英國Ofcom提出「促進智慧聯網之投資與創新」報告並對英國智慧聯網管制應補強之方向提出建議
英國電信主管機關Ofcom於2015年1月提出「促進智慧聯網之投資與創新」報告(Promoting investment and innovation in the Internet of Things),對英國智慧聯網(Internet of things, IOT)之管制發表意見。Ofcom認為就英國發展智慧聯網之現況而言,在商業上確實已經進行智慧聯網發展並投資之,然,並未對複雜的發展做好準備;Ofcom亦承認英國在基礎設施和政府管制架構上,尚未具備適當的發展。於此報告中,Ofcom提出四方向的建議,分別為資料隱私與消費者認識、網路安全與防護、智慧聯網可用之頻譜和電話號碼與網址管理等四項。
首先在資料隱私與消費者認識部分,Ofcom認為以現有管制保護智慧聯網下之隱私的效果有限,因此建議英國「資訊專員辦公室」(Information Commissioner's Office , ICO)需要發展未來隱私保護議題之解決方法,並且與政府及其他管制機關就資料隱私之法制議題共同進行,包括將現有之資料保護管制之範圍進行評估,考量是否需涵蓋到所有智慧聯網設施,和訂定智慧聯網資料共享之原則。
第二,在網路安全與防護管理上,Ofcom指出英國2003年通訊法(Communication Act 2003)已就服務提供者所提供之公眾可使用的網路與服務,課與特定安全與防護責任;例如網路與服務提供者必須採取適當的手段管理安全風險,尤其需將對終端使用者之影響降至最低、網路提供者必須採取所有適當的程序,盡可能的保護網路安全。然,Ofcom認為智慧聯網並未直接規定於現有的管制中,例如智慧電網設施之高度安全與防護範圍應涵括私人網路;故,應評估必須規定於法律中的智慧聯網網路與服務種類,以達完善防護。
再者,關於智慧聯網可用之頻譜議題,著重於用於智慧聯網之技術須改進。目前使用之頻譜在2.4和5GHz(此頻譜亦用於Wi-Fi服務);而未來的設施也可能使用到1GHz以下的頻譜,同時Ofcom也說明其將來僅會監視頻譜的利用,而不會開放新的可用頻譜。
最後,在電話號碼與網址管理方面,就智慧聯網設施之網際網路協定,未來可能會從IPv4發展成為IPv6也是相當重要的。Ofcom認為未來智慧聯網可能會發展成一個「相當大數量且顯著的設施」,故採用IPv6將顯得更為重要;然,就目前而言,英國採用IPv6之情況系落後於其他國家的。
Ofcom現正致力於發展新的頻譜管制、數據隱私、網路安全與網址等管制,殊值得繼續觀察以俾利我國智慧聯網管制與發展。
美司法部於2008年介入Google與Yahoo網站上進行的搜尋動作提供相關廣告的合作案後,再次針對Google公司的網路版圖擴張動作,是否造成阻礙公平競爭採取調查行動,這次的目標是Google與書籍作者與出版商之間的圖書、文章數位化和解協議。 事實上Google 去年已與美國書籍作者與出版協會取得和解共識,前者願支付 1.25 億美元和解金,後者則撤銷其違反著作權的指控。但「無主」(orphan)的著作物,像是絕版書或不明著作的書籍作者必須在5月5日最後期限前選擇退出Google的計畫,否則就會被納入和解案。 不過,有七位作者上周向法院要求把5月5日截止期限再延長四個月,理由之一是提議的和解案太複雜。為讓Google有更多的時間,與其它作者商議和解協議,美國紐約聯邦法庭已將和解的期限延至 9 月4 日。Google表示會再花六十天的時間找到作者,並說服他們就Google線上書籍搜尋服務一案達成和解。如果Google的和解計畫順利完成,在其「Google Book Search service」搜尋服務中,將可找到數百萬件的作品。
以色列政府採購之創新實踐 歐盟通過《外國補貼規則》並於2023年1月正式生效2023年1月12日,歐盟《外國補貼規則》(Foreign Subsidies Regulation, FSR)正式生效。其旨為歐盟欲有效打擊因領有外國補貼而具不公平競爭優勢之企業,以保護歐盟市場公平競爭。 2021年5月5日,歐盟執委會(European Commission)提出《外國補貼規則》草案以防範上述企業在歐盟市場進行危害競爭之行為。該規則於2022年11月分別經歐洲議會(European Parliament)與歐盟理事會(European Council)通過後,同年12月23日刊載於歐盟官方公報,並於2023年1月正式生效。 歐盟執委會於2023年2月6日公布《外國補貼規則》執行細則草案,詳細規範踐行企業併購及參與公共採購程序通知義務所應提交之資訊、調查期程及受調查企業之權利等。根據新規,執委會可調查非歐盟國家之企業財務補助(financial contribution)情形,就調查結果決定是否限制其在歐盟市場從事企業併購、參與公共採購以及其他可能影響市場競爭之經濟活動。 若併購一方的歐盟營業額達5億歐元(€500 million),且外國注資達5,000萬歐元(€50 million),相關企業須向歐盟執委會報告。另外,執委會有權解除未履行通知義務但已執行之交易。而公共採購標案方面,標案金額預估達2.5億歐元(€250 million),且參與投標之企業受外國補貼達400萬歐元(€4 million),該企業即應通知執委會,執委會得禁止接受補貼之企業或違規者得標。 歐盟執委會將考量利害關係人意見回饋後預計自2023年7月12日起實施,而部分通知義務將自同年10月12日起實施。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。 個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。 此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。