美國發布了「消費者隱私權法」草案
美國白宮在2015年2月27日發布了「消費者隱私權法」(Consumer Privacy Bill of Rights Act)草案,目的在於擴大消費者資料的保護範圍。
該草案的重點分列如下:
- 透明性:受規範主體必須提供資訊主體簡潔、明顯、易懂的公告,公告內容必須提供簡潔、明瞭及即時的隱私與安全運作,包含資訊保存、揭露以及個人資料存取機制。
- 個人控制:受規範主體應該在合理範圍內提供機制,讓資料主體能控制其個人資料之處理,同時也規範應讓消費者撤銷個人資料使用的同意。
- 注重資料蒐集與合理使用:受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時,在資料蒐集之特定目的完成後的合理時間內,必須針對所蒐集的個人資料進行刪除或是去識別化。
- 安全性的維護:為了維護個人資料之安全性,以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露,公司機構必須進行安全風險評估,並且採取合理的資訊安全防護措施。
- 存取與正確性:受規範的公司機構必須提供資訊主體合理的存取權利,同時也應該採取合理的步驟,來維護資料的正確性。
- 擔負隱私維護的責任:受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。
- 不受本草案規範之公司機構:
- 25名員工以下的小型公司,且其處理者僅限於員工與求職者之個人資料。
- 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼,並符合以下要件之一者:
- 在12個月內蒐集個人資料筆數在10,000筆下;
- 5名員工以下。
除了要求產業發展處理消費者資料的標準或規則,該草案也要求「聯邦貿易委員會」(Federal Trade Commission, FTC)確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定,包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」,將會面臨FTC或是州檢察長所發起的法律行動。
該草案引起了產業界極大的反彈,隱私團體也批評該草案太過寬鬆,留給產業界太多自由空間,同時目前國會由共和黨所主導,因此後續立法工作的進行將會面臨極大的挑戰。
本文為「經濟部產業技術司科技專案成果」
宋佩珊
資深管理師 編譯整理
Natasha Singer, White House Proposes Broad Consumer Data Privacy Bill, The New York Times, http://www.nytimes.com/2015/02/28/business/white-house-proposes-broad-consumer-data-privacy-bill.html?_r=0 (last visited Mar. 9, 2015)
James Denvil, Insights on the Consumer Privacy Bill of Rights Act of 2015, Chronicle of Data Protection, http://www.hldataprotection.com/2015/03/articles/consumer-privacy/insights-on-the-consumer-privacy-bill-of-rights-act-of-2015/ (last visited Mar.9, 2015)
Roberta Rampton, White House releases draft bill to protect consumer data privacy, Reuters, http://www.reuters.com/article/2015/02/27/us-usa-privacy-idUSKBN0LV2O320150227, (last visited Mar.9, 2015)
美國聯邦通訊委員會(Federal Communications Commission, FCC)自2010年推動「國家寬頻計畫」(National Broadband Plan)以來,即進行多項寬頻建設,使民眾於生活、工作及旅行途中,都能享受到行動寬頻網路與語音服務。而FCC於2012年2月規劃利用原普及服務基金(Universal Service Fund)下的行動通信基金(Mobility Fund)(兩者於2011年底均已劃入連接美國基金“Connect America Fund”)提撥出3億美金,一次性的提供業者於訊號未涵蓋區域進行3G網路基礎建設,並在未來三年內提供5億美金以供業者持續營運。 FCC預計於2012年9月2日,以反向拍賣(reverse auction)方式進行。由業者提出佈建方案、使用技術,並證明在競標區域內擁有足夠頻譜與建設能力,方能進入投標,最後由需要補助最少之業者得標。FCC希望利用此方式能促進市場競爭,使業者提出更積極之佈建方案。得標業者除獲得建設與營運補助外,並能為商用經營。本次拍賣將與其他頻譜執照拍賣方式類似,但就細部拍賣規則,將徵詢公眾意見後做出決定。 而為避免補助區域與已有3G訊號區域重疊,FCC就無3G訊號涵蓋區域繪製全國地圖,並公佈予投標者參考。原規劃區域為491,000區,但因過於狹小恐難以經營,故合併後為6,200區供業者競標。得標者負有義務必須於兩年之內於標得區域內完成3G網路佈建,或於3年內完成4G建設。
日本醫藥品醫療器材等法修正研析―以醫療應用軟體為中心 AT&T 控告資料掮客非法竊取客戶通話紀錄AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客( data broker ),在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取, AT & T 已通知相關客戶已被通知並凍結其帳戶。 AT&T 並未於訴狀中明確地列出被告的名字,表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人, AT&T 宣稱一旦這些資料掮客經鑑定被確認後,除了賠償 AT&T 的損害之外,還須償還其販賣資料所獲得的不法利益。 PrivacyToday.com 網站的總裁表示,「買資料的人無處不在,但只有少數的人會非法竊取客戶資料,而這少部分的人大多都可以被追蹤的到。」 這並非唯一的案例,未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄,還有銀行、醫療或其他個人敏感資料,每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法,將有關電話紀錄的欺騙行為判定為不法行為。
歐盟執委會發布關於歐洲境內資料流監控之新研究歐盟執委會(The EU Commission)於2022年2月3日發布了一項研究,其繪製並預估歐盟27個成員國以及冰島、挪威、瑞士和英國等國家彼此之間的主要雲端基礎設施的資料流量。該研究概述了各級產業、位置、企業規模和雲端服務類型的雲端資料流入和流出的流量和類型。政策、決策者、商業領袖與公共行政部門可以將其作為參考,以支持對未來貿易協定、工業決策和雲端投資的決策。 在歐盟的歐洲資料戰略中,認識到獲取有關資料流的經濟情報的戰略重要性,因此提出了資料流戰略分析框架的發展。為了實現這一關鍵行動,歐盟執委會開展了上述關於繪製資料流的研究,首次開發和測試了一種全新、自我維持與可複製的方法,從而產生了資料流可視化工具,用於測量、映射和分析歐洲31個國家與地區的各級產業、地理和企業規模的雲端資料流。而該資料流可視化工具中顯示的資料預計將每年更新一次。使用的資料收集來源從官方統計資料等主要來源到調查和訪談等次要來源。 該工具得以讓歐盟執委會: 一、繪製和估計歐盟27個成員國(即歐盟內部資料流)和冰島、挪威、瑞士和英國(即歐盟外資料流)的雲端計算領域主要資料流的數量 二、預測至2030年的資料流出 三、分析各產業、公司規模和雲端服務類型的資料流量 該研究顯示2020年最大的資料流來自醫療衛生產業,而德國的資料流入量最大。該報告還估計,到2030年,來自歐洲企業的資料流量將是2020年的15倍。 作為資料流市場關鍵層面之一,透過進一步調查資料趨勢,將協同即將出現的資訊法案打造一個更加生動、動態和流動的雲端市場。