紐西蘭個人資料隱私主管機關提供事業選擇雲端運算廠商之檢視工具

  雲端運算具有降低資訊營運成本、資料集中化管理等正面效益,因此,許多事業紛紛選擇將資料轉而儲存至雲端運算設備。

 

  事業會評估多項因素做為選擇雲端運算廠商之依據,這些因素包含資料隱私防護程度、權限控管功能等。為提供事業更有效率及精準地選擇雲端運算廠商,紐西蘭個人資料隱私主管機關(Privacy Commissioner)特別諮詢及訪談了當地使用雲端運算的企業及政府單位,彙整其所提供之經驗與意見後,撰寫檢視雲端運算廠商之指導原則。該原則不僅著重於協助中小企業如何有效管理上傳及儲存於雲端運算或其他委外設備儀器資料之隱私及安全性,另還發展出10項檢視要點,提供企業做為選擇評估之自我檢視工具。

 

  10項檢視要點分別為:(1)評估事業所能承受之風險等級與擁有之資源,選擇相對應的雲端運算供應商與類型;(2)確認所上傳至雲端運算之資料對於當事人隱私之重要程度;(3)確認事業所需承擔之所有責任;(4)資料傳輸過程與儲存位址之安全維護措施;(5)確認雲端運算供應商條件是否符合資格;(6)確認與雲端運算供應商所簽合約之涵蓋範圍及條件保障;(7)對資料提供者踐行告知義務並建立完善之回應機制;(8)了解資料儲存城市或地點,並確認該地區所提供之隱私保護制度與侵害申訴管道;(9)資料使用及接觸之人員權限管理;(10)雲端運算供應商服務契約終止後資料之處理及提供方式。

 

  紐西蘭個人資料隱私主管機關相信,事業必須確保傳輸至雲端運算資料之隱私及安全能受到一定程度之保護,才能避免其商譽及信譽受到損害。

相關連結
相關附件
※ 紐西蘭個人資料隱私主管機關提供事業選擇雲端運算廠商之檢視工具, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6017&no=16&tp=1 (最後瀏覽日:2026/07/08)
引註此篇文章
你可能還會想看
美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理

  美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。   本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

歐盟提出人工智慧法律調和規則草案

  歐盟執委會(European Commission)於2021年4月21日提出「人工智慧法律調和規則草案」(Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts)(簡稱AI規則草案),旨在平衡「AI運用所帶來的優勢」與「AI對個人或社會所帶來的潛在負面衝擊」,促使會員國在發展及運用AI時,能採取協調一致的態度及方法,共同維護歐洲公民基本權利與歐盟價值。   歐盟自2019年起即倡議發展「值得信賴的AI」(Trustworthy AI)。AI規則草案之提出,除了落實執委會2019年至2024年之政策願景外,亦呼應2020年歐洲議會(European Parliament)之建議—針對AI應用之機會與利益採取立法行動,並確保合乎倫理原則。惟鑒於歐盟在環境、健康、公共事務、金融、交通、農業等領域對AI應用之高度需求,以及企業仰賴AI技術提升競爭優勢等因素,執委會係以「風險為基礎」之概念取向(risk-based approach)制定AI規則草案,避免對新技術發展造成不必要的限制或阻礙。   本規則草案將AI系統,依其「對歐盟基本權利或價值所創造的風險程度」,分為下列三種類型,並施以不同程度的監理方式: 一、不可接受之風險:原則上禁止使用此類型AI系統或使其進入歐盟市場。例如:利用潛意識技術操控個人、在公共場合利用「即時遠端生物辨識系統」進行執法、公務機關普遍對個人進行社會評分等。 二、高風險:於附錄中列出所謂高風險AI系統,要求高風險AI系統之提供者遵循風險管理、資料治理、文件紀錄保存、透明性與資訊揭露、人為監督、健全性、準確性與資安等要求;且AI系統進入歐盟市場前,需進行符合性評估(conformity assessment),進入市場後,則需持續監控。 三、非不可接受之風險亦非高風險:鼓勵AI系統提供者或使用者,自願建立行為準則(codes of conduct)。   AI規則草案亦鼓勵會員國建立AI監理沙盒(regulatory sandbox)機制,且以中小企業、新創公司為優先對象,使創新AI系統進入市場之前,能於可控環境中依明確計畫進行開發、測試與驗證。

能源清醒!歐洲競爭電信協會主張應重新討論網路建設的付出與碳排放影響的歸責

  「能源清醒」(Energy Sobriety)作為一種概念逐漸被普及到政策和法令之中。目的在於使各種使用者對於自身行為所產生的碳排放有所警醒、並且就其行為所產生的碳排放負起責任,進而在產品、設備的選擇和使用習慣上重新進行考慮。藉由選擇減少消費、或是更改消費模式來更好的保護地球資源、減少碳排放。能源清醒的概念和能源效率的概念不同,他透過社會文化的改變來達到能源節省的目的、而不是仰賴技術的革新。   基於此一概念,歐洲競爭電信協會(European Competitive Telecommunications Association)於2022年9月發表對於網路基礎建設投資的聲明,希望能就對於網路建設的付出是否公平展開討論。   該協會表示,雖然其身為電子通信業者的成員們在歐洲綠色政綱(European Green Deal)上有所投入、致力於減少環境足跡,但是網路流量的穩定增加卻限制了電子通信業者對於減少溫室氣體排放的努力。而這種現象在行動網路(mobile network)的使用上特別明顯。因為將高品質(如4K、8K或HDR)的影像傳輸到行動裝置或小尺寸螢幕設備上對於用戶體驗的提升並沒有實際上的幫助,但是卻會使得網路頻寬(bandwidth)被大量消耗以及大量的溫室氣體在過程中被排放。這使得營運商將網路規模擴大(更多的核心網路和RAN設備、更多的設備和地點),因此有了更高的耗能,對於環境的影響也更加劇烈。對此,協會提議透過監管方式來改善這種情形,認為應要求內容供應商應採取非歧視性的、與內容無關的方式使影音解析度適應螢幕尺寸的解決方案,從而減少不必要的網路流量和浪費,並且給予其適度的獎勵措施。   該協會認為,任何符合能源清醒的模式都應該受到數位生態圈的集體鼓勵。而其中的每個參與者也應該要注意和承認自己的行為所產生的影響,並作為一個能源使用者和造成碳排放的實際個體負起責任。對此,歐洲競爭電信協會已經準備好就此提議進行討論與辯論。

美國聯邦通訊傳播委員會徵詢智慧電網技術施行意見

  美國參眾兩院於2009年「美國經濟復甦與再投資法」(American Recovery and Reinvestment Act of 2009)─即「振興經濟方案」─要求聯邦通訊傳播委員會(Federal Communications Commission, FCC) 在國家寬頻發展計畫中,須使用寬頻建設及服務,促進節能減碳與能源自主要求。智慧電網(Smart Grid)被認為係符合此要求的新技術。FCC遂公開徵求有關此一技術對國家寬頻發展計畫要求事項更進一步的評論與建言: 1. 使用公私網絡的智慧電網是否適合發展於通訊技術; 2. 何種通訊技術與網絡可符合且最常用於智慧電網科技; 3. 既有商用通訊網絡是否合於智慧電網的運用; 4. 在一般與緊急狀況下,商用無線通訊網絡得否可靠地藉由智慧電網傳輸資料; 5. 現有且合適於發展智慧電網的電力設備於全美的普及率為何; 7. 智慧電網對已發照釋出之頻譜需求為何; 8. 智慧電網使用毋須核照之頻譜是否遭遇介面(interface)上的問題; 9. 是否需要釋出額外或未使用的頻譜?原因為何; 10.如何確保消費者能即時獲知實際能源減耗數據與支付價額; 11.設備、技術提供者與消費者如何相互連結相關家電用品與網路; 12.何種資訊會在一類、二類與電力供應者間被擷取; 13.管理能源之家用網路區域(Home Area networks)在智慧電網中的角色為何?   FCC對智慧電網所蒐集的資料與意見,將對欲發展節能減碳政策的台灣,有相當幫助,值得持續關注。

TOP