預先擬定的事故應變計畫可降低資料外洩成本
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。
依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。
專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
2022年2月4日英國智慧財產局(以下簡稱IPO)發布的2022至2027的智慧財產打擊侵權戰略,主要著重於智慧財產的保護,打擊智慧財產侵權行為,以保護英國企業的智慧財產。 有鑑於智慧財產侵權/犯罪被視為低風險高回報的侵權行為,此次發布的智財戰略,主要在於強化英國原有的智慧財產執法機制,著眼於對於智慧財產現今與未來所會面對的挑戰,可著重於三大主軸,包含建立夥伴關係,與其他國內外夥伴合作,將智慧財產執法資源進行整合,建立打擊智慧財產侵權的網絡;發揮領導效用,透過與夥伴的合作,強化其他國家打擊智慧財產犯罪的能力,確保英國企業的智慧財產在海外亦受到充分保護;教育提升,藉由與夥伴的合作,一起展開有效的智慧財產活動,減少智慧財產侵權行為,以及消費者認識智慧財產犯罪和侵權的行為,避免無意間捲入侵權行為中。 除以上三大主軸之外,該戰略並採用於打擊組織犯罪所用的4Ps方法,包含預防(prevent)、保護(protect)、準備(prepare)和追查(pursue),以確保跨部門合作可被有效執行。 該戰略並不是針對現行智慧財產侵權/犯罪問題提出解方,而是針對智慧財產的長期所需,試圖建立一個基本框架,確保透過公私合作關係(包含國內合作與國際合作)解決智慧財產侵權/犯罪結構,使英國企業更有信心將資源投入在創新上。
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。 在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。 英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。 指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。
日本國交省公布「基礎建設之數位轉型政策」,期望建構更有效率、安全之社會環境日本國土交通省(下稱「國交省」)於2021年2月9日公布「基礎建設之數位轉型政策(インフラ分野のデジタル・トランスフォーメーション施策)」。此報告係國土交通省基礎設施DX推進本部(国土交通省インフラ分野のDX推進本部)於2021年1月所舉行第三次會議所彙整之政策方針。 針對基礎設施數位轉型之政策實施主要分為四個面向:第一部分強調透過行政程序數位化及網路化,藉以提升效率並加強管理效能,並且提供運用數位生活中各項服務,以增加生活之便利與安全。第二部分說明為實現安全與舒適之勞動環境,減少人工作業之負擔,未來欲活用AI與機器人,使施工作業與技術建設達到無人化,並透過數位化提高專業技術學習效率以培育相關人才。第三部分聚焦於調查、監督檢查領域,如公路、鐵路、河川及機場之檢修,利用資料分析與自動化機械提升日常管理及檢修效率。最後,為順利推行以上數位轉型政策,必須建構能支援數位化的社會。因此,未來除須結合智慧城市(スマートシティ)等數位創新政策,利用資料以具體化社會課題之解決方針外,亦須針對作為數位轉型基礎之3D資料進行環境整備,以利數位轉型之推動。
何謂德國「資訊科技安全法(IT-Sicherheitsgesetz)?德國聯邦議會於2015年通過資訊科技安全法(IT-Sicherheitsgesetz),主管機關為聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),隸屬於德國聯邦內政部(Bundesministerium des Innern)。目的是為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施,讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範,同時藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該法案主題包括,在關鍵基礎設施上改進企業資訊科技安全、保護公民的網路安全、確保德國聯邦資訊科技、加強聯邦資訊技術安全局的能力與資源、擴展聯邦刑事網路犯罪的調查權力。 該法主要係針對關鍵基礎設施營運者(Kritische Infrastrukturbetreiber) 進行安全要求,例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。