紐西蘭IT專家組織2012年5月發布雲端運算實務準則

  紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。

 

  依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。

 

  在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。

 

  在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。

 

  依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。

本文為「經濟部產業技術司科技專案成果」

相關連結
相關附件
※ 紐西蘭IT專家組織2012年5月發布雲端運算實務準則, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=5797&no=67&tp=1 (最後瀏覽日:2026/07/17)
引註此篇文章
你可能還會想看
暴雪公司告《刀塔傳奇》遭駁回,修正訴狀後再提告

  2015年3月,暴雪公司(BLizzard Entertainment)在官網上公開宣稱,手機遊戲《刀塔傳奇》並未經過其授權,而其角色場景均涉嫌抄襲「魔獸爭霸」與「魔獸世界」多項重要角色,其後在美國、大陸台灣等地對《刀塔傳奇》開發商莉莉斯公司提出告訴。而 Courthouse News Service近來指出,美國地方法院於2015年12月17日駁回暴風公司對莉莉斯公司的訴訟。   美國的著作權法不保護虛擬角色,但仍有例外。依據上訴法院在1978年的Halicki Films訴Sanderson Sales and Marketing一案標準,若該虛擬角色具有特別特色(especially distinctive)則可例外予以保護,而特別特色需要有相當證據證明設計者為原告且具有獨特的特徵,方得予以主張。美國地院目前認為而暴雪公司目前提出角色姓名、服裝、武器、背景設定等證據資料,尚無法說明暴雪公司所創角色具有獨特性,故予以駁回。而暴雪公司則於12月22日發出正式聲明,認為現階段並非侵權主張不成立,而是訴訟資料不齊全,並著手提交更詳盡的證據清單,暴雪公司會於修正訴狀後,再提起訴訟。   雖然暴雪公司在美國對莉莉斯訴訟遭受駁回,但其在中國大陸對《刀塔傳奇》代理商與莉莉斯公司所提告訴,已讓蘋果公司(Apple, Inc.)讓《刀塔傳奇》從App store下架;而美國法院判決是否使蘋果公司在中國大陸重新上架《刀塔傳奇》,則有待觀察。

美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護

美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。 本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。 生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。

巴西施行數位兒童及青少年法

巴西於2026年3月17日施行《數位兒童與青少年法》(Estatuto Digital da Criança e do Adolescente, Digital ECA)及相關施行細則,該法目的在於強化18歲以下的未成年使用者在數位環境中的安全及隱私,並打擊針對未成年人的性剝削與誘拐等數位犯罪。該法的規範對象包含所有在巴西營運的數位產品或服務提供者、數位平臺、應用程式商店、作業系統,以及以自然語言互動的生成式人工智慧提供者,規範對象須在巴西設置法律代表。Digital ECA要求規範對象應盡內容審核義務、禁止操縱性設計、建立年齡驗證機制及家長監督規範,Digital ECA規範廣告不得有利用兒童缺乏判斷力的設計,並落實預設安全設計。 Digital ECA要求當數位平臺辨識出涉及性剝削或暴力的犯罪內容時,數位平臺無須經法院核發命令,即應主動立即移除內容並通報「國家通報篩選中心」,此外,數位平臺應提供16歲以下使用者帳號與監護人連動的功能,擁有100萬以上未成年用戶的大型平臺須進行兒少的安全與健康影響風險評估。另一方面,新聞及體育內容提供者有編輯控制權得豁免年齡評估(assessment),若服務滿足「提供兒少適當內容的兒童帳戶」與「配備家長監督過濾系統」,擁有編輯控制權或提供授權內容的服務亦可豁免年齡評估。 Digital ECA的年齡驗證從「使用者自我宣告」轉向「驗證系統」,以防止未成年人接觸不當內容。該法要求應用程式商店與作業系統須免費提供年齡資訊給數位服務提供者,但禁止其揭露具體出生日期或使用者畫像分析。年齡驗證須遵循比例原則、資料最小化、安全性與透明度原則,且禁止將驗證蒐集的個人資料用於其他商業目的,巴西國家保護資料管理局(Autoridade Nacional de Proteção de Dados, ANPD)後續將制定技術要求及指引並進行監管。 近年歐美國家陸續制定青少年及兒童數位保護相關法規,進一步推動年齡評估及數位身分法制政策。在持續變化的數位環境中,避免未成年人接觸非法或有害內容成為保護青少年及兒童的必要手段,各國相關立法例及政策值得持續追蹤。

歐盟執委會提出「具可信度之人工智慧倫理指引」

  歐盟執委會人工智慧高級專家小組(High-Level Expert Group on Artificial Intelligence)於2019年4月8日公布「具可信度之人工智慧倫理指引」(Ethics Guidelines For Trustworthy AI)。該指引首先指出,具可信度之人工智慧需具備三個關鍵特徵:(1)合法(Lawful):應遵守所有適用於人工智慧之法規;(2)合乎倫理(Ethical):確保人工智慧符合倫理原則與價值;(3)健全(Robust):自技術與社會層面觀之,避免人工智慧於無意間造成傷害。   該指引並進一步指出人工智慧應遵守以下四項倫理原則: (1) 尊重人類之自主權(Respect for Human Autonomy):歐盟之核心價值在於尊重人類之自由與自主,與人工智慧系統互動之個人,仍應享有充分且有效之自我決定空間。因此,人工智慧之運用,不應脅迫、欺騙或操縱人類,人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害(Prevention of Harm):人工智慧不應對人類造成不利之影響,亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性,技術上則應健全,且確保不會被惡意濫用。此外,弱勢族群應於人工智慧運用中受到更多關注,並被視為服務對象。 (3) 公平(Fairness):人工智慧系統之開發、布建與利用,必須具備公平性。除了透過實質承諾與規範,進行平等與公正之利益與成本分配外,亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害,並可對人工智慧之自動化決策結果提出質疑,且獲得有效之補救。 (4) 可解釋性(Explicability):人工智慧應盡量避免黑箱(Black Box)決策,其系統處理程序須公開透明,並盡可能使相關決策結果具備可解釋性,分析特定訊息可能導致之決策結果,此外亦需具備可溯性且可接受審核。

TOP