英國DECC發佈實施智慧電表對隱私影響評估報告
英國能源與氣候變遷部 (Department of Energy & Climate Change, DECC) 於2012年十二月十二日,依據歐洲執委會於同年三月針對智慧電表系統推展準備所發表的建議 (2012/148/EU: Commission Recommendation of the 9th March 2012 on preparation for the roll-out of SM systems, Section 1.4),公佈其就智慧電表實施計畫對隱私影響的評估 (Privacy Impact Assessment)。
該項評估羅列了十一項面向,分別探討其可能因智慧電表實施對隱私帶的衝擊。這些面向包括有智慧電表為防範非法、未經授權資料近取的安全性管理,中央、地方政府機關及執法單位為他途而對資料的使用,第三人對細部能源消費資料的取得,對電表資料過長時間的保留,及非帳戶持有人對能源消費資料之取得等。
該部部長巴洛妮絲‧菲瑪 (Baroness Verma) 表示: 消費者是最重要的,因此能源與氣候變遷部在推動智慧電表實施的同時,亦致力於隱私、安全、消費者保護及通信等議題的處理。
除此之外,DECC並針對應如何]執行歐盟於同年十月二十五日通過的能源效率指令(Energy Efficient Directive 2012/27/EC) 中,第十條第二項B款所定關於消費者對去過去至少二十四個月能源消費資料應有簡易取得方式之要求,展開公開諮詢的程序。
英國智慧電表的全面推行預計從2014年展開至2019年結束前完成。其是否能在確保公眾能源消費資料不受非侵害或不當利用的前提下,發展各項配套措施以完成這項各國皆欲達成浩大工程,令人期待。
- DEPARTMENT OF ENERGY & CLIMATE CHANGE, Consultation on Implementing the Energy Efficiency Directive Provision for Easy Access to Consumption Data for Consumers with Smart Meters (2012), 6-7 [ pdf ]
- DEPARTMENT OF ENERGY & CLIMATE CHANGE, Smart Metering Implementation Programme: Privacy Impact Assessment (2012), 7-8 [ pdf ]
徐彪豪
法律研究員 編譯整理
Key milestone for smart meters rollout, DEPARTMENT OF ENERGY & CLIMATE CHANGE, Dec. 12, 2012, https://www.gov.uk/government/news/key-milestone-for-smart-meters-rollout (last visited Jan. 28, 2013)
DEPARTMENT OF ENERGY & CLIMATE CHANGE, Smart Metering Implementation Programme: Privacy Impact Assessment (2012), 7-8https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/43044/7226-sm-privacy-ia.pdf (last visited Jan. 28, 2013)
DEPARTMENT OF ENERGY & CLIMATE CHANGE, Consultation on Implementing the Energy Efficiency Directive Provision for Easy Access to Consumption Data for Consumers with Smart Meters (2012), 6-7https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/66616/7245-consultation-on-implementing-the-energy-efficiency.pdf (last visited Jan. 28, 2013)
世界經濟論壇(World Economic Forum, WEF)於2022年1月18日發布《2022年全球網路安全展望》(Global Cybersecurity Outlook 2022),以面對因COVID-19大流行所致之遠距辦公、遠距學習、遠距醫療等新形態數位生活模式快速發展,以及日漸頻繁之具破壞性網路攻擊事件。為考量國家應優先考慮擴展數位消費工具(digital consumer tools)、培育數位人才及數位創新,本報告說明今年度網路安全發展趨勢及未來所要面對之挑戰包括如下: COVID-19使得工作習慣轉變,加快數位化步伐:約有87%企業高階管理層計畫透過加強參與及管理第三方的彈性政策、流程與標準,提高其組織的網路韌性(cyber resilience)。 企業資安長(chief information security officers, CISO)及執行長(chief executive officers, CEO)之認知差異主要有三點:(1)92%的CEO認為應將網路韌性整合到企業風險管理戰略中,惟僅55%CISO同意此一作法;(2)由於領導層對網路韌性認知差異,導致安全優先等級評估與政策制定可能產生落差;(3)缺乏網路安全人才以面對網路安全事件。 企業最擔心之三種網路攻擊方式為:勒索軟體(Ransomware attacks)、社交工程(social-engineering attacks),以及惡意內部活動。惡意內部活動係指企業組織之現任或前任員工、承包商或業務合作夥伴,以對組織產生負面影響方式濫用其關鍵資產。 憂心中小企業數位化不足:本研究中有88%之受訪者表示,擔心合作之中小企業之數位化程度不足,導致供應鏈或生態系統中使其網路韌性受阻。 網路領導者認為建立明確有效的法規範,將有助於鼓勵資訊共享與促進合作。
英國公平貿易署公布有三分之一之網路商店未遵守消費者權利保護規範英國公平貿易署(Office of Fair Trading,簡稱OFT)公布於2007年底針對網路商店是否遵守消費者保護相關規範進行調查之結果,該項調查選定超過500家購物網站,就其是否遵守消費者保護法令,例如是否於網站上告知其公司所在地址、是否善盡告知消費者相關權利之義務、以及是否踐行標價透明化之規定等實際運行狀況進行調查統計。結果顯示,近乎有31%的網站並未確實遵守歐洲法律對於遠距交易的全額退費規範;有15%並未告知消費者其享有7天鑑賞期之權利;有14%的網站未告知確切之地址;另有40%的網站並未完全將價錢透明化,尤其並未告知商品於標示價格外必要之附加費用,而係於結帳時方告知,故OFT統計,每年消費者因此繳付的非預期費用總計約達一億英鎊。 於英國,消費者進行網路購物,受到遠距販售與電子商務相關規範之保護,例如2000年通過的消費者保護(遠距販售)規則(The Consumer Protection (Distance Selling)Regulations 2000)即就遠距交易中最重要的消費權利保障事項加以規範,此一法規主要適用於企業對消費者的組織性遠距交易活動,惟並不適用於與不動產買賣、金融服務提供、自動販賣設施、利用公共電話進行之行銷以及拍賣行為。主要規範重點,包括交易完成前必要資訊之提供、猶豫期內隨時解除契約之權限、契約解除權之例外、解約後獲得費用返還之權利、消費者返還貨品之義務、卡片付款受詐欺之解約權利等。
日本公告修正電業法(電気事業法),將放寬電力工作物定義,並新增電力事業類型日本於2020年(令和2年)6月12日公告修正「電業法」(電気事業法,以下簡稱新電業法),並預計於2022年(令和4年)4月1日正式施行。本次修正有以下兩個重點:(1)調整電力工作物之定義;(2)新增電力事業之種類,以符合國際技術及市場之變遷。 日本新電業法調整了電力工作物之定義,將儲能設備納入了電力工作物之定義中,日本新電業法下所謂電力工作物係指:「為了發電、儲能、變電、輸電、配電或其他以電力使用為目的而設置之機械、器具、水壩、水道、蓄水池、電路、電線或其他工作物(但船舶、車輛或航空器等,則依其他法令定之)。」此外,日本新電業法也於電力事業之種類下,新增了「特定電力批發業」(特定卸供給業)此一新型電力事業。依日本新電業法對於「特定電力批發業」之定義,所謂「特定電力批發業」,係指:「自其他發電及儲能設備設置者(但不包含發電業者)處聚合其發出或放出之電力而再向售電業、一般輸配電業、輸電業、特定輸電業供應電力者。」又依日本經濟產業省規劃,「特定電力批發業」得自行設置儲能設備,自產消合一之用電戶(prosumer)之儲能設備或發電設備(包含但不限於再生能源)購入電力,並轉而再至電力交易市場向其他售電業者販售電力;但「特定電力批發業」不得直接從發電業者或其他售電業購買電力,也不得直接售電予用電戶,故特定電力批發制度實際上是旨在賦予聚合商(アグリゲーター)參與市場之地位。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定Uber違反《Data Protection Act 1998》資料保護法英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料,故處以罰款385,000英鎊。 ICO調查發現Uber的諸多過失,包含系統存有一系列原可避免的數據安全漏洞,使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統,下載大約270萬筆英國客戶個人資料,例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄,如旅程詳情及支付金額。然而,受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的,Uber反而向攻擊者妥協並支付了10萬美元,以銷毀被盜取的數據。 ICO認為,這不僅為Uber資料安全之問題,且當時未採取任何措施通知可能受影響的人,或對其提供任何協助,已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默,亦非對於網路攻擊之適當反應,Uber未完善的數據保護措施,以及隨後的決策與行為,反將可能會加劇受害者權益的受損。 因此,ICO認為該事件已嚴重違反了英國1988年資料保護法(Data Protection Act 1998, DPA)第7條的原則,有可能使受影響的客戶和司機面臨更高的詐欺風險,故從嚴判處Uber高達385,000英鎊罰款。