隱私暨個人資料保護與管理工具介紹(一)－隱私衝擊分析

　　英國電信主管機關Ofcom於2015年1月提出「促進智慧聯網之投資與創新」報告（Promoting investment and innovation in the Internet of Things），對英國智慧聯網（Internet of things, IOT）之管制發表意見。Ofcom認為就英國發展智慧聯網之現況而言，在商業上確實已經進行智慧聯網發展並投資之，然，並未對複雜的發展做好準備；Ofcom亦承認英國在基礎設施和政府管制架構上，尚未具備適當的發展。於此報告中，Ofcom提出四方向的建議，分別為資料隱私與消費者認識、網路安全與防護、智慧聯網可用之頻譜和電話號碼與網址管理等四項。 　　首先在資料隱私與消費者認識部分，Ofcom認為以現有管制保護智慧聯網下之隱私的效果有限，因此建議英國「資訊專員辦公室」（Information Commissioner's Office , ICO）需要發展未來隱私保護議題之解決方法，並且與政府及其他管制機關就資料隱私之法制議題共同進行，包括將現有之資料保護管制之範圍進行評估，考量是否需涵蓋到所有智慧聯網設施，和訂定智慧聯網資料共享之原則。 　　第二，在網路安全與防護管理上，Ofcom指出英國2003年通訊法（Communication Act 2003）已就服務提供者所提供之公眾可使用的網路與服務，課與特定安全與防護責任；例如網路與服務提供者必須採取適當的手段管理安全風險，尤其需將對終端使用者之影響降至最低、網路提供者必須採取所有適當的程序，盡可能的保護網路安全。然，Ofcom認為智慧聯網並未直接規定於現有的管制中，例如智慧電網設施之高度安全與防護範圍應涵括私人網路；故，應評估必須規定於法律中的智慧聯網網路與服務種類，以達完善防護。 　　再者，關於智慧聯網可用之頻譜議題，著重於用於智慧聯網之技術須改進。目前使用之頻譜在2.4和5GHz（此頻譜亦用於Wi-Fi服務）；而未來的設施也可能使用到1GHz以下的頻譜，同時Ofcom也說明其將來僅會監視頻譜的利用，而不會開放新的可用頻譜。 　　最後，在電話號碼與網址管理方面，就智慧聯網設施之網際網路協定，未來可能會從IPv4發展成為IPv6也是相當重要的。Ofcom認為未來智慧聯網可能會發展成一個「相當大數量且顯著的設施」，故採用IPv6將顯得更為重要；然，就目前而言，英國採用IPv6之情況系落後於其他國家的。 　　Ofcom現正致力於發展新的頻譜管制、數據隱私、網路安全與網址等管制，殊值得繼續觀察以俾利我國智慧聯網管制與發展。

　　2014年2月12日，美國發表「網路安全框架(Cybersecurity Framework)」，該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成，其蒐集了全球現有的標準、指引與最佳實務作法，最後由國家標準技術局（National Institute of Standard and Technology, NIST）彙整後所提出。 　　本框架主要可分成三大部份： 1.框架核心（Framework Core） 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期，藉由這五項功能的要求項目與參考資訊的搭配運用，可使組織順利進行網路安全管理。 2. 框架實作等級（Framework Implementation Tiers） 共分成局部（Partial）、風險知悉（Risk Informed）、可重複實施（Repeatable）、合適（Adaptive）四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察，瞭解組織目前的安全防護等級。 3. 框架側寫（Framework Profile） 框架側寫係組織依照本框架實際操作後所產出的結果，可以協助組織依據其企業需求、風險容忍度，決定資源配置的優先順序，進一步調整其網路安全活動。 　　此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考，而針對已有建立網路安全架構者，該框架並未意圖取代組織原先的風險管理程序和網路安全計畫，而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。

為促進歐洲的數位轉型，歐盟執委會（European Commission）在2023年3月24日於通過數位歐洲計畫（Digital Europe programme, DEP）下的2023~2024年工作計畫，預計投入12.84億歐元於「主要數位歐洲計畫工作計畫」（Main DEP programme）（下稱「主要工作計畫」）及「網路安全工作計畫」（Cybersecurity Work Programme），以延續之前投入之成果，並加強歐盟對抗網路威脅的集體韌性。 實際上歐盟於2018年即提出第一個數位歐洲計畫，並透過數位單一市場策略（Digital Single Market strategy）嘗試建立符合數位特性的監管框架，藉以提高歐盟的國際競爭力，發展及加強歐洲的數位能力。數位歐洲計畫包括五個重點領域：超級電腦（Supercomputers）、人工智慧（Artificial intelligence, AI）、網路安全及信任（Cybersecurity and trust）、數位技能（Digital skills），以及確保數位技術在經濟及社會中被廣泛使用。 前述所說的主要工作計畫，其投入資金為9.095億歐元，重要工作有三。首先，藉由關注氣候和環境保護技術、數據資料、人工智慧、雲端、網路安全、先進數位技能及部署此些技術之最佳方法，並加強歐盟的關鍵數位能力。第二，關注數位公共服務，強調具跨境互操作性（cross-border interoperability）的公部門解決方案（例如歐洲數位身份）。此外，也將透過歐洲數位媒體觀測站（European Digital Media Observatory, EDMO）打擊假訊息，並以InvestEU計畫下的策略數位技術投資平台，重點支持中小及新創企業關注網路安全。 其次，網路安全工作計畫的投入資金為3.75億歐元，由歐洲網路安全能力中心（European Cybersecurity Competence Centre）負責執行，將支援建立國家和跨境安全操作中心的能力，以打造最先進的威脅檢測及網路事件分析生態系統。網路安全工作計畫還將資助產業（特別是中小及新創企業）遵守網路安全法規要求的項目，特別是網路及資訊系統安全指令（Directive on Security of Network and Information Systems, NIS2）或網路韌性法案（Cyber Resilience Act）所要求的內容。 歐盟已在加強數位公共服務、數位技能及網路安全等方面投入許多資源，其中網路安全、資安威脅和打擊假消息等議題因其不受地區限制而更受到注目，未來仍待持續關注此些議題之發展。

　　法國政府本月頒佈一項新法，規定除新聞從業人員外，任何人若利用攝影器材拍攝暴力行為實況，並將影片上傳、散佈於網際網路，將被視為犯罪行為，行為人可處以5年以下的有期徒刑及75,000歐元的罰金。反對者則認為此舉已嚴重侵害人民的自由權。 　　由內政部長Nicolas Sarkozy倡議的新法，是針對所謂的「Happy slapping」加以制定。Happy slapping即是指拍攝暴力行為實況，並將影片上傳、散佈於網際網路的行為；拍攝者原則上就是施加暴力之人，而受害者絕大多數是與拍攝者毫無關係的陌生人，以現況而言，從事Happy slapping多為青少年族群。 　　網路言論維護組織Ligue Odebi表示，新法將使法國成為第一個嚴重侵害表達自由及資訊自由的西方國家，同時也將阻礙人民透過攝影器材揭發警方的暴行。時下風行的影片分享網站如YouTube或法國的Dailymotion.com也將深受新法的影響，主管機關未來將有權要求業者提供網站上影片的來源資料。