美國眾議院通過網路保護法
美國眾議院於2015年4月22日以307票同意,116票反對,通過網路保護法(The Protecting Cyber Networks Act)。本法之立法目的在於移除法規障礙,美國公司藉此將得以與其他公機關或私人分享資安威脅的相關資訊,以防範駭客攻擊。
本法之重點內容主要係為對於網路威脅指標與防禦辦法之分享。依網路保護法第102條與第104條之規定,分享的客體包括「網路威脅指標」(cyber threat indicator)與「防禦辦法」(defensive measures),分享之對象則分為非聯邦機構(non-Federal entities)以及(國防部或國安局之外的)適當之聯邦機構(appropriate Federal entities)。本法第102條規定,在符合機密資訊、情報來源與方法、以及隱私及公民自由之保護下,國家情報總監(the Director of National Intelligence, DNI)經與其他適當聯邦機構諮商後,應展開並頒布相關程序,以促進下列事項之進行:「(一)與相關非聯邦機構中具有適當安全權限之代表,及時分享(timely sharing)聯邦政府所有之機密網路威脅指標;(二)與相關非聯邦機構及時分享聯邦政府所有,且可能被解密並以非機密等級分享之網路威脅指標;(三)於適當情況下與非聯邦機構分享聯邦政府所有,且與該些機構即將或正在發生之網路安全威脅(cybersecurity threat)有關之資訊,以防止或降低該網路安全威脅所造成之負面影響。」
以及,對於隱私權與公民自由之保障亦非常重要,就隱私權與公民自由之保障,網路保護法主要在第103條第4項設有相關規定。對於資訊安全,該項第1款規定,依本法第103條之規定進行資訊系統之監控、執行防禦辦法、或提供或取得網路威脅指標或防禦辦法之非聯邦機構,應實施適當之安全管控,以保護該些網路威脅指標或防禦辦法免遭未經授權之近用或取得。同項第2款則更進一步規定了特定個人資料在一定條件下應被移除。該款規定,依本法進行網路威脅指標分享的非聯邦機構,於分享前應合理地對該網路威脅指標進行復核,以評估該指標是否含有任何令該機構合理相信(reasonably believes)與網路安全威脅非直接相關,且於分享時(at the time of sharing)屬於特定個人之個人資訊或指向特定個人之資訊,並移除該等資訊。
本文為「經濟部產業技術司科技專案成果」
王自雄
主任 編譯整理
H.R.1560 - Protecting Cyber Networks Act, available at https://www.congress.gov/bill/114th-congress/house-bill/1560/text
House Passes Controversial Cybersecurity Information-Sharing Bill, available at http://techcrunch.com/2015/04/22/house-passes-controversial-cybersecurity-information-sharing-bill/
根據美國瑞生國際律師事務所(Latham & Watkins)於2024年1月發布的ESG年度報告指出,隨漂綠議題延燒,ESG報告不受信任為一課題,因此國際逐步擴大ESG監管,多國透過立法強制企業應揭露永續報告書或供應鏈資訊,比如:歐盟於2023年1月生效之《企業永續報告指令》(Corporate Sustainability Reporting Directive, CSRD),要求企業揭露的永續資訊需增加供應鏈資訊的透明度;美國證券交易委員會(SEC)於2024年3月6日通過規則,要求上市公司及公開發行公司揭露碳排放報告等氣候風險相關資訊。 為因應ESG帶來的挑戰,報告建議企業應採取流程化管理方式,了解產品進出口涉及的其他國家對ESG揭露資訊的要求,加以規劃並建置資料控管規範、進行人員教育訓練以及確認ESG相關資料的所有權歸屬。 由於碳排放量的計算沒有一致標準,且難以確保供應鏈上下游所提供的碳排資訊真實、未經竄改等問題,外界不容易信任企業永續發展書提倡的供應鏈減碳策略。國內企業可參考資策會科法所創意智財中心發布的《重要數位資料治理暨管理制度規範(EDGS)》,透過流程化管理,從制度規劃及留存供應鏈二氧化碳排放量或二氧化碳減量等產品相關資料歷程來增進ESG資料透明度。 本文同步刊登於TIPS網(https://www.tips.org.tw)
日本著作權法修正促進人工智慧開發2018年5月18日,於第196次參議院會議中通過「著作權法」修正案,並於5月25日公布,預計於2019年1月1日施行。本次修正是為因應數位網路技術的發展,對需要著作權人同意的行為範圍進行檢視。其中第47條之7修正、及新增之第30條之4與第47條之5與人工智慧發展有重大相關。 日本著作權法於2009年的修正中,增加第47條之7規定,原本可能構成著作權侵害之資料分析、機器學習行為(未經原作者同意複製、改作),只要在必要限度內,不分是否有營利,皆無須權利人同意。然而本條在使用上因為未涵蓋成果物的讓與行為,也就是如果公開販售學習完成的資料集或是人工智慧模型,甚至於同一平台共享資料集都可以構成侵害。有鑑於此,才在本次修法中修正相關條文。 本次修正中,增加第30條之4規範於必要限度內可利用他人著作物的行為,其中在同條第二款中認可第47條之5第1項第2款之行為,也就是「利用電子計算機的情報解析及提供其結果」,亦可被認為不違反著作權法,因而補上原本第47條之7的漏洞。 惟須注意的是,所謂的必要限度還是有嚴格的比例限制,不能無限制使用。由於目前本次修正還尚未生效,未來對人工智慧發展的應用會產生什麼樣的實際影響,值得繼續觀察。
歐盟提出共同策略架構以打造完整之創新研發供應鏈歐盟執委會(The European Commission)於2011年2月9日提出「從挑戰到機會:邁向歐盟研發創新補助之共同策略架構」綠皮書(Green Paper - From Challenges to Opportunities: Towards a Common Strategic Framework for EU Research and Innovation funding,以下簡稱綠皮書),以整合現有研發創新補助機制(包括FP、CIP及EIT)、改善參與容易度、增進研發之科學影響及經濟價值為目標,提出以共同策略架構(Common Strategic Framework)作為歐盟未來創新研發補助機制的構想,希冀藉此串聯基礎研究、技術服務商品化及非技術性創新等環節,以打造完整之創新研發供應鏈(innovation chain)。 歐盟共同策略架構包括了三大重點目標:1.聚焦於「提供歐盟一個世界級的科學基地」、「增進跨國間競爭」及「解決重大挑戰」;2.使歐盟研發補助更具吸引力且更易進入;3.建立更為一致的會計制度,使補助資金的使用更為容易。 歐盟綠皮書在具體作法與詳細內容上雖有待擬定,但針對現有研發補助機制之改進已提出明確方向,包括:釐清補助目標、減少法規複雜性、增進補助的附加價值與影響力,同時避免資源重覆及分散、簡化參與程序、擴大補助計畫參與、透過補助增進競爭等。此外,執委會亦已預定於2011年底提出具體立法建議,未來此一立法將為歐盟科技研發補助架構帶來如何之變革與影響,值得密切注意。
日本與歐盟間個人資料之國際傳輸歐盟委員會(European Commission)原則上禁止將歐盟境內的個人資料傳輸至境外,只有經歐盟委員會認定其個人資料保護機制達到歐盟認可標準的國家或地區例外,例如:瑞士、加拿大、以色列等。而日本未能進入前揭國家之列的主要原因,係日本之個人資料保護法未將政府部門納入規範對象。但是基於經濟全球化的需求,日本與歐盟自2017年第一季開始加速進行雙邊合意協商。 日本個人資料保護委員會公布,於2017年5月修正施行的個人資料保護法,已符合歐盟資料保護規則中准許進行境外傳輸的標準。其中包括以獨立的個人資料保護機關來確保必要的保全機制能確實執行等五點(新設立個人資料保護委員會、個人資料定義的明確化、個人料去識別化、非法販賣個人資料之處罰、其他)。 歐盟對此表示,雙邊對於個人資料保護之標準的差異性已經漸漸縮小,利於日本與歐盟間個人資料國際傳輸的環境也已經逐漸形成。目前於歐盟境內設立子公司或是設立法人的日本企業,預期2018年即能自由就歐盟境內雇員或顧客的個人資料,進行日本與歐盟間的國際傳輸。 由於歐盟關於個人資料之保護,為歐洲聯盟基本權利憲章(Charter of Fundamental Rights of the European Union)所明定,企業若非法進行個人資料境外傳輸,會被處以高額罰金,金額約相當於該企業一年內全球營業額總額的4%或2000萬歐元,兩者取其高者為上限;股東甚至也可能面臨被提起訴訟的風險。日本此次修法,對日本在歐盟境內的企業經營將帶來莫大的裨益。