美國對於智慧聯網 IoT 環境隱私保障展開立法工作
有鑒於智慧聯網IoT環境下,許多智慧型手持裝置及行動通訊裝置,大量蒐集消費者資訊之隱私權暨資訊安全考量,美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」(Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913)進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體(Application)在蒐集消費者資訊前,如何落實「同意」機制,乃強制行動通訊裝置應用軟體開發商(developer)應:(1)提供使用者個人資料蒐集、使用、儲存及公開之通知(notice),而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等;(2)取得使用者之同意(consent);消費者依據該草案亦有權撤銷其「同意」(withdrawal of consent)。此外,草案乃強制要求該行動通訊裝置應用軟體開發商,就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料,應採取合理及適當之防衛措施(security measures on personal data and de-identified data)。
並且,針對網路環境下隱私權保護議題,更早之前,美國國會於2013年2月28日提出「線上禁止追蹤法草案」(Do-Not-Track Online Act of 2013) 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會(FTC),就透過個人線上活動追蹤,以蒐集、使用個人資料之行為態樣,進行管制。該管制模式謹據以要求如下:(1)被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知(clear, conspicuous and accurate notice and use of such information),而個人就該通知應予明白之同意(affirmative consent);(2)FTC未來在訂定標準規範時,應(shall)考量所被搜集之資料,是否在匿(隱)名基礎上處理之,遂該資料無法有效被聯結(指認)到特定個人或裝置上;此外,消費者當享有資料不被蒐集的權利(expressed preference by individual not to have personal information collected)。該草案並就違反之個人,設定最高15,000,000美元損害賠償規定。
德國總理Angela Merkel在日前舉辦的法蘭克福書展中強調,反對在google在未釐清相關權利與建置對應的配套機制下,擅自將圖書典藏掃描數位化的作法。而不只德國反對Google的數位圖書計畫,歐盟執委會也在10月19日通過提案,要求歐盟正視圖書館藏數位化的智慧財產權議題,提案委員也督促歐盟應儘快採取行動,配合歐盟著作權法體系,發展更具競爭力的歐盟館藏數位化方案。 然在館藏書籍數位化的過程中,有必要先解決孤兒著作(verwaiste Werke)因著作人不明而無法進行數位化及授權的困境。據估計,英國圖書館館藏就有40%屬於孤兒著作。為找出一套簡易的授權機制,並建立歐盟各國針對孤兒著作共通的認定標準,歐盟在eContent Plus計畫架構下,於2008年11月便開始所謂「ARROW行動方案(Accessible Registries of Rights Information and Orphan Works)」,希望透過各國圖書館、著作權集體管理團體、出版商間的參與,整合歐盟境內不同的權利登記機制,共同開發出一套適用於全歐盟的權利登記系統,清楚顯示歐盟境內各種著作的權利狀態,促使數位館藏的授權可以在一個透明且價格合理的機制下進行,同時確保著作人可以得到適當的報酬。 有關歐盟針對圖書數位化的政策與討論,以及google數位圖書協議後續協商的結果,仍有待持續追蹤觀察。
FCC提出推動10年國家寬頻計畫2009年2月美國總統歐巴馬簽署美國振興經濟方案,釋出72億美元擴展寬頻網路連結應用,以網路開放為前提,要求聯邦通訊委員會提出國家寬頻計劃。美國聯邦通訊委員會(FCC )在2010年3月12日公布將推動一項歷時十年的遠大計畫,希望透過建立高速網際網路,重塑美國媒體與科技優先順序的概念。該計畫預定2010年3月16日送交國會。 這項計畫反映美國正視寬頻網路正逐漸成為取代電話與廣播電視業的普通媒介,工作重點在於強化網際網路存取方便性。該項計畫的重點包括補助網際網路提供者佈建偏遠地區的網路服務、拍賣頻譜以供無線寬頻設備使用,以及發展新型態的有線電視與上網功能之全面式機上盒。 此一計畫牽涉數百億美元的聯邦經費,但FCC認為,應可透過拍賣頻譜自給自足。此外,該計畫中的部分建議,尚須國會採取行動與業者支持才能落實,至於使用者恐怕要在數年後才能看到效果。 目前美國在使用寬頻與高速上網等方面落後包括亞洲國家在內的許多國家,約超過30%的美國人無法上網,原因是負擔不起或是沒有意願使用。而FCC的計畫希望能將美國打造成一個完全網路連結的環境,透過還有待矽谷研發的無線裝置讓民眾能快速上網取得健保資訊、進行網路學習,以及進行警民連線。 不過,FCC必須審慎處理既有業者上網費率與品質的問題,此外,不少電視業者以供公眾利益為由反對,並抗拒交回頻譜,以及認為這樣計畫將會導致訊號覆蓋及干擾的問題。
歐盟委員會發布NIS 2實施條例以定義資安重大事件.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件: 1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。 2. 造成商業機密洩漏。 3. 已造成或能造成自然人死亡。 4. 對自然人健康已造成或能造成大量傷害。 5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。 6. 反覆發生的事件。 7. 符合第5條至第14條特定資訊服務的事件。 實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。 歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
揭露產品溯源資訊,兼顧防偽、永續!歐盟區塊鏈物流認證計畫進行試點,將於11月發布報告為確認產品供應鏈與物流鏈的真實來源、打擊仿冒品、提升永續資訊透明度以接軌歐盟政策,歐盟智慧財產局(下稱EUIPO)自2023年5月啟動區塊鏈物流認證計畫(下稱EBSI-ELSA),採難以竄改、公開透明的區塊鏈服務基礎設施(European Blockchain Services Infrastructure,下稱EBSI),透過數位簽章(digital signature)、時戳追溯與驗證歐盟進口產品的來源是否為智慧財產權利人。EUIPO 於2024年6月24日宣布EBSI-ELSA已上線8成基礎設施。為加速推動計畫,於2024年9月至11月間,EUIPO以產品鏈的智財權利人(例如鞋類與/或服裝、電氣設備、手錶、醫療設備與/或藥品、香水與/或化妝品、汽車零件與玩具產業別之產品智財權利人)為試點,並將於2024年11月前發布試點最終報告。 透過試點,EUIPO致力於: (1)測試、評估於真實世界之製造與分銷系統中應用數位簽章及物流模組的情況,以作為智財權利人之企業資源規劃(ERP)的一部分。 (2)於產品歷程,測試、評估數位裝運契約(digital shipment contract)及產品數位孿生(Digital Twin)之資訊的接觸權限與品質(access to and quality of information)。如海關人員預計於產品抵運前(pre-arrival)、通關階段(inspection phases)確認產品之真實性。 (3)提供產品生命週期應用EBSI-ELSA之試點最終報告,包含實施過程、結果等相關資料。 EBSI-ELSA計畫認為其符合歐盟之數位政策與循環經濟目標,旨於採取區塊鏈技術向供應商、消費者、海關、市場監管機構等多方揭露更多的產品溯源資料,提升產品透明度,銜接歐盟之數位產品護照(Digital Product Passport, DPP)政策,該政策目的係以數位互通方式揭露歐洲市場之產品生命週期的資訊,如產品材料來源、製程、物流、碳足跡等永續資訊,強化產業的可追溯性、循環性(circularity)及透明度,以協助供應鏈利害關係人、消費者、投資者做出可持續的選擇。而負責執行歐盟資料經濟與網路安全相關政策之歐盟執委會資通訊網絡暨科技總署(DG Connect)於2024年5月所發布之「數位產品護照:基於區塊鏈的看法」報告,亦指出「為確保區塊鏈系統互通性,其IOTA區塊鏈技術框架應能與歐盟內部市場電子交易之電子身分認證及信賴服務規章(EIDAS)及EBSI標準完全接軌(fully align)」。 如我國企業欲強化既有的產品生命週期資料管理機制,可參考資策會科法所創智中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,從數位資料的生成、保護與維護出發,再延伸至存證資訊之取得、維護與驗證之流程化管理機制,協助產業循序增進資料的可追溯性。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)