英國DECC發佈實施智慧電表對隱私影響評估報告
英國能源與氣候變遷部 (Department of Energy & Climate Change, DECC) 於2012年十二月十二日,依據歐洲執委會於同年三月針對智慧電表系統推展準備所發表的建議 (2012/148/EU: Commission Recommendation of the 9th March 2012 on preparation for the roll-out of SM systems, Section 1.4),公佈其就智慧電表實施計畫對隱私影響的評估 (Privacy Impact Assessment)。
該項評估羅列了十一項面向,分別探討其可能因智慧電表實施對隱私帶的衝擊。這些面向包括有智慧電表為防範非法、未經授權資料近取的安全性管理,中央、地方政府機關及執法單位為他途而對資料的使用,第三人對細部能源消費資料的取得,對電表資料過長時間的保留,及非帳戶持有人對能源消費資料之取得等。
該部部長巴洛妮絲‧菲瑪 (Baroness Verma) 表示: 消費者是最重要的,因此能源與氣候變遷部在推動智慧電表實施的同時,亦致力於隱私、安全、消費者保護及通信等議題的處理。
除此之外,DECC並針對應如何]執行歐盟於同年十月二十五日通過的能源效率指令(Energy Efficient Directive 2012/27/EC) 中,第十條第二項B款所定關於消費者對去過去至少二十四個月能源消費資料應有簡易取得方式之要求,展開公開諮詢的程序。
英國智慧電表的全面推行預計從2014年展開至2019年結束前完成。其是否能在確保公眾能源消費資料不受非侵害或不當利用的前提下,發展各項配套措施以完成這項各國皆欲達成浩大工程,令人期待。
- DEPARTMENT OF ENERGY & CLIMATE CHANGE, Consultation on Implementing the Energy Efficiency Directive Provision for Easy Access to Consumption Data for Consumers with Smart Meters (2012), 6-7 [ pdf ]
- DEPARTMENT OF ENERGY & CLIMATE CHANGE, Smart Metering Implementation Programme: Privacy Impact Assessment (2012), 7-8 [ pdf ]
徐彪豪
法律研究員 編譯整理
Key milestone for smart meters rollout, DEPARTMENT OF ENERGY & CLIMATE CHANGE, Dec. 12, 2012, https://www.gov.uk/government/news/key-milestone-for-smart-meters-rollout (last visited Jan. 28, 2013)
DEPARTMENT OF ENERGY & CLIMATE CHANGE, Smart Metering Implementation Programme: Privacy Impact Assessment (2012), 7-8https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/43044/7226-sm-privacy-ia.pdf (last visited Jan. 28, 2013)
DEPARTMENT OF ENERGY & CLIMATE CHANGE, Consultation on Implementing the Energy Efficiency Directive Provision for Easy Access to Consumption Data for Consumers with Smart Meters (2012), 6-7https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/66616/7245-consultation-on-implementing-the-energy-efficiency.pdf (last visited Jan. 28, 2013)
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。 此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。 最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
芬蘭電子化政府服務採用行動數位簽章為了便利經常透過網際網路與政府打交道的民眾,芬蘭人口登記中心 (The Finnish Population Register Centre) 推出了一項創新的方式,也就是利用行動電話提供網路服務的安全憑證。而 Elisa 是首家與芬蘭人口登記中心合作並提供行動電話使用者身分認證這項服務的電話公司。 由芬蘭第二大行動電話網路公司 Elisa 所推出的第一批載有行動簽章 (mobile signature) 所需之安全憑證的行動電話 SIM 卡正式問世,此種 SIM 卡是以國際高科技集團捷德公司 (Giesecke & Devrient, G&D) 的 UniverSIM 產品為基礎所研發,卡片上載有一張類似我國自然人憑證的公民憑證 (citizen certificate) ,具有簽章功能與加密機制。此種技術屬於行動安全建置 (mobile security architecture) -也就是公開金鑰基礎建設 (PKI) -的一部份,能夠確保身分辨識所需具備的安全性與獨特性。 想要利用這項透過行動電話之數位簽章享受政府服務的民眾 可以在當地警察局登記, 預計在 2005 年底前,芬蘭的 OKO 銀行、社會保險機構、稅務機關以及勞工局等都會利用這個新的行動公民憑證 (mobile citizen certificate) 來提供服務,這將會使芬蘭人民擁有一個全國性數位服務的電子身分證。此舉也使得芬蘭在行動通訊與電子化政府領域的領先地位更形穩固。
軟體安全性缺失成為買賣標的瑞士的網路安全公司WSLabi於2007年7月9日宣佈一項訊息,未來將在線上公開交易或交換一些軟體的安全性漏洞和弱點予軟體相關研究人員、安全代理商和軟體公司,價格從數百美元至數萬美元不等。而此意謂拍賣軟體瑕疵的新興市場即將被打開。 WSLabi公開拍賣軟體弱點與漏洞的作法引起了很大的爭論。以往軟體安全業者於發現軟體的弱點後,會與軟體開發者合作修補安全性弱點和漏洞,待修補完成後再公開宣佈修補軟體安全性弱點之相關訊息。但該公司的新作法將導致軟體公司未來可能因為無法及時修補弱點而商譽受損。因此該項計畫雖尚未實行,卻引起了不同看法的爭辯:支持者表示,此一計畫將有助於改善軟體弱點及安全漏洞的問題,並可鼓勵對於軟體的弱點的深入研究;然反對者卻認為,如果軟體的弱點和安全漏洞因而落入有心人的手中,利用於犯罪或幫助他人犯罪,將會對資訊安全形成極大威脅。再者,把其他公司開發的軟體弱點在市場上交易,可能也會引發道德與合法性的問題。 WSLabi於瞭解這項做法可能引起侵害著作權(重製、散布、販賣軟體等行為)、營業秘密與犯罪防治等法律上的爭議及國家安全的問題後表示,他們將會審慎地過濾選擇買主,不會將研究之結果出售予犯罪者或敵國政府。雖然如此,他們的說法仍引起質疑,畢竟判斷買主是否為善意或確定身份並非易事。