新加坡針對閒置頻譜利用之政策管制架構提出公眾諮詢
隨著行動通訊需求的提升,各國對無線頻譜資源需求若渴,除了極力釋出更多頻譜資源外,也針對既有頻譜的使用效率加以提升,以滿足頻譜的需求,無線廣播電視為了維護收訊品質,在各頻道之間保留相當大的空白區域,以避免訊號干擾;另一方面,無線廣播電視訊號在人口較少或是有線電視較發達的區域,訊號覆蓋的要求較低,產生許多無訊號的地帶,形成頻譜閒置的狀況。因此目前許多國家將提升頻譜效率的政策,運用在無線廣播電視所使用的頻段上,透過活用上述處於閒置的頻譜資源,滿足更多的無線通訊需求。
目前動態頻譜接取技術就是這樣的一個創新,允許隨機的、免執照使用閒置頻譜,以提高頻譜效率。目前最主流的運用場域在無線廣播電視的頻道上,如前所述,這些頻譜的空白保留區域或是閒置未用的狀況,稱為電視閒置頻譜(TV White Space,TVWS)。TVWS可用以替代類似Wi-Fi功能的無線寬頻通訊,但能夠以更低的功耗與成本加以部署,並擁有更大的涵蓋範圍。TVWS技術亦可以無線連接多種智慧型的終端設備,並具有良好的成本效益,提供更多創新的應用和服務。
新加坡資通訊發展管理局(The Infocomm Development Authority of Singapore,IDA)在2011年起結合相關業者開始進行概念實證運行,目的在驗證新加坡是否具有成功使用TVWS技術的可行性,並於2012年宣布成功。隨後,在IDA的支持下,集合資通訊業者成立「新加坡閒置頻譜先導團隊(Singapore White Space Pilot Group,SWSPG)」的產業協會,在新加坡各地展開了一系列的TVWS先導計畫。
這些先導計畫包括新加坡國立大學的智慧能源控制與智慧電表、新加坡島嶼鄉村俱樂部的寬頻服務、樟宜機場與港口周邊地區提供公共的Wi-Fi熱點。這些先導計畫的作用也在於探詢TVWS技術如何補強既有的寬頻基礎設施,克服新加坡天然環境的限制,提供更多創新的消費和商業應用。這些先導計畫也展現出TVWS可以運用提供良好的多元化的商業服務,深受參與先導計畫的使用者肯定。總體而言,這些先導計畫證明TVWS技術可為新加坡的無線服務提供更多可用頻譜,從而提升了頻譜使用的整體效率。
在這些先導計畫的成功基礎上,IDA認為為了促進TVWS的更大發展,應該展開TVWS設備與使用的的準則定義與確定管制上的的需求,一方面保護既有服務,一方面則必須避免各頻段可能產生的頻率干擾。IDA於2013年6月公布關於TVWS管制架構的公眾諮詢,藉以深入了解產業的需求,制訂完善的管制架構,確保TVWS的發展符合國際趨勢、新加坡的地理條件與市場環境的需求。IDA並希望能於2014年公布TVWS相關設備與服務的準則及管制架構。
日本國會於本會期(2015年1月)中,進行個人資料保護法修正草案(個人情報保護法の改正案)的審議。修正草案研擬之際,歷經多次討論,IT總合戰略本部終於在2014年6月公布修正大綱,後於同年12月公布其架構核心。 本次修正,主要目標之一,是使日本成為歐盟(EU)所認可之個人資料保護程度充足的國家,進而成為歐盟所承認得為國際傳輸個人資料的對象國;為此,此次修正新增若干強化措施,包含(1)設立「個人資料保護委員會」;(2)明訂敏感資料(包含種族、病歷、犯罪前科等)應予以嚴格處理;(3)明訂資料當事人就其個人資料得行使查詢或請求閱覽等權利。 本次修正的另一個目標,則是促進個人資料利用及活用的可能性。2014年中,日本內閣府提出「有關個人資料利活用制度修正大綱」,提倡利用、活用個人資料所帶來的公共利益,並指出,過往的法規僅建構於避免個人資料被濫用的基礎,已不符合當今需求,且易造成適用上的灰色地帶,應透過修法予以去除;未來應推動資料的利用與活用相關制度,來提升資料當事人及公眾的利益。本次修正因此配合鬆綁,允許符合下述法定條件下,得變更個人資料之利用目的:(1)於個人資料之蒐集時,即把未來可能變更利用目的之意旨通知資料當事人;(2)依個人資料保護委員會所訂規則,將變更後的利用目的、個人資料項目、及資料當事人於變更利用目的後請求停止利用的管道等,預先通知本人;(3)須使資料當事人容易知悉變更利用目的等內容;(4)須向個人資料保護委員會申請。 目標間的兩相衝突,使得該案提送國會審議時,引發諸多爭議。論者指出:允許在特定條件上變更個人資料的利用目的,雖顧全資料利用的價值,但似不符合歐盟個人資料保護指令對於個人資料保護的基準,恐使日本無法獲得歐盟認可成為資料保護程度充足的國家,亦徹底喪失此次修正的最重要意義。
歐盟公布數位單一市場下ICT標準化優先發展項目歐盟於2016年4月19日公布數位單一市場下ICT標準化優先發展項目(ICT Standardisation Priorities for the Digital Single Market),包括:5G通訊、雲端運算、智慧聯網、巨量資料技術、以及網路安全等,作為目前數位單一市場發展的基礎。相關影響產業包含:智慧健康、智慧能源、智慧運輸系統、電動車、智慧家居、以及智慧城市等。其三大主軸依次說明如下: 1. ICT標準建立為數位單一市場發展核心 歐盟將依1025/2012規則為基礎,進行標準化建立,因此將聚焦在數位單一市場需要發展的核心技術領域,優先進行標準訂定。 2. 因應全球技術變遷發展 ICT標準發展主要仍以產業為導向,且由產業自願性採納,建立之原則包括應具備透明性、開放、公平與一致性、有效與連結性等,此同時也能促成歐洲創新能量之發展。 3.以雙主軸計畫優先發展ICT標準設立 (1)首先歐盟執委會將確認數位單一市場優先發展之五項領域,並且設立發展時程。 (2)針對上述的優先發展領域,歐盟將進行施行檢視以及相關細項。 在5G通訊部分,預計將透過5G公私協力合作發展,同時以目前產業的需求為發展導向;在雲端運算方面,歐盟將以資金補助方式,促進雲端應用的互通性與易取性發展,並且支持企業,尤其在中小企業部分,以服務層級協議為基礎,協助採用雲端運算服務;在智慧聯網發展部分,主要為發展技術、介面、Open API等,建立準則,並預計將智慧聯網標準納入成為政府採購項目之一;在網路安全性部分,在上述發展技術領域當中,資料安全與隱私保護為核心議題,因此除了透過公司協力方式發展安全技術以外,同時也鼓勵業者應該設計著手保護隱私等概念優先納入技術之中;關於巨量資料技術部分,包括跨部門技術整合、資料與後設資料有更佳的互通性。此外,尚包括資料與軟體基礎設施服務,提供科學資料的交換、執行資料管理計畫、品質驗證、信賴性與透明性等原則。 最後,在可能受影響之產業方面,以智慧健康發展為例,智慧健康必須符合病人預期要求,如病人安全維護以及達到更佳的健康照護體系。因此,互通性的標準為當中關鍵的角色,未來亦有助於發展各國之間跨境醫療照護實踐。在電子病歷交換方面,從病人病歷摘要、電子處方簽等等,在符合個資保護條件之下,建立互通性標準可使疾病的治療更為完善。歐盟未來將持續鼓勵各會員國之間標準互通性之發展,包含目前行動健康應用程式的使用,以及未來遠距醫療應用。後續,歐盟將從2016年開始至2017年,持續針對標準建立進行討論會議,預計以資金費用補助以及其他政策方式輔導發展,同時也在2016年6月提出規劃說明使歐盟標準化政策發展符合現代化。
我國去識別化實務發展-「個人資料去識別化過程驗證要求及控制措施」我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 我國關於個資去識別化實務發展,依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡,實務上爭議在於達到合理利用目的之個資處理,參酌法務部103年11月17日法律字第10303513040號函說明「個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍」,在保護個人隱私之前提下,資料於必要時應進行去識別化操作,確保特定個人無論直接或間接皆無從被識別;還得參酌關於衛生福利部健保署資料庫案,健保署將其所保有之個人就醫健保資料,加密後提供予國衛院建立健保研究資料庫,引發當事人重大利益爭議,終審判決(最高行政法院106年判字第54號判決)被告(即今衛福部)勝訴,法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準,該案之資料收受者(本案中即為衛福部)掌握還原資料與主體間連結之能力,與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用,在於確保社會大眾無法從資料內容輕易推知該資料所屬主體,並有提到關於再識別之風險評估,然而應採行何種標準,並未於法院判決明確說明。 我國政府為因應巨量資料應用潮流,推動個資合理利用,行政院以推動開放資料為目標,104年7月重大政策推動會議決議,請經濟部標檢局研析相關規範(如CNS 29191),邀請相關政府機關及驗證機構開會討論,確定「個人資料去識別化」驗證標準規範,並由財政部財政資訊中心率先進行去識別化驗證;並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191,同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例,第二波示範案例則由內政部及衛生福利部(105年12月通過)接續辦理。 經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術-安全技術-隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication),轉換為國家標準CNS 29100及CNS 29191,並據此制訂「個人資料去識別化過程驗證要求及控制措施」,提供個資去識別化之隱私框架,使組織、技術及程序等各層面得整體應用隱私權保護,並於標準公報(107年第24期)徵求新標準之意見至今年2月,草案編號為1071013「資訊技術-安全技術-個人可識別資訊去識別化過程管理系統-要求事項」(Management systems of personal identifiable information deidentification processes – Requirements),主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項,提供維護並改進個人資訊去識別化過程及良好實務作法之框架,並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 由於前述說明之草案編號1071013去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 去識別化係以個資整體生命週期為保護基礎,評估資料利用之風險,包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序,分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法(下稱個資法)說明如下:首先,組織應先確定去識別化需求為何,究係對「個資之蒐集或處理」或「為特定目的外之利用」(對應個資法第19條第1項第4、5款)接著,對應重點在於「適當安全維護措施」,依據個資法施行細則第12條第1項規定,公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施;而依據個資法施行細則第12條第2項規定,適當安全維護措施得包括11款事項,並以與所欲達成之個資保護目的間,具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法: 一、隱私權政策 涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 組織蒐集、處理、利用PII應符合之11項原則,包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」,以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫,且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者,組織於進行去識別化處理時,應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 參、小結 國際上目前無個資去識別化驗證標準及驗證作法可資遵循,因此現階段控制措施,係以個資整體生命週期為保護基礎,評估資料利用之風險,使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊進行去識別化之過程,透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項,內化為我國業者因應資料保護與資料去識別化管理制度。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心,個人資料去識別化過程驗證,https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx(最後瀏覽日:2019/6/4) 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容,該網站並未公告「個人資料去識別化過程驗證要求及控制措施」,故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。
日本政府公布「日本再興戰略2016 (草案) 」,並以實現第四次工業革命為主軸日本首相官邸之「日本經濟再生本部」於2016年5月19日召開第27次「產業競爭力會議」,並於該會議上提出「日本再興戰略2016(草案)」進行討論。再興戰略以實現「第四次工業革命」為主軸,透過活用IoT、巨量資料、人工智慧(AI)、機器人等技術,目標在2020年創造出30兆日圓的市場附加價值。為了推動相關政策,今年夏天將會成立具備統整指揮機能之「第四次工業革命官民會議」,該會議下並設置「人工智慧技術戰略會議」、「第四次工業革命 人才育成推動會議(暫定名稱)」,以及「機器人革命實現會議」。 「日本再興戰略2016(草案)」,特別對於製造業相關之議題提出討論。再興戰略指出,日本相較他國,雖然在網路空間的「虛擬資料(バーチャルデータ)」平台方面發展較晚,然而在健康資料、交通資料、工廠設備運轉等「即時資料(リアルデータ)」領域有潛在的優勢,因此為了讓日本的企業超越目前的框架,將以建構取得「即時資料」之平台為目標。綜整「日本再興戰略2016(草案)」具體重要政策方面如述,包括: (1)日本政府認為,第四次工業革命普及的關鍵,在於根據中小企業的現場需求,導入IT及機器人等技術,因此將請機器人專家支援,在兩年內將技術導入1萬家以上的企業。 (2)人工智慧的研發係屬第四次工業革命的基礎技術,因此要建構提供AI軟體模組工具,以及推動標準化的完善環境,並於今年內提出研發及產業化的具體施政內容,並留意開發人工智慧的透明性、控制可能性等原則及國際動向。 (3)關於產業活用區塊鏈技術(Block chain)、整備制度促進資料流通等議題,預計於今年秋天提出對應方針。 (4)於「機器人革命倡議協議會」檢討製造業之商業模式改革、與德國共同提案國際標準化及先進案例。 (5)於2020年以前,運用傳感器蒐集資料,創造50件以上,工廠和總公司間,企業和企業間等超越組織框架的先進案例,並提出國際標準。 (6)進行智慧工廠實證,建構具備AI技術的自動化模組以及智慧的產業保全。此外,為超越既有企業間的框架,將於機器設備進行資料共有及活用的實證,並根據實證結果修正相關制度。 (7)整備促進資料利用的環境,特別著重能夠蒐集、分析的資料平台,形成健全的資料流通市場。因此,為釐清彼此的權利義務關係,今年內個人資料保護委員會將提出相關交易指針。 (8)強化智財紛爭處理系統,將徵詢產業界的意見,於今年提出法制改革的結論。 (9)強化中小企業的智財戰略以及必要審查體制,協助其申請及活用專利權,預計明年度開始擴大支援業務,負責機關為獨立行政法人工業所有權資料‧研修館(INPIT)。