韓國通過最新個人資料保護法修正案
近年韓國國內發生多起重大資訊安全疏失,例如:2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal Information Protection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關,將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。
根據最新修正案條文,若某機關因故意或重大過失,造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀,經法院判決後,最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外,除非該機關能舉證當事人的損害與機關之行為沒有因果關係,否則當事人可請求最高3百萬韓元(約台幣8萬元)的法定損害賠償。
此次,韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會(The Personal Information Protection Committee)的職權。該委員會將成為資訊安全爭議的最終裁決機關,且擁有相關資訊安全管理相關政策制定及修正的提議權。
由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制,避免在新法上路後遭罰。
- Implementation of “Guidelines for Personal Information Protection for Smartphone Apps”, Lexology, Aug. 2015
- Korea Communication Commision(KCC), 스마트폰 앱, 과도한 개인정보 접근 막는다, Aug. 2015
- South Korea introduces punitive damages resulting from data breach, Lexology, Aug. 2015
- South Korea introduces further data protection breach penalties to encourage compliance, and issues mobile app guidance, JD Supra, Aug. 2015
- South Korea tightens data protection rules, Out-Law, Aug. 2015
經濟合作與發展組織(Organisation for Economic Co-operation and Development, OECD)於2023年2月23日發布《促進AI可歸責性:在生命週期中治理與管理風險以實現可信賴的AI》(Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI)。本報告整合ISO 31000:2018風險管理框架(risk-management framework)、美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)人工智慧風險管理框架(Artificial Intelligence Risk Management Framework, AI RMF)與OECD負責任商業行為之盡職調查指南(OECD Due Diligence Guidance for Responsible Business Conduct)等文件,將AI風險管理分為「界定、評估、處理、治理」四個階段: 1.界定:範圍、背景、參與者和風險準則(Define: Scope, context, actors and criteria)。AI風險會因不同使用情境及環境而有差異,第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人,並就各角色適用適當的風險評估準則。 2.評估:識別並量測AI風險(Assess: Identify and measure AI risks)。透過識別與分析個人、整體及社會層面的問題,評估潛在風險與發生程度,並根據各項基本價值原則及評估標準進行風險量測。 3.處理:預防、減輕或停止AI風險(Treat: Prevent, mitigate, or cease AI risks)。風險處理考慮每個潛在風險的影響,並大致分為與流程相關(Process-related)及技術(Technical)之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序,後者則與系統技術規格相關,處理此類風險可能需重新訓練或重新評估AI模型。 4.治理:監控、紀錄、溝通、諮詢與融入(Govern: Monitor, document, communicate, consult and embed)。透過在組織中導入培養風險管理的文化,並持續監控、審查管理流程、溝通與諮詢,以及保存相關紀錄,以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督,並能夠更廣泛地在不同類型的組織中建立相應機制。
日本監理沙盒制度推動趨勢—簡介生產性向上特別措施法草案與產業競爭力強化法修法內容我國自2017年12月通過《金融科技發展與創新實驗條例》建立金融監理沙盒制度後,各界時有呼籲其他非金融領域亦有沙盒制度之需要。觀察國際上目前於金融產業以外採取類似沙盒制度之國家,當以日本為代表,且日本相關制度亦為我國《中小企業發展條例》修法時之參考對象。 本文針對日本近期提出之《生產性向上特別措施法》(草案)以及日本《產業競爭力強化法》新近之修法等兩項日本近來有關沙盒制度之修法為觀察對象,針對其整體立(修)法背景、《產業競爭力強化法》中灰色地帶解消制度及企業實證特例制度修正重點以及《生產性向上特別措施法》(草案)中「專案型沙盒」之制度內涵進行整理,並比較企業實證特例制度及專案刑沙盒兩者制度上之異同。 本文最後發現,日本之沙盒制度設計上確實符合其減少事前管制、強調事後確認與評估、建立風險控管制度、課與主管機關提供資訊與建議之義務以及強化業者與主管機關聯繫等目標。同時,本文認為日本沙盒制度中有兩項制度特色值得我國關注及參考。第一,日本成立了包含外部專家的「評價委員會」,協助政府單位了解創新事業之內容及法規制度之觀察。第二,日本未來將提高實證制度之協調層級,在日本內閣府下設立單一窗口協助申請者決定其可適用之實證制度。
從知名社群網路服務平台Twitter商標的更名看「品牌商標管理」2023年7月知名社群網路服務平台Twitter基於品牌多角化經營考量(意圖進軍線上金融服務領域),Twitter執行長伊隆·馬斯克(Elon Musk)突然宣布全面變更品牌商標,經典「藍色小鳥」的商標標識改為黑白配色的「X」圖案(以下將該案例稱為「Twitter案」)。 實務上,企業可能於多種情況進行品牌商標之變更,例如:諾基亞(Nokia)因為希望向消費者表明其從手機公司轉型為商業科技公司的決心,故更換新商標,可見Twitter案的更名在科技業並不少見。重點在於品牌商標更名後,可能在商標法方面產生的風險。商標為指示品牌商品與服務來源的重要識別標識,在Twitter案中使用單一英文字母「X」作為新商標,在商標法上,一般被認為識別性較低,較難取得商標權,且其保護範圍可能也因此限縮於設計過的「黑白X標識」;其次,X作為一個常用的英文單字,較易產生與他人商標近似之風險,例如:微軟(Microsoft)公司2003年註冊與其遊戲系統Xbox通訊有關的X商標,或Meta公司自2019年起擁有藍白色彩的X字母商標,且註冊商標指定範圍也是社群媒體、軟體等。 為降低前述品牌商標爭議問題,建議企業由品牌標識設計、品牌全球拓展、品牌行銷宣傳三大階段,分別留意以下事項: 一、品牌標識設計階段:設計全新品牌標識或優化既有品牌標識前,事先評估品牌標識在商標法上是否具有識別性、是否與他人商標近似造成消費者混淆誤認等法定無法取得商標等風險,再決定是否維持原設計理念投入設計。如:Twitter案新商標X,除了透過品牌標識設計增加法律上的識別性,同時降低可能的侵權風險。 二、品牌全球拓展階段:如果預見可能侵權風險,則應加強爭議處理機制的建置,以利爭議發生時,及時採取因應措施。 三、品牌行銷宣傳階段:運用行銷手段加強品牌商標的「後天識別性」,如:透過投放廣告加強在消費者心中「黑白X標識」與品牌的連結等。 有關Twitter Inc.(現已併入X Corp.)的X品牌商標保護與布局策略,將會是後續值得關注的議題。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
何謂英國金融科技創新計畫( Project Innovate )?為了全力打造英國成為「FinTech 全球領導者地位」,及引領FinTech 國際監管規則的大國,英國金融業務監理局(Financial Conduct Authority, FCA)於2014年10月啟動了金融科技創新計畫(Project Innovate),目的就是能夠追蹤進入金融市場的新興商業模式,其中最重要的建立監理沙盒制度(Regulatory Sandbox),旨在提供企業可以在安全空間內對創新產品、服務、商業模式等進行測試,而不會立即招致參與相關活動的所有監管後果。 金融科技創新計畫增設創新中心(Innovation Hub),為創新企業提供與監管對接等各種支持。 金融科技創新計畫通過促進破壞式創新鼓勵挑戰現有的商業模式,而創新中心主要透過政策與金融科技業者交流,了解是否監管政策能夠更好的支持創新。