新加坡採取「雲端友善」政策方針,發布個人資料保護指引
新加坡個人資料保護委員會(PDPC)為讓企業能妥適的遵循2012年發布的個人資料保護法(Personal Data Protection Act/PDPA),於2013年9月發布個人資料保護法(PDPA)的執行指引文件:「PDPA關鍵概念指導方針(Advisory Guidelines on Key Concepts in the PDPA)」,針對各項如何蒐集、處理及利用個人資料的要求與義務,提供細節性說明及應用範例。執行指引文件的發布,是源自於公眾在實際操作法遵要求時,所發生的執行困難、疑義和衍生的建議和意見,彙整後進行法規釋疑和舉例。此份文件的要求係立基於實用主義及「企業友善(business-friendly)」的理念,幫助機構調整業務運作流程以及妥善的遵守法律的規定。
執行指引文件提供關鍵名詞的詮釋,例如「個人資料」在PDPA裡的定義為:任何可以識別個人、不拘形式及真實性的資訊;針對「謝絕來電條款(Do not call)」的遵循方式亦有細緻化的說明;就各項不同的具體子議題,清楚的提供常識性的措施(Common-Sense Approach)供機構採用,讓法規要求合乎常理,使個人資料保護與企業因需求而對個人資料進行蒐集、利用和揭露之行為間取得衡平。
新加坡個人資料保護法(PDPA)兩大立法目的:強化個人對自己個人資料的資訊控制權;使新加坡因提供充分的安全維護機制而受企業信任,強化新加坡的經濟競爭力與地位。另外,相較於其他國家在國際傳輸上有較嚴格的限制(必須有相同等級的個人資料保護立法為傳輸前提),新加坡的法制理念是僅讓企業遵守最低限度的安全維護要求後,便能將個人資料進行國際傳輸,這樣較彈性的法制設計讓新加坡有望成為亞太地區的資料與研究中心樞紐。
因應5G通訊技術快速發展與關鍵應用逐漸普及之趨勢,美國國防部於2020年5月2日由部長批准「國防部5G戰略」(Department of Defense 5G Strategy,以下簡稱5G戰略);同月發布之公開版(unclassified)5G戰略,為美國軍方第一份公開發布的5G戰略性指導文件,主要內容包含指出國防部面對5G帶來的挑戰、設定5G技術發展目標、擬定5G發展行動計畫(lines of effort)等,以確保美國在軍事與經濟上的優勢地位。 5G戰略指出,5G技術對於維持美國軍事與經濟優勢至關重要,為關鍵戰略性科技(critical strategic technology)。5G技術為產業與軍事帶來重大變革的契機,同時也帶來對資通安全的挑戰,特別是由於美國潛在的競爭對手國家,正試圖在美國的關鍵合作夥伴國家的5G市場占據主導地位,使得5G基礎建設供應鏈成為競爭對手利用有害元件、惡意軟體或非法存取等方式入侵美國與其合作夥伴的破口,最終將損害美國的國家安全與利益。 因此美國國防部將鼎力協助美國與其合作夥伴提升5G技術力、提高對5G的風險意識至國安層級、開發保護5G基礎設施與技術之措施。具體行動計畫包含:一、藉由大量的實驗場域驗證5G應用,推動技術發展;二、掌握5G資安威脅情報與威脅,評估、識別資安風險採取必要措施,並採取零信任(Zero Trust)反覆驗證之資安模式;三、積極加入5G技術相關標準訂定與規劃5G國防政策;四、吸引國際組織、國家與相關產業的合作夥伴,積極溝通協調以維持美國與合作夥伴間的共同利益,協助美國的盟友與合作夥伴識別5G風險。
被遺忘權的地域化與全球化2014年5月,歐洲法院(European Court of Justice)判決認定,歐洲人民有權要求搜尋引擎移除特定搜尋結果之聯結,亦即承認了ㄧ項新穎且從未見過的網路權利─被遺忘權(The Right to Be Forgotten)。對於此判決,正反論述各有見地,贊成有如隱私權的提倡者,因恐網路紀錄永不流失,網路網羅並刺探生活細節的功能將嚴重影響隱私權;反對者則有如言論自由學派,憂慮訊息的有限揭露將影響人民獲得資訊的自由與正確性。該歐州法院判決效力僅限定於歐洲網域,例如,若有一法國人要求移除其破產的資訊,則Google僅會在法國google.fr和德國google.de的網域中移除該搜尋結果,至於google.com則因被視為美國網域而能免於移除。然而,近來法國國家資訊自由委員會(CNIL)積極要求Google一旦確定移除某項聯結,其效力應及於所有的網域而一併移除。 為回應法國主管機關之要求,有鑒於有高達百分之97的法國人至今仍多習慣使用其歐洲國內網域的搜尋引擎,再加上沒有一個國家有權限要求或限制他國人民如何獲得資訊,Google認為法國的要求無必要,且不成比例,故不贊同法國國家資訊自由委員會的主張並要求其撤回聲明。由於Google未於15日內依指示遵循,法國主管機關將可考慮後續制裁。因此,被遺忘權目前仍舊維持地域化,然而,即便仍維持現狀,但歐洲法院的判決亦已造成網路資訊的分割,資訊的獲得將因網域的差別而有如小國林立。
歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南歐盟執委會(European Commission)設有6區域中小企業智慧財產服務台(IP SME Helpdesk),其中歐洲智慧財產服務台(European IP Helpdesk)以及中華區小企業智慧財產服務台(China IP SME Helpdesk)於2022年9月聯合推出「網路犯罪與營業秘密保護指南」(Cybercrimes and trade secret protection : guide,下稱本指南),最大特色之處即在企業如何回應營業秘密遭網路竊取時之事後應對手段。 中華區中小企業智慧財產服務台透過提供免費資訊服務,支援歐盟(EU)中小企業(SME)在中國大陸、香港、澳門和臺灣保護和執行其智慧財產權(IPR),陸續發布如2020年「保護你在中華區的營業秘密」(Protecting your trade secrets in China)等一系列指導企業如何於中華區保護智財之指南。 本指南首先揭示企業營業秘密之事前保護手段,包括(1)技術手段:加強網路安全(加密資料、安裝防毒軟體、辨識雲端風險、制定網路安全策略)以及利用區塊鏈技術作為資料、證據保存的手段;(2)內外部人員管制手段:內部員工培訓與管理、第三方(市場、競爭對手)監控。而營業秘密遭竊之事後應對手段,包括(1)回應手段:確認資訊外洩原因、建立緊急處理機制(回報、蒐證流程)、採取法律步驟;(2)回復手段:控制損害(端視營業秘密是否被公開而有不同做法)、亡羊補牢(重新檢視企業智財布局、資安措施、緊急處理計畫),對於在中華區之企業,本指南作法具參考價值之外,資策會科法所發布之營業秘密管理指針2.0版亦可同步參考。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
論數位環境下個人資料保護法制之發展與難題-以「 數位足跡」之評價為核心