韓國通過最新個人資料保護法修正案
近年韓國國內發生多起重大資訊安全疏失,例如:2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal Information Protection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關,將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。
根據最新修正案條文,若某機關因故意或重大過失,造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀,經法院判決後,最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外,除非該機關能舉證當事人的損害與機關之行為沒有因果關係,否則當事人可請求最高3百萬韓元(約台幣8萬元)的法定損害賠償。
此次,韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會(The Personal Information Protection Committee)的職權。該委員會將成為資訊安全爭議的最終裁決機關,且擁有相關資訊安全管理相關政策制定及修正的提議權。
由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制,避免在新法上路後遭罰。
- Implementation of “Guidelines for Personal Information Protection for Smartphone Apps”, Lexology, Aug. 2015
- Korea Communication Commision(KCC), 스마트폰 앱, 과도한 개인정보 접근 막는다, Aug. 2015
- South Korea introduces punitive damages resulting from data breach, Lexology, Aug. 2015
- South Korea introduces further data protection breach penalties to encourage compliance, and issues mobile app guidance, JD Supra, Aug. 2015
- South Korea tightens data protection rules, Out-Law, Aug. 2015
本文參照2025年3月21日紐約東區地方法院的Superb Motors Inc. v. Deo一案,提醒企業:在數位化與資料外洩風險日增的時代,即使資訊具有高度價值,若僅採取防火牆(Firewall)、帳號密碼之技術手段,而未採取具體之書面規範或契約之營業秘密保密措施者,法院仍可能認定不足以符合營業秘密之合理保密措施要件。 本案源於2023年8月16日,Superb汽車經銷公司控訴前股東Deo離開公司後,擅自使用其客戶名單與核心系統Dealer Management System(下稱DMS),協助競爭對手拓展業務、挖角員工,並導致前公司客戶流失。Superb公司主張,公司投入逾12萬美元整合DMS系統,且以150萬美元的廣告與行銷策略蒐集並以多年經驗建構完整的客戶資料庫,屬於具競爭優勢的關鍵資產。 法院認為,Superb公司僅以防火牆、帳號密碼限制資訊存取,期待員工自發性保密,而未提供任何形式的保密協議或明確政策文件,此舉不足以構成合理保密之手段。法院認為,營業秘密保護法所要求的保密措施,需具備可執行的契約條款,例如:保密協議或公司內部保密政策規範。 為助於訴訟舉證、減少因人力流動可能發生的資料外洩風險,企業不能僅依賴科技工具,而應積極主動地搭配企業政策與契約等法律文件。參考美國實務,建議企業採取下列營業秘密管理作法: 1.與有權接觸敏感資訊之員工、顧問簽訂保密協議,且企業應定期檢視與修訂保密條款,以確保條款符合最新的勞動法相關要求並具備可執行性。 2.建立公司內部保密制度與定期教育訓練,以確保員工理解公司要求之保密義務。 本案顯示出法院對「營業秘密合理保密措施」認定的標準,不僅留意保密技術複雜性,更著重於企業採取的保密措施(如保密契約)是否具有法律上的拘束力。 資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」已涵蓋前述美國實務建議之管理作法,我國企業如欲精進系統化的營業秘密管理作法,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
英國皇家內科醫學院等三個團體聯合發布基因檢測醫療之指引建議書近年隨基因檢測技術成熟及成本下降的影響,基於醫療診斷或照護目的,而對於血液、其他體液、細胞或DNA所進行之基因檢測行為已有逐漸增多的趨勢,惟基因資訊使用本身往往容易觸及倫理、道德或法律層面的爭議,導致專業醫療人員在實際為檢測時容易產生法規遵循上的困難;因此,若能有明確的程序或標準可供依循,將能大幅增進基因檢測技術的商業運用價值。 1. 有鑑於此,三個英國醫療團體-英國皇家內科醫學院(Royal College of Physicians)、英國皇家病理科醫學院(Royal College of Pathologists)及英國人類遺傳協會(British Society for Human Genetics)於今(2011)年9月聯合公布了一份『診療性基因使用行為的同意及秘密性:基因檢測及基因資訊的分享指引』報告書(Consent and confidentiality in clinical genetic practice:Guidance on genetic testing and sharing genetic information)。該建議書之主要目的即在於指引醫療人員在使用基因資料及樣本時,應如何遵循相關的法律規範,包括1998年資料保護法(the Data Protection Act of 1998)及人類組織法(the Human Tissue Act)等;內容上則涵蓋病患同意、基因醫療行為、家族史與醫療資訊的秘密性,以及當病患所提供之基因樣本可能作為研究用途時,應如何告知等事項。 建議書中特別強調當病患選擇接受基因檢測以獲得更好的診療建議時,基因資訊也開始對病患個人及其家族成員帶來的風險。基此,該報告對基因檢測行為提出三項主要建議:1. 基因檢測所得到的家族史及診斷資訊只有在其他家族成員出現健康照護(healthcare)需求時,才能進行共享,且必須在醫療人員不違反保密義務的前提下進行。2. 醫療人員應當告知病患包括基因調查對其近親屬的潛在好處、部分基因訊息可能會提供給家族親屬、基因檢測可能會得到不確定或非預期的發現、其所提供之樣本及基因資訊將如何被運用,以及該樣本若對於該類型之檢測具有相當重要性時,其檢測結果可能會被收錄於國家資料庫以作為未來醫療研究之用。3. 由於醫療干預行為可能會導致基因診斷(genetic diagnoses)結果的改變,所以應該由病患本人或專業醫師直接告知其親屬,此誤差所可能導致的遺傳風險(例如血友病患者的基因診斷結果發生誤差,可能導致其近親屬生下患有血友病的下一代)。 目前基因檢測技術雖已趨向商業化及普及化發展,但由於基因訊息一般被界定為個人隱私資訊,因此在使用、分享及儲存上有相當之限制規範,並造成醫療人員遵循上的難度。而英國皇家內科醫學院等三個醫療團體所公佈的這份指引建議書,在內容上聚焦於告知病患的程序及病患的同意,同時擬定明確的流程圖及同意表格供各醫療人員參考使用,相信對於未來英國基因檢測技術的普及化會有相當正面之幫助。
英國發布《AI保證介紹》指引,藉由落實AI保證以降低AI系統使用風險英國發布《AI保證介紹》指引,藉由落實AI保證以降低AI系統使用風險 資訊工業策進會科技法律研究所 2024年03月11日 人工智慧(AI)被稱作是第四次工業革命的核心,對於人們的生活形式和產業發展影響甚鉅。各國近年將AI列為重點發展的項目,陸續推動相關發展政策與規範,如歐盟《人工智慧法》(Artificial Intelligence Act, AI Act)、美國拜登總統簽署的第14110號行政命令「安全可靠且值得信賴的人工智慧開發暨使用」(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)、英國「支持創新的人工智慧監管政策白皮書」(A Pro-innovation Approach to AI Regulation)(下稱AI政策白皮書)等,各國期望發展新興技術的同時,亦能確保AI使用的安全性與公平性。 壹、事件摘要 英國科學、創新與技術部(Department for Science, Innovation and Technology,DSIT)於2024年2月12日發布《AI保證介紹》(Introduction to AI assurance)指引(下稱AI保證指引),AI保證係用於評測AI系統風險與可信度的措施,於該指引說明實施AI保證之範圍、原則與步驟,目的係為讓主管機關藉由落實AI保證,以降低AI系統使用之風險,並期望提高公眾對AI的信任。 AI保證指引係基於英國政府2023年3月發布之AI政策白皮書提出的五項跨部會AI原則所制定,五項原則分別為:安全、資安與穩健性(Safety, Security and Robustness)、適當的透明性與可解釋性(Appropriate Transparency and Explainability)、公平性(Fairness)、問責與治理(Accountability and Governance)以及可挑戰性 與補救措施(Contestability and Redress)。 貳、重點說明 AI保證指引內容包含:AI保證之適用範圍、AI保證的三大原則、執行AI保證的六項措施、評測標準以及建構AI保證的五個步驟,以下將重點介紹上開所列之規範內容: 一、AI保證之適用範圍: (一)、訓練資料(Training data):係指研發階段用於訓練AI的資料。 (二)、AI模型(AI models):係指模型會透過輸入的資料來學習某些指令與功能,以幫助建構模模型分析、解釋、預測或制定決策的能力,例如GPT-4。,如GPT-4。 (三)、AI系統(AI systems):係利用AI模型幫助、解決問題的產品、工具、應用程式或設備的系統,可包含單一模型或多個模型於一個系統中。例如ChatGPT為一個AI系統,其使用的AI模型為GPT-4。 (四)、廣泛的AI使用(Broader operational context):係指AI系統於更為廣泛的領域或主管機關中部署、使用的情形。 二、AI保證的三大原則:鑒於AI系統的複雜性,須建立AI保證措施的原則與方法,以使其有效執行。 (一)、衡量(Measure):收集AI系統運行的相關統計資料,包含AI系統於不同環境中的性能、功能及潛在風險影響的資訊;以及存取與AI系統設計、管理的相關文件,以確保AI保證的有效執行。 (二)、評測(Evaluate):根據監管指引或國際標準,評測AI系統的風險與影響,找出AI系統的問題與漏洞。 (三)、溝通(Communicate):建立溝通機制,以確保主管機關間之交流,包含調查報告、AI系統的相關資料,以及與公眾的意見徵集,並將上開資訊作為主管機關監理決策之參考依據。 三、AI保證的六項措施:主管機關可依循以下措施評測、衡量AI系統的性能與安全性,以及其是否符合法律規範。 (一)、風險評估(Risk assessment):評測AI系統於研發與部署時的風險,包含偏見、資料保護和隱私風險、使用AI技術的風險,以及是否影響主管機關聲譽等問題。 (二)、演算法-影響評估(Algorithmic-impact assessment):用於預測AI系統、產品對於環境、人權、資料保護或其他結果更廣泛的影響。 (三)、偏差審計(Bias audit):用於評估演算法系統的輸入和輸出,以評估輸入的資料、決策系統、指令或產出結果是否具有不公平偏差。 (四)、合規性審計(Compliance audit):用於審查政策、法律及相關規定之遵循情形。 (五)、合規性評估(Conformity assessment):用於評估AI系統或產品上市前的性能、安全性與風險。 (六)、型式驗證(Formal verification):係指使用數學方法驗證AI系統是否滿足技術標準。 四、評測標準:以國際標準為基礎,建立、制定AI保證的共識與評測標準,評測標準應包含以下事項: (一)、基本原則與術語(Foundational and terminological):提供共享的詞彙、術語、描述與定義,以建立各界對AI之共識。 (二)、介面與架構(Interface and architecture):定義系統之通用協調標準、格式,如互通性、基礎架構、資料管理之標準等。 (三)、衡量與測試方式(Measurement and test methods):提供評測AI系統的方法與標準,如資安標準、安全性。 (四)、流程、管理與治理(Process, management, and governance):制定明確之流程、規章與管理辦法等。 (五)、產品及性能要求(Product and performance requirements):設定具體的技術標準,確保AI產品與服務係符合規範,並透過設立安全與性能標準,以達到保護消費者與使用者之目標。 五、建構AI保證的步驟(Steps to build AI assurance) (一)、考量現有的法律規範(Consider existing regulations):英國目前雖尚未針對AI制定的法律,但於AI研發、部署時仍會涉及相關法律,如英國《2018年資料保護法》(Data Protection Act 2018)等,故執行AI保證時應遵循、考量現有之法律規範。 (二)、提升主管機關的知識技能(Upskill within your organisation):主管機關應積極了解AI系統的相關知識,並預測該機關未來業務的需求。 (三)、檢視內部風險管理問題(Review internal governance and risk management):須適時的檢視主管機關內部的管理制度,機關於執行AI保證應以內部管理制度為基礎。 (四)、尋求新的監管指引(Look out for new regulatory guidance):未來主管機關將制定具體的行業指引,並規範各領域實踐AI的原則與監管措施。 (五)、考量並參與AI標準化(Consider involvement in AI standardisation):私人企業或主管機關應一同參與AI標準化的制定與協議,尤其中小企業,可與國際標準機構合作,並參訪AI標準中心(AI Standards Hubs),以取得、實施AI標準化的相關資訊與支援。 參、事件評析 AI保證指引係基於英國於2023年發布AI政策白皮書的五項跨部會原則所制定,冀望於主管機關落實AI保證,以降低AI系統使用之風險。AI保證係透過蒐集AI系統運行的相關資料,並根據國際標準與監管指引所制定之標準,以評測AI系統的安全性與其使用之相關影響風險。 隨著AI的快速進步及應用範疇持續擴大,於各領域皆日益重要,未來各國的不同領域之主管機關亦會持續制定、推出負責領域之AI相關政策框架與指引,引導各領域AI的開發、使用與佈署者能安全的使用AI。此外,應持續關注國際間推出的政策、指引或指引等,研析國際組織與各國的標準規範,借鏡國際間之推動作法,逐步建立我國的AI相關制度與規範,帶動我國智慧科技產業的穩定發展外,同時孕育AI新興產應用的發展並打造可信賴、安全的AI使用環境。
新加坡通過「線上安全(救濟與問責)法案」強化對抗線上傷害新加坡國會於 2025 年 11 月5日三讀通過「線上安全(救濟與問責)法案」(Online Safety (Relief and Accountability) Bill, OSRA),希望透過「賦權受害者」與「強化平臺問責」來對抗日益嚴重的線上傷害事件。OSRA旨在補充個人在面對有害的線上行為(Online Harmful Activity)傷害時的救濟途徑,並設置「線上安全專員(Commissioner of Online Safety)」為處理投訴與發布救濟指令的專責機關。 OSRA明確定義了多種有害的線上行為,包括針對deepfake的「不實內容濫用」(Inauthentic material abuse),以及惡意公開他人隱私的「人肉搜索」(doxxing),而為了讓損害即時受到控制,線上安全專員在接獲國民投訴並調查評估後,可直接發出具法律效力的指令(Directions),要求平臺移除、隱藏特定內容,或限制惡意帳號的互動;若平臺不遵守指令,線上安全專員亦得向電信業者發出阻斷特定服務,或向應用程式商店發出下架特定應用程式的命令(Orders),無正當理由違反指令或命令皆有可能構成刑事責任。 此外,OSRA亦擴張了平臺的民事責任,當受害者依指定方式向平臺發出「線上傷害通知」後,若平臺未能在合理期間內採取行動,受害者得逕向平臺經營者或網站管理者提起民事訴訟要求損害賠償,若平臺無故怠慢,法院得判決加重損害賠償,希望藉此敦促平臺建立更敏捷的線上傷害控制機制。 值得注意的是,OSRA宣告了廣泛的長臂管轄機制,為保障新加坡國民的權益,不僅法院對OSRA規範的民事、刑事事件有管轄權,線上安全專員發布指令與命令的對象亦不限於境內,表現對抗全球線上傷害的強烈企圖。