歐盟國家推動智慧防救災下之資料開放、運用與傳遞法制政策研析

刊登期別
第26卷第12期,2014年12月
 

※ 歐盟國家推動智慧防救災下之資料開放、運用與傳遞法制政策研析, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6739&no=55&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護

.Pindent{text-indent: 2em;} .Noindent{margin-left: 22px;} .NoPindent{text-indent: 2em; margin-left: 38px;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護 資訊工業策進會科技法律研究所 2024年12月10日 美國消費者金融保護局(Consumer Financial Protection Bureau, CFPB)於2024年10月22日發布最終規則以落實2010年《消費者金融保護法》(Consumer Financial Protection Act, CFPA)第1033條規定之個人金融資料權利[1],該規則即通常所稱之「開放銀行」(Open Banking)規則。 壹、事件摘要 本次CFPB頒布最終規則旨在賦予消費者對其個人金融資料更大的權利、隱私與安全性。透過開放消費者金融資料,消費者得更自由地更換金融服務提供者以尋求最佳交易,從而促進市場競爭,並激勵金融機構精進其產品與服務[2]。 貳、重點說明 最終規則要求資料提供者在消費者及授權第三方之請求下,提供消費者金融產品或服務相關資料,並應以消費者及授權第三方可使用之電子形式提供。最終規則亦制定標準,以促進資料標準化格式(standardized formats)之發展和使用,同時規範第三方近用消費者資料義務,包括對資料之蒐集、利用及保留限制。相關重點如下: 一、受規範機構主體 最終規則規範對象為資料提供者(data provider),包含銀行、信用合作社等存款機構(depository institution);發行信用卡、持有交易帳戶、發行用於近用帳戶設備或提供支付促進服務(payment facilitation service)等非存款機構[3]。值得注意者,最終規則將數位錢包(digital wallet)及支付應用程式(payment app)業者納入資料提供者範圍,亦即被廣泛使用的金融科技服務亦將受到開放銀行規範體系之約束。此外,資料提供者不得向消費者或第三方收取資料近用之費用。 二、受規範資料範圍 最終規則規範之資料範圍涵蓋:資料提供者控制或擁有之24個月內之歷史交易資訊、帳戶餘額、付款資訊、契約條款與條件、即將到期之帳單、以及基本帳戶驗證資訊(Basic account verification information)等[4],消費者得授權第三方近用此類資料。至於機密商業資訊、蒐集資料僅用於防止詐欺、洗錢,或為偵測或報告其他非法及潛在非法行為,又或基於其他法律要求保密之資訊,以及在正常業務過程中無法檢索之資料,則豁免最終規則之適用[5]。 三、消費者與開發者介面 根據最終規則,資料提供者須建立及維護兩個獨立的介面以利資料之近用,包含:消費者介面,例如提供消費者近用其資料之入口網站,以及授權第三方之開發者介面(developer interface),例如應用程式介面(Application Programming Interface, API),雖最終規則不要求使用任何特定技術,然仍要求資料提供者須以標準化機器可讀格式(Standardized and Machine-Readable Format)提供資料,介面功能要求須達每月最低99.5%之回應率(response rate)[6]。此類資訊須在每月最末日前揭露於資料提供者網站上。此外,介面之設計須遵守《美國金融服務業現代化法》(The Gramm-Leach-Bliley Act, GLBA)」及聯邦貿易委員會(Federal Trade Commission, FTC)之《消費者資訊保障標準》(Standards for Safeguarding Customer Information)等消費者資料保護法規義務[7]。 四、授權第三方之行為義務 授權第三方(authorized third party)為代表消費者向資料提供者請求近用資料,藉以提供消費者產品或服務者。為解決隱私與資料安全問題,該規則對尋求近用消費者資料之第三方提出數項要求[8],包含但不限於: (一)知情同意之取得 第三方須取得消費者明確知情同意(express informed consent),以便代表消費者近用資料。 (二)資料利用之限制 第三方須確保將其資料之蒐集、利用及保留限制在提供消費者所請求的產品或服務之合理必要範圍內。就此部分,精準廣告(targeted advertising)、交叉銷售(Cross-selling),以及銷售資料並非提供產品或服務之合理必要範圍。 (三)遵守聯邦法規 第三方須依GLBA第501條規定或FTC之《消費者資訊保障標準》確保在其系統中採用「資訊安全計畫」(information security program)。 (四)政策與程序文件要求 第三方應擁有合理書面政策和程序,以確保從資料提供者處準確接收資料,並提供於其他第三方,即資料正確性之確保。 (五)資料撤回權之確保 第三方應向消費者提供撤回第三方授權之方法,撤回過程須簡易明瞭。在第三方收到消費者撤回授權之請求時,應通知資料提供者以及已向其提供消費者資料之其他第三方。 (六)第三方監督義務 第三方應透過契約要求其他第三方在向其提供消費者資料前遵守特定第三方法定義務。 (七)資料保存期限 消費者資料之保存期限最長為一年。若繼續蒐集,第三方應取得消費者重新授權。若消費者不提供重新授權或撤回授權,第三方應停止資料之蒐集,並停止利用與保留先前蒐集之資料。 五、實施日期 最終規則將依機構資產規模分階段實施[9],最大規模之機構(資產總額為2500億美元以上之存款機構資料提供者,以及在2023年或2024年任一年中,總收入達到100億美元以上之非存款機構資料提供者)須在2026年4月1日前遵守最終規則。對於規模最小之機構(資產總額低於15億美元但高於8.5億美元之存款機構資料提供者)須於2030年4月1日前遵守該規則。另總資產低於8.5億美元之存款機構不受該規則限制,以減輕小型銀行及信用合作社合規負擔。 參、事件評析 CFPB之CFPA第1033條最終規則將重塑美國金融市場之監理格局,由市場驅動之開放銀行框架走向由政府透過法規實質監理之管制措施,要求業者開放消費者資料。值得留意者,歐盟執委會(European Commission)2023年6月推出之「金融資料近用」(Financial Data Access, FiDA)草案[10]亦基於消費者賦權理念,強化消費者對其資料權利之控制權。由此可觀察國際間金融資料利用與監理規範逐漸走向以消費者資料自主為中心之法制架構,當代金融資料監理趨勢或值得我國主管機關及業者留意關注,除可作為我國金融資料法制與政策制定之參考,亦供我國企業布局全球化金融服務提前作好準備。 [1]Required Rulemaking on Personal Financial Data Rights, 89 Fed. Reg. 90838. [2]Consumer Financial Protection Bureau, CFPB Finalizes Personal Financial Data Rights Rule to Boost Competition, Protect Privacy, and Give Families More Choice in Financial Services, available at https://www.consumerfinance.gov/about-us/newsroom/cfpb-finalizes-personal-financial-data-rights-rule-to-boost-competition-protect-privacy-and-give-families-more-choice-in-financial-services/(last visited Dec. 5, 2024). [3]12 C.F.R. § 1033.111. [4]12 C.F.R. § 1033.211. [5]12 C.F.R. § 1033.221. [6]12 C.F.R. § 1033.311. [7]See id. [8]12 C.F.R. § 1033.421. [9]12 C.F.R. § 1033.121. [10]Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 and (EU) 2022/2554.

英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定Uber違反《Data Protection Act 1998》資料保護法

  英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料,故處以罰款385,000英鎊。   ICO調查發現Uber的諸多過失,包含系統存有一系列原可避免的數據安全漏洞,使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統,下載大約270萬筆英國客戶個人資料,例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄,如旅程詳情及支付金額。然而,受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的,Uber反而向攻擊者妥協並支付了10萬美元,以銷毀被盜取的數據。   ICO認為,這不僅為Uber資料安全之問題,且當時未採取任何措施通知可能受影響的人,或對其提供任何協助,已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默,亦非對於網路攻擊之適當反應,Uber未完善的數據保護措施,以及隨後的決策與行為,反將可能會加劇受害者權益的受損。   因此,ICO認為該事件已嚴重違反了英國1988年資料保護法(Data Protection Act 1998, DPA)第7條的原則,有可能使受影響的客戶和司機面臨更高的詐欺風險,故從嚴判處Uber高達385,000英鎊罰款。

日本經產省發布中小企業開發IoT機器之產品資安對策指引

日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下: 1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。 2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。 3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。 4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。 5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。 6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。

瑞典與法國簽署成立戰略夥伴關係進行綠色創新合作

  於2017年11月17日,瑞典與法國共同簽署成立戰略夥伴關係,共同致力於創新與數位化轉型,尋求綠色解決方案,由產業界、新創公司、學術界以及公共部門共同參與,此次合作兩大主軸分別為數位化轉型以及因應氣候變遷的綠色創新,工作細項側重四大領域: (1)運輸、乾淨能源與智慧城市的綠色創新方案:以大幅減少交通運輸所產生的溫室氣體為目標,瑞典希望相較於2010年,至2030年時至少減少國內運輸排放量百分之七十(不包括航空),法國則宣布希望至2040年前能結束出售以化石燃料運行的汽車,兩國將與企業共同合作尋求解決方案並創造就業機會。 (2)因應氣候變遷的綠色經濟:朝向低(零)碳排放量的社會前進,並制定一套適當的法律框架。 (3)數位化轉型、智慧產業與新創公司:兩國將使中小企業進行數位化轉型的知識交流,致力於支持中小企業數位化轉型進程;除此之外,為了實現長期的共同利益,善用彼此的相關研究,研究小組更進一步尋求雙方人力資源的合作,包含研究人員相互交流並鼓勵企業共同探索研發成果的商機。 (4)健康與生命科學創新:確立完善的健康照護體系以及衛生系統不斷的重新評估與改革對兩國相互交流醫療保健模式是有助益的,兩國重視當前高齡化的社會照護,通過科技創新在健康、福利與預防醫學上達到E化保健與遠程保健等目標,藉由以病人為中心的醫療體系,更新社會醫療保健模式。

TOP