紐西蘭個人資料隱私主管機關提供事業選擇雲端運算廠商之檢視工具

  雲端運算具有降低資訊營運成本、資料集中化管理等正面效益,因此,許多事業紛紛選擇將資料轉而儲存至雲端運算設備。

 

  事業會評估多項因素做為選擇雲端運算廠商之依據,這些因素包含資料隱私防護程度、權限控管功能等。為提供事業更有效率及精準地選擇雲端運算廠商,紐西蘭個人資料隱私主管機關(Privacy Commissioner)特別諮詢及訪談了當地使用雲端運算的企業及政府單位,彙整其所提供之經驗與意見後,撰寫檢視雲端運算廠商之指導原則。該原則不僅著重於協助中小企業如何有效管理上傳及儲存於雲端運算或其他委外設備儀器資料之隱私及安全性,另還發展出10項檢視要點,提供企業做為選擇評估之自我檢視工具。

 

  10項檢視要點分別為:(1)評估事業所能承受之風險等級與擁有之資源,選擇相對應的雲端運算供應商與類型;(2)確認所上傳至雲端運算之資料對於當事人隱私之重要程度;(3)確認事業所需承擔之所有責任;(4)資料傳輸過程與儲存位址之安全維護措施;(5)確認雲端運算供應商條件是否符合資格;(6)確認與雲端運算供應商所簽合約之涵蓋範圍及條件保障;(7)對資料提供者踐行告知義務並建立完善之回應機制;(8)了解資料儲存城市或地點,並確認該地區所提供之隱私保護制度與侵害申訴管道;(9)資料使用及接觸之人員權限管理;(10)雲端運算供應商服務契約終止後資料之處理及提供方式。

 

  紐西蘭個人資料隱私主管機關相信,事業必須確保傳輸至雲端運算資料之隱私及安全能受到一定程度之保護,才能避免其商譽及信譽受到損害。

相關連結
相關附件
※ 紐西蘭個人資料隱私主管機關提供事業選擇雲端運算廠商之檢視工具, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6017&no=16&tp=1 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
加拿大隱私專員呼籲提升加拿大人在美國之隱私保護

  加拿大隱私專員表示,其國人在美國雖享有一些隱私保護,但該保護主要係依賴不具法律效力之行政協議,因而相當脆弱。   隱私專員Daniel Therrien在一封致加拿大司法部長、公共安全部長及國防部長的公開信中,請求加拿大政府官員們向其對口之美國政府部門,要求藉由將加拿大列入美國國會去(2016)年通過之「司法賠償法案(Judicial Redress Act of 2015)」指定國家清單,以強化對其國人之隱私保護。隱私專員並表示,國人關切並請加拿大隱私專員辦公室(OPC)針對美國總統唐納.川普(Donald John Trump)所發布之行政命令進行影響評估,因其將排除非美國公民及合法永久居民隱私權法中關於個人可資識別資料之保護。   倘若加拿大能如同歐洲聯盟(European Union)及26個歐洲國家一般,於今年初時被列入前述指定清單,則其公民即可透過美國法院之強制執行,獲得隱私保障。此外亦可同時強化行政協議,如:美加邊境安全行動計劃(Canada-U.S. Beyond the Border Action Plan)及其聯合隱私聲明原則(Joint Statement of Privacy Principles)給予加拿大人之保護。   聯合隱私聲明原則涵括12項,其重要者有: 1.善盡一切合理努力,確保個人資料之正確性,以及後續請求查閱及更正錯誤之權利。 2.個人資料適當安全維護措施。 3.蒐集個人資料之相關性及必要性。 4.當事人認為其隱私受侵害時,得受繼有國家當局之賠償。 5.公務機關之有效監督。   縱算美國隱私權法自始即從未適用於加拿大人,且前開行政命令亦未改變現況,該命令仍突顯出「在南邊境上對加拿大人個人資料保護的顯著差距」。 「作為一個長期盟友以及密切的貿易夥伴,加拿大應要求被給予和那些經指定列入清單之歐洲國家相同程度之保護。」

美國各州逐步研議透過立法豁免企業資安事件賠償責任

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架,美國已有幾州開始透過立法限縮企業資安事件賠償責任,企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準,則於資安攻擊事件所致損害賠償訴訟中,將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料,企業往往投入大量資源打造資安防護架構,惟在現今網路威脅複雜多變的環境下,仍可能受到惡意資安攻擊,導致資料外洩事件發生,導致企業進一步面臨訴訟求償風險,其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任,以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令,讓已實施適當安全維護措施之企業,豁免資安攻擊所致資料外洩之損害賠償責任,佛羅里達州和西維吉尼亞州近期亦提出相似法案,以下介紹兩州法案之重點: 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 (H.B 473: Cybersecurity Incident Liability)[4],法案納入「安全港條款」(Safe Harbor),當企業遭受資安攻擊致生個資外洩事件,如可證明已遵循產業認可的資安標準或框架,實施適當的資安措施與風險控管機制,則可免於賠償責任,以鼓勵企業採納資安標準或框架。 為適用安全港條款,企業須遵循佛羅里達州資訊保護法(The Florida Information Protection Act),針對資料外洩事件,通知個人、監管機關和消費者,並建立與法案內所列當前產業認可的資安標準、框架,或是特定法令規範之內容具一致性的資安計畫(Cybersecurity Programs): (一)當前產業認可的資安標準、框架 1. 國家標準暨技術研究院(National Institute of Standards and Technology, NIST)改善關鍵基礎設施資安框架(Framework for Improving Critical Infrastructure Cybersecurity)。 2. NIST SP 800-171-保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A- 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫(Federal Risk and Authorization Management Program, FedRAMP)安全評估框架。 5. 資安中心( The Center for Internet Security, CIS)關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟(The Health Information Trust Alliance, HITRUST)通用安全框架(Common Security Framework)[6]。 8. 服務企業控制措施類型二(Service Organization Control Type 2, SOC 2)框架。 9. 安全控制措施框架(Secure Controls Framework)。 10. 其他類似的產業標準或框架。 (二)特定法令規範 企業(entity)如受以下法令規範,亦得適用安全港條款,如法令有修訂,企業應在發布修訂後的一年內更新其資安計畫: 1. 健康保險可攜與責任法(The Health Insurance Portability and Accountability Act, HIPAA)之安全要求。 2. 金融服務現代化法(The Gramm-Leach-Bliley Act)第五章。 3. 2014 年聯邦資訊安全現代化法(The Federal Information Security Modernization Act of 2014)。 4. 健康資訊科技促進經濟和臨床健康法(The Health Information Technology for Economic and Clinical Health Act, HITECH)之安全要求。 5. 刑事司法資訊服務系統 (The Criminal Justice Information Services, CJIS)安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過,但於2024年6月26日遭州長否決[7],其表示法案對於企業的保障範圍過於廣泛,如企業採取基礎的資安措施與風險控管機制,便得主張適用安全港條款,將可能導致消費者於發生個資外洩事件時,無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會(Florida Cybersecurity Advisory Council)合作,探求法案的替代方案,以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8],修訂西維吉尼亞法典(Code of West Virginia),增訂第8H章資安計畫安全港條款(Safe Harbor for Cybersecurity Programs),如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫,包含個人資訊和機敏資料的管理、技術和企業保障措施,將能夠於侵權訴訟中,主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素,包含: 1. 企業的規模和複雜性; 2. 企業的活動性質和範圍; 3. 受保護資訊的敏感性; 4. 使用資安防護工具之成本和可用性; 5. 企業可運用的資源。 (一)當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同,另增加: 1 NIST SP 800-76-2個人身分驗證生物辨識規範(Biometric Specifications for Personal Identity Verification)[9]。 2. 資安成熟度模型認證(The Cybersecurity Maturity Model Certification, CMMC)至少達到第2級,並經外部驗證(external certification)。 (二)特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同,另增加:由聯邦環境保護局(Environmental Protection Agency, EPA)、資安暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)或北美可靠性公司(North American Reliability Corporation)[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11],其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好,但也可能遭濫用而帶來不當影響,例如TikTok等大型國際企業,如在違背公民意願情況下共享個人資料時,將免於訴訟,恐有損其公民權益,未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案,內容亦為相似,西維吉尼亞州之法案目前已遭否決,主要係擔心該豁免條款遭到不當濫用;佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量,而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令,有助企業明確遵循與採納,建立與實施資安計畫,惟如何舉證所建立之資安計畫或實施之資安措施,與法案所列之資安標準、框架,或是特定法令規範,具有實質上的一致性,仍不明確,將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障,仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心( The Center for Internet Security, CIS)為美國非營利組織,負責推動CIS Controls,針對實際發生的資安攻擊行為提供防禦建議,作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源:About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司(North American Electric Reliability Corporation, NERC),為一家非營利機構,致力推動關鍵基礎設施保護相關標準,以強化北美大規模電力系統(亦即電網)的可靠性和安全性,資料來源:https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

歐洲藥物管理局(EMA)加強與歐洲毒品與毒癮監控中心(EMCDDA)於精神性影響藥物和藥物濫用上的資訊交換合作

  2010年藥物主動監視法規(pharmacovigilance legislation)要求EMA和EMCDDA必須加強在藥物產品濫用(包含不合法藥品)的資訊交換合作關係,是以,EMA和EMCDDA於今年九月初於葡萄牙里斯本相互簽署了修訂工作協議(amended working arrangement),約定在新型精神性影響藥物與藥物濫用的面向上,加強相互間的資訊交流合作。   於EMA和EMCDDA所簽訂的修正工作協議中,雙方約定就下列領域深化資訊交換: 1.雙方需各自依照歐盟執委會2005/387/JHA決議和歐盟1235/2010號法規第28c(2)條,對於所擁有之新型精神性影響藥物與藥物濫用(包含不合法藥品)資訊進行交換合作; 2.資訊交換需透過通常基準的報告形式由EMCDDA送至EMA,並含括有關於藥物產品濫用、不合法藥物,以及新型精神性影響物質等相關資訊; 3.EMA必須通知EMCDDA有關於藥物產品濫用的有效導因(validated signals),同時,EMA必須提供EMCDDA有關於藥物產品濫用和新型精神性影響藥品市場核准狀況的細部資訊; 4.EMA對於選定藥物產品之風險管理計畫的界定,可考量是否需先行與EMCDDA作諮詢意見交換; 5.EMA和EMCDDA在歐盟執委會2005/387/JHA決議和歐盟1235/2010號法規第28c(2)條所設基礎的合作模式下,必須要特別注意確保人類或動物健康照護並無惡化的情事,同時應確保科學建議之潛在衝突於前階段將會被界定與管理; 6.EMA和EMCDDA兩者間諮詢的進行,必須避免非關於新型精神性影響物質風險評估之科學建議的潛在衝突; 7.對於任何額外合作計畫的執行,必須考量EMA和EMCDDA兩者的例行性工作規劃; 8.對於特定計畫需要額外資源時,必須經由EMA和EMCDDA共同同意,並將同意文件附於現階段的工作協議中; 9.EMA和EMCDDA可就其各自舉辦的會議相互邀請對方,並邀請對該會議有興趣的其他團體參與; 10.對於EMA和EMCDDA間實際的合作面向,將在工作協議既定架構下繼續發展。   除了前述的適用範圍外,EMA和EMCDDA的修訂工作協議,亦有就相互諮詢和秘密資訊等領域作出約定,以確保資訊交換係在符合雙方需求與不侵害個人基本權利的情況下進行。有鑑於EMA和EMCDDA希冀藉由資源互補的強化約定,來彌補自身於精神性影響藥物和藥物濫用領域的資訊不足缺陷,是否我國在相關醫療、藥品管制或是藥品商業化資訊需有跨機關的整合機制,以促使我國在醫療、醫藥資訊交換與流通,在不侵害個人基本權利的情況下,能夠發揮互益效用,則是我國有關單位必須審慎思考的問題。

美國提出消費者隱私保護法案

  美國政府於今年(2012年)02月23日提出「消費者隱私保護法案」(Consumer Privacy Bill of Rights),總統歐巴馬認為:「為保護美國消費者網路上的個人資訊,清楚的法律已刻不容緩。電子商務的成功,必須讓消費者感到安全…,保護消費者的資訊能確保網路交易平台的成長」。   白宮提出的法案中明確點出下列幾項值得關注的議題:1、獨立控制:消費者有權了解自身資料被誰蒐集,以及他們如何使用這些資料。2、透明度:消費者能容易的了解隱私及資訊安全的訊息。3、考慮內文:消費者有權期待蒐集個人資料的組織,處理個人資料的方式能提供消費者知悉並且言行一致。4、安全:消費者的個人資料應受到安全可信任的保護。5、近用與正確性:消費者有權查詢與更正個人資料。5、集中蒐集:企業僅能有限度的蒐集消費者資訊。6、責任:消費者有權要求蒐集資訊的公司妥善保管個人資料並遵循「消費者隱私保護法案」。   美國商務部及資訊管理局會將在未來幾周進行細部的規劃,並尋求技術專家、業界、學者的意見,商務部將研擬相關具體可行的做法。

TOP