美國白宮公布巨量資料追蹤報告與政策建議

　　日本文部科學省於2022年3月發布「教育資訊安全政策指引」（教育情報セキュリティポリシーに関するガイドライン）修訂版本，該指引於2017年10月訂定，主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考，本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 （1）增加校務用裝置安全措施的詳細說明： 充實「以風險為基礎的認證」（リスクベース認証）、「異常活動檢測」（ふるまい検知）、「惡意軟體之措施」（マルウェア対策）、「加密」（暗号化）、「單一登入的有效性」（SSOの有効性）等校務用裝置安全措施內容敘述。 （2）明確敘述如何實施網路隔離與控制存取權的相關措施： 對於校務用裝置實施網路隔離措施，並將網路分成校務系統或學習系統等不同系統，若運用精簡型電腦技術（シンクライアント技術）則可於同一裝置執行網路隔離。另外，針對校務用裝置攜入、攜出管理執行紀錄，並依實務運作調整控制存取權措施，例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。

　　因應歐盟「通用資料保護規則」（The General Data Protection Regulation，或譯為一般資料保護規則，下簡稱GDPR）執法之需，針對個人資料合法處理要件之一當事人「同意」，歐盟資料保護工作小組（Article 29 Data Protection Working Party, WP29）特於本（2018）年4月10日修正通過「當事人同意指引」（Guidelines on consent under Regulation 2016/679），其中就有效同意之要件、具體明確性、告知、獲得明確同意，獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域，以及依據指令（95/46/EC）所取得之當事人同意等，均設有詳盡說明與事例。 　　GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知，及透過聲明或明確贊成之行為，就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願（unambiguous indication）並表示同意。殊值注意的是，如果控制者選擇依據當事人同意為任何部分處理之合法要件，須充分慎重為之，並在當事人撤回其同意時，即停止該部分之處理。如表明將依據當事人同意進行資料之處理，但實質上卻附麗於其他法律依據，對當事人而言即顯係重大不公平。 　　換言之，控制者一旦選擇當事人同意為合法處理要件，即不能捨同意而就其他合法處理的基礎。例如，在當事人同意之有效性產生瑕疵時，亦不允許溯及援引「利用合法利益」（utilise the legitimate interest）為處理之正當化基礎。蓋控制者在蒐集個人資料之時，即應揭露其所依據之法定要件，故必須在蒐集前即決定其據以蒐集之合法要件為何。

　　工業技術研究院系統晶片技術發展中心（ STC）計畫將其與國立交通大學推出的靜電放電防護（ESD protection）技術相關專利授權業界，該專利以6大組合區分，包含「輸出入介面電路之靜電放電防護」、「高速／射頻／混壓輸入輸出IC之靜電放電與電性栓鎖防護」、「輸出入單元電路設計」等共計110件專利，預計進行專屬授權。 　　 隨著半導體產業競爭全球化，競爭型態也從過去的價格戰轉變成智慧戰，半導體產業廠商需快速大量取得專利權進行佈局，才能保持產業競爭力。配合產業界對專利的需求，工研院此次專屬授權的 ESD專利組合，主要來自STC的研發成果，將IC半導體產業中極重要的靜電放電防護與輸出入單元電路設計（I/O Circuit Design）相關專利，搭配交通大學電子工程系靜電放電防護專利，公開徵求專屬授權廠商。 　　ESD專利組合專屬授權說明會訂7月21日上午9時30分於工研院竹東中興院區9館010室召開，內容包括專屬授權競標規則、專利組合及專屬授權契約內容介紹，並隨即開放通訊投標，結標日為9月23日。

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。