美國能源部發布「電力資料自願行為守則」保護消費者資料與隱私權利
美國能源部(Department of Energy, DOE)所屬之電力傳輸與能源可靠度辦公室(Office of Electricity Delivery and Energy Reliability, OE)與聯邦智慧電網工作小組(Federal Smart Grid Task Force)對於由智慧電網技術所生之資料相關隱私保護問題,經過一系列包括相關業者在內的公眾意見徵集與專家學者討論後,於2015年1月12日所發布之「自願行為守則」(Voluntary Code of Conduct, VCC),係屬美國總統歐巴馬同日宣示政策,公布對於強化消費者安全、處理身分盜用(identity theft)、並促進線上隱私保護之總體策略方向中的重要部份。
「自願行為守則」的適用對象是供電業者與第三方,目的在於保護包括能源使用資訊(energy usage information)在內的電業消費者資料,並提高消費者的隱私意識與相關資料在提供與近用上所須行使的同意與控制。「自願行為守則」揭示其三大目標,包括:(一)於鼓勵創新的同時,適切地保護消費者資料的隱私與機密性,並提供可靠與不致於無法負擔之電業與能源相關服務;(二)提供消費者對其自身資料的適當近用(appropriate access);以及(三)不生違反或取代任何聯邦、州、或地方主管機關之法令或管制措施之效果。
而為求取前揭目標之達成與實現,「自願行為守則」訂有五大步驟。此五大步驟包括:(一)「消費者之注意與意識」:透過相關規定向消費者解釋資料蒐集的相關政策與程序,並聚焦於消費者的選擇與責任,藉以讓消費者了解其所必須行使之同意;(二)「消費者之選擇與同意」:透過相關規定讓消費者能為非原始目的(Secondary Purposes)——例如向數個第三方為差別化之近用授權、限制近用之期間、留存資料釋出之記錄、取消授權、以及於授權終止或不再需要相關資料時之資料處置或去識別化等——對其資料之近用進行相關管控、確認有哪些類型的資料與揭露無須消費者同意、以及要求特定資料應直接由消費者處取得;(三)「消費者資料近用」:透過相關規定允許消費者近用其資料、確認可能的錯誤、以及要求更正的相關程序,其中包括在特定情況下就非常態性要求收取費用的可能性;(四)「資料的完整性與安全性」:透過相關規定規範網路安全管理計畫,以及聚合性資料(Aggregated Data)或匿名性資料的建立方式;(五)「自發性執行、管理、與矯正」:透過相關規定對自願採納本「自願行為守則」之服務提供者的行動作出規範,以確保其遵守行為守則。「自願行為守則」雖屬自律規範,但其制定過程有包括電力業者在內之利害關係人的充分參與,並經充分之專家與公民意見徵集,被預期在公布之後將有相當程度之約束力量,並能令因智慧電網與能源資通訊技術所生之相關隱私權保護問題得到更進一步的解決。
本文為「經濟部產業技術司科技專案成果」
王自雄
主任 編譯整理
Voluntary Code of Conduct (VCC): Final Concepts and Principles [hereinafter VCC], available at http://www.energy.gov/sites/prod/files/2015/01/f19/VCC%20Concepts%20and%20Principles%202015_01_08%20FINAL.pdf (last visited July 15, 2015).
The White House Office of the Press Secretary, Fact Sheet: Safeguarding American Consumers & Families, available at https://www.whitehouse.gov/the-press-office/2015/01/12/fact-sheet-safeguarding-american-consumers-families (last visited July 15, 2015).
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。 報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括: 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
美國白宮為因應TikTok威脅頒布行政命令,以維護資通訊技術與供應鏈國家安全美國白宮為因應TikTok威脅,於2020年8月6日頒布第13942號行政命令,以確保資通訊技術與供應鏈國家安全,禁止在美國管轄範圍內的任何人或相關實體,與中國大陸「字節跳動(ByteDance)」及其子公司為任何交易行為。本行政命令係依據美國《國際緊急經濟權力法》(International Emergency Economic Powers Act, IEEPA)、《國家緊急狀態法》(National Emergencies Act, NEA)及《美國法典》(United States Code, U.S.C.)第3篇第301條,以及2019年5月15日頒布的第13873號行政命令,要求國家應維護資訊、通信技術和供應鏈安全,並採取措施以應對國家緊急情況。由中國大陸企業開發及所有的行動應用程式,例如TikTok及WeChat等已威脅到美國國家安全、外交政策及經濟利益,必須採取應對措施。據查TikTok會自動從使用者方擷取大量資料,包括網際網路、定位資料及瀏覽紀錄等。此種資料蒐集行為將使外國人及政黨可以取得美國個人的專屬敏感資訊,追蹤到聯邦政府人員及政府承包廠商位置,建立個人資料檔案進行勒索和商業間諜活動。美國國土安全部、美國運輸安全管理局(Transportation Security Administration, TSA)和美國武裝部隊,已禁止在聯邦政府的通訊設備上使用TikTok,防止資料被竊取並傳輸至境外伺服器。 面對美國全面封殺中國大陸資通訊產品,中國大陸近來亦透過出口管制方案進行反制,2020年8月28日中國大陸商務部會同科技部,調整《中國禁止出口限制出口技術目錄》,將涉及軍民兩用的53項技術,納入出口管制清單。凡涉及向境外技術移轉,無論是採用貿易、投資或是其他方式,皆須申請省級商務主管部門的技術出口許可,獲得批准後方可對外進行實質性談判,簽訂技術出口契約。其中,因TikTok的人工智慧與演算技術,已被含蓋在目錄的管制清單內,若是TikTok要從中國大陸境內轉讓相關技術服務予境外,應暫停相關交易及實質性談判,先履行申請許可程序再為後續行動。
美國加州法院期透過數位方式管理證據生命週期,帶動司法效率提升2024年9月23日起,美國加州洛杉磯高等法院於康普頓(Compton)與比佛利山莊(Beverly Hills)法院試行數位證據系統,旨於簡化小額訴訟程序,使訴訟當事人透過數位證據系統平臺進行數位證據開示,節省郵寄實體證據副本所花費的時間、人力、物力。洛杉磯高等法院為全美最大之一審法院,法院轄區人數逾1千萬人,其所推動之數位證據系統具參考價值。 以下說明數位證據系統的重點: 1.數位證據系統適用的案件範圍 適用於「小額訴訟當事人於聽證會前之證據開示程序」。 關於證據開示程序,訴訟當事人應至少於訴訟聽證會前10 日完成證據開示。證據開示程序的傳統做法為當事人將證據副本「郵寄」給對造,而數位證據系統允許訴訟兩造於聽證會前,以「電子方式」交換證據。 依加州法規定,小額訴訟指原告向被告(個人、企業或政府單位)請求給付的金額在1.25萬美元以下。 2.數位證據系統可上傳的數位證據類型 訴訟當事人輸入「案號、聽證會具體日期、個人資訊(電子信箱或手機號碼)及6位數字金鑰」以驗證身分、註冊數位證據系統帳號後,可於數位證據系統分批上傳多種文件格式,包含時戳證據(Time stamp evidence)、圖片、影片、文字檔(如Word、OpenOffice)、PDF檔案、HTML檔案、簡報檔案等。並勾選上傳資料之當事人身分(原告或被告),確認上傳證據。 當事人應於確認上傳之每筆證據的註解中,簡述(briefly)該證據資訊。 經當事人確認、成功上傳至數位證據系統的每筆證據,都會擁有其唯一的(unique)證據編號(Exhibit Number)。 該系統最終會製作出一份「涵蓋該案件所有數位證據資訊的證據清單(Exhibit List)」PDF檔案,包含:案號、數位證據編號、證據縮圖及證據之簡述資訊等資訊,以便當事人依證據清單,參考(refer to)證據編號進行證據開示。 3.數位證據系統的檔案權限控管之設定 (1)上傳、編輯、刪除權限 訴訟當事人可上傳數位證據。 於系統上傳、未確認送出數位證據的階段,當事人則可編輯、刪除數位證據。 (2)線上瀏覽權限 上傳證據之當事人、司法人員擁有線上瀏覽「所有經當事人確認上傳之數位證據」的權限。 於系統確認數位證據後,上傳證據之當事人可於系統「勾選欲共享之數位證據」後,輸入對造之姓名、電子信箱,與對造共享其指定之數位證據。 (3)下載權限 訴訟期間至結案後60日內,訴訟兩造均可於數位證據系統下載數位證據。 4.證據於數位證據系統的保存期限 於小額訴訟結案後60日內,系統將自動刪除該案上傳之數位證據。 美國加州推動數位證據平臺,使當事人於平臺驗證身分、上傳時戳等數位證據,由平臺產出涵蓋案號、證據編號及證據資訊之證據清單,透過系統之權限控管加強證據管理,以數位證據開示減輕傳統證據開示程序之負擔。關於司法資料交換,參照我國由司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局於2024年4月正式啟用之「司法聯盟鏈共同驗證平台」,以「b-JADE證明標章」作為數位資料管理之標準,透過數位資料歷程管理與資料存證機制,鞏固證物保管機制。 上述之國內外趨勢之資料管理之作法可被資策會科法所發布之《重要數位資料治理暨管理制度規範(下稱EDGS)》所涵蓋,美國加州數位證據系統,透過管理證據生命週期之各階段,首先由當事人上傳、確認證物資訊及建置清單;其次設有不同程度的檔案使用權限;並訂有證據資料之保存期限,以便進行證據管理、加速司法訴訟之證據開示程序。而為方便資料管理者控管數位資料,EDGS同樣強調資料之生命週期管理,由「檔案標題或檔案的相關資訊,需要能對應特定的數位資料」,輔以建立「資料清單」有助於盤點多筆資料。並透過「控管資料權限」等保護措施,搭配「評估資料的維護期限」,以達到管理資料歷程的目標。建議企業將EDGS納入資料管理規劃,確保資料管控有方。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
加拿大聯邦上訴法院判決無實體酒店仍得就酒店服務註冊商標加拿大聯邦上訴法院於Miller Thomson LLP v. Hilton Worldwide Holding LLP案指出,儘管企業在加拿大未設立實體店面,但如在加拿大有提供與該實體店相關聯的服務,仍可就其服務使用該企業之商標。 該案背景為希爾頓集團(Hilton Worldwide Holding)在加拿大未有華爾道夫酒店(Waldorf Astoria)的實體店,卻將WALDORF ASTORIA(下稱系爭商標)於加拿大註冊用於「酒店服務」。對造Miller Thomson欲在加拿大註冊「WALDORF」、「THE WALDORF」、「WALDORF HOTEL」等類此名稱的商標,遭希爾頓集團反對。Miller Thomson為此主張商標註冊官應命希爾頓集團依商標法第45條規定,提出有在加拿大使用系爭商標的證明。希爾頓集團指出,系爭商標有使用於全球預訂、付款服務,且加拿大客戶為忠誠會員亦有獎勵積分等。然而,商標註冊官以先前Motel 6 Inc. v. No. 6 Motel Ltd. [1982] 1 FC 638 (FCTD) (“Motel 6”)判決,與加拿大商標異議委員會(Trademarks Opposition Board,TMOB)Stikeman Elliott LLP v. Millennium & Copthorne International Ltd., 2015 TMOB 231 (“M Hotel”) and Maillis v Mirage Resorts Inc, 2012 TMOB 220等案,認為須由實際位於加拿大的酒店,始能提供酒店服務,遂撤銷系爭商標的註冊。 經希爾頓集團提起訴訟後,聯邦上訴法院認為商標法未有「服務」的定義,因此有無使用商標,認定方式應符合現代的商業慣例。聯邦上訴法院指出,無論企業提供的是主要服務、附帶服務或輔助服務,只要消費者從中獲得實質利益,即代表企業已實現其服務。準此,華爾道夫酒店在加拿大雖僅有預訂、付款服務,屬於附帶或輔助服務,但若消費者有因系爭商標的原因,而願意在加拿大利用華爾道夫酒店提供的附帶或輔助服務,並從中獲得利益,則可認定系爭商標有在加拿大被使用。 該判決的重要性在於確立即便在加拿大無實體存在,商標權人仍可將商標與其服務結合,但聯邦上訴法院提醒,僅在加拿大境外在網站上顯示商標,尚不足證明該商標有使用於所註冊的服務。此外,商標若結合於網路服務使用,則商標人與加拿大消費者間須有足夠程度的互動,因此,商標權人為了持續受商標法的保護,有必要詳細記錄業經註冊商標的使用情況,俾利在發生爭議時,有證據資料得以佐證。