理篇以外,亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,以建立自身資料處理流程,進而強化資料管理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
澳洲發布國家身分韌性戰略所謂「身分」(Identity)是「特徵」(characteristics)或「屬性」(attributes)的組合,可讓個人在特定環境中與其他人區分開來,以證明自己的身分,例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長,線上身分驗證比實體身分驗證更為頻繁,促使犯罪人竊取和濫用身分資訊與資格證明(credentials),使得越來越多人面臨網路犯罪和詐欺的風險,澳洲在2021年時更因為身分竊盜事件橫行,造成超過18億美元的經濟損失。 為此,澳洲資料和數位部長會議(Data and Digital Ministers Meeting, DDMM)於2023年6月23日發布「國家身分韌性戰略」(National Strategy for Identity Resilience),以取代2012年國家身分安全戰略(National Identity Security Strategy),宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力,推動澳洲各州、領地(territory)和聯邦(Commonwealth)採用全國一致的身分韌性方法,使得個人身分難以被竊取,縱然不幸遭竊取,受害人亦能夠輕易自身分犯罪中恢復身分。 該戰略由十項原則組成,包含:(1)無縫接軌的聯邦、州和領地數位身分系統;(2)具包容性的身分辨識機制;(3)個人與公私部門都有各自角色;(4)制定國家實體與數位資格證明標準;(5)建立生物辨識和經同意的身分驗證;(6)便利個人跨機構更新身分資訊;(7)更少的資料蒐集與保存;(8)明確的資料分享協議;(9)資格證明的一致撤銷和重新簽發;(10)明確的問責與責任。搭配短、中、長期的實施規畫,循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。
發展奈米 應避開專利地雷美國知名研究機構雷克斯研究公司 ,九月底 應經濟部邀請,在國際招商論壇上,以「奈米科技的創新與創投」為題,發表專題演講。其副總裁挪登馬修( Matthew M.Nordan )指出,奈米科技的重要性,在於其未來將應用到各個產業上,改變各個產業原有風貌。從創投業者立場,所選擇投資對象,是要能以奈米科技來促進原有產品功能,或能大幅降低原有產品成本。此外,如何避開專利地雷,亦將是各企業在投入奈米科技時,必須正視的問題。 挪登表示,二○○三年全球在奈米科技的相關研究經費約為八十六億美元,其中只有二億美元來自於創投基金,創投業界對奈米科技的投入如此保守,除受到網路經濟泡沫衝擊,主要是因為奈米科技的商品化,還有一段很長的路要走,加上創投業者多半對材料工業比較陌生,業界過去又傳出多起投資失敗的案例,均讓創投業者不敢對奈米科技有大手筆投入。相對於創投業者的保守態度 , 如何判斷優質的奈米科技投資案更形重要 。 其表示,除企業必須提出如何能避開國際已有的「專利地雷」,或取得國際專利的交互授權外,更重要的是,投資人必須瞭解,奈米科技的應用,並不是要開發出一個全新的「奈米產品」,或者應用奈米科技就能帶來超額的利潤,而是能對現存產業,帶來功效的提升或成本的降低。
日本經產省發布中小企業開發IoT機器之產品資安對策指引日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下: 1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。 2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。 3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。 4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。 5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。 6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。