紐西蘭個人資料隱私主管機關提供事業選擇雲端運算廠商之檢視工具

　　去（2009）年12月19日在丹麥哥本哈根落幕的聯合國氣候變遷綱要公約（UNFCCC）第15次締約國會議（COP15）結論中，其中之一是各國達成將建立一套「技術機制」（Technology Mechanism），協助開發中國家獲得減少溫室氣體排放所需的綠色技術，促進綠色技術的發展及移轉，以作為實現減量及調適的支援措施，而這項機制將依據各國的環境條件及需求優先性分別進行。此外，會議並通過採納印度提出建構「氣候創新中心」網絡（Network of Climate Innovation Centers）之提議；不過整體而言，與其他氣候變遷議題一樣，建構國際綠色技術移轉機制之進展並不如預期。 　　國際間有關促進綠色技術移轉之討論，在UNFCCC第4條即有明文規定，不過這項議題直到2007年召開的COP13會議所宣布的「峇里島行動計畫」（Bali Action Plan）中，與減緩、調適、資金投資並列為後京都機制的四大主軸後，才獲得廣泛重視。而2008年召開的COP14會議中更進一步提出了「波茲南技術移轉策略方案」（Poznan Strategic Programme on Technology Transfer），由已開發國家透過適當的智慧財產權管理，提供開發中國家必要的綠色技術，以達成減緩的目標，當中包括技術需求及評估、技術資訊、有利環境、能力建構及技術移轉機制等具體作法。 　　在促進綠色技術擴散的大方向下，各國及國際組織也在今年陸續提出不同的倡議，並聚焦到智慧財產權上。諸如作為開發中國家代表的中國、印度及巴西即紛紛呼籲應仿效在緊急情況下對部分藥品專利之強制授權作法，使開發中國家得以免費使用對環境有益技術之專利；歐洲專利局、聯合國環境規劃署以及貿易暨永續發展國際中心三個組織也展開如何使專利制度能更加促進綠色技術之創新及擴散的研究工作。不過由於已開發國家擔心如此喪失龐大的商業利益，並減損創新研發的誘因，因此多採取保留態度。兩大陣營分歧的立場在哥本哈根會議中未能突破，而僅停留在過往共識的重申，也使得國際綠色技術移轉議題將留待2010年6月的波昂會議以及12月的墨西哥會議中持續再議。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　英國內閣辦公室於2015年7月13日宣布開啟「2015年開放政府夥伴英國國家行動計畫」，認為身處於轉型於科學與技術、面臨了資訊革命的世界，資訊開放可以促使英國政府現代化作業，這也是讓英國邁向較佳未來的最好方式。現在英國社會已然是此一趨勢，而英國政府的任務就是讓其更佳發展，「開放政府夥伴國家行動計畫」（Open Government Partnership National Action Plan）就是英國政府規劃發展的藍圖，承諾將提供給民眾一更加開放及有責的政府。 　　而英國政府目前已就部分政策（資訊公開、反貪腐、財政透明以及公開政策形成過程）有相關發展，分述於下列七點摘要說明： 更高的有責性（accountability）：當英國政府開始公佈其政府部門相關出差數據後，英國政府發現高階官員變得更加傾向於搭乘飛機時乘坐經濟艙，以減少開銷。而溫莎-梅登黑德皇家自治市鎮議會（Windsor and Maidenhead Council）發布了公部門建築物的即時能源使用資訊，因此協助公部門減少16%的能源帳單費用。 更佳的資訊管理：英國政府發現，將訊息公開並使其可以利用，促使英國政府本身成為更佳成熟的資訊使用者。不僅英國政府會具備更高的有責性，同時也更能獲得公眾的資訊，而資訊公開則可使英國政府的決策具有實證依據。 資訊更加公開：資訊公開的優點不僅可使英國政府獲得公眾之資訊，同樣地公眾亦可得到政府的資訊，進而提升英國政府公共服務的水準。 數據經濟（data economy）：目前英國有上千家創業的新興公司正在設法取得政府創新利用的相關資訊，透過資訊的公開亦同時可幫助英國此類數據經濟的成長。 國際合作：英國政府認為於在政府透明化方面需要更多的國際合作。英國政府將以官方協助的立場公開資訊，支持採掘產業（extractive industries）財政透明的全球性標準，並承諾建立一個公司受益所有權（company beneficial ownership）的註冊中心單位，將會有關於英國各家公司最終擁有及實質管控者清楚的資訊來源，藉此打擊貪腐弊案。 地方授權：除了上述所提者，英國政府同時亦要將此規劃落實到各地，將授權予蘇格蘭、威爾斯、北愛爾蘭以及英格蘭的城市等地區。從蘇格蘭聯合政府的運作，到曼徹斯特其地方企業夥伴（Local Enterprise Partnership, LEP）公開資訊的利用，這些設置都可以作為彼此學習的借鏡，並將開放政府的原則擴散到全英國。 採取如維基（Wiki）的模式形成政策：英國政府認為應該要朝向維基百科（Wikipedia）運作的模式發展，於政策規劃方面採取與各方更高度合作的方式進行，可使資訊得以廣泛擴散。

日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南（下稱《指南》）》，指南分為三大章，第一章為整體資料環境之變化；第二章為資料治理；第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料處理篇，主要為促使企業理解有利活用於數位技術與服務的資料管理方法。 《指南》資料處理篇指出，資料的生命週期涵蓋資料設計、資料蒐集、外部資料連動、資料整合、資料處理、資料提供、資料累積以及資料銷毀等不同階段。《指南》建議在資料生命週期的各階段，盡可能的不要有人類的介入。舉例而言，資料蒐集可以透過感測器或系統進行。該建議的目的在於，人類介入資料生命週期，僅會引起輸入錯誤或是操作錯誤等風險。 此外，《指南》亦於資料處理篇中針對資料治理給出四點建議，分別如下： (一)資料是企業的重要資產，因此應重視其管理方式。管理方式涵蓋帳號密碼、透過生物辨識技術進行資料接觸管理、Log檔之取得、系統設定禁止使用USB等方式。 (二)資料治理的重點在於對人政策。除了向員工強調不要開啟不明網站及釣魚信件以外，企業亦應與員工建立堅實的信賴關係。 (三)資料公開或流通時應注意，如果不希望提供後的資料被二次利用，應於雙方間的資料利用契約中敘明。此外，由於資料具備易於複製及傳輸的特性，因此在公開或流通資料時，應考量適用諸如時戳技術等可確保資料原本性或使資料無法被竄改的數位技術。 (四)資料銷毀如果僅是單純的刪除資料，有透過數位技術找回資料的可能性。因此，除可評估委由專門進行資料銷毀服務的公司協助以外，由於銷毀資料經由個人電腦外洩之事件時有所聞，故亦應留意個人電腦之資料管理。 我國企業如欲將資料活用於數位技術或服務，除可參考日本所發布之《指南》資料處理篇以外，亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，以建立自身資料處理流程，進而強化資料管理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）