IBM同意中國大陸政府檢視部份產品原始碼
近年來中國大陸政府為了資安考量,制訂相關法規要求外國科技公司進入中國大陸市場時必須提供程式原始碼,避免他方非法(例如利用病毒)透過電腦軟體進入中國大陸的系統和資料。
IBM公司近日發表聲明,允許特定國家在其嚴格的監控下,檢視其部份產品的軟體原始碼,確保產品沒有資訊安全的漏洞,中國大陸也在這些特定國家之列。這是美國重要的科技大廠,首次公開同意遵守中國大陸政府對於外國技術的資訊安全審查,然而此舉讓美國政府與其他矽谷科技公司頗有微詞。
IBM開放檢視其程式碼的對象為中華人民共和國工業與信息化部。IBM在聲明中表示,原始碼的檢視必須在IBM公司內,於無網路連線並受IBM安全應用程式監控的環境下進行,並保證這些軟體原始碼不會被釋出、被複製,或以任何方式改作。在嚴格的環境和時間限制下,IBM不會讓中國大陸政府有機會接觸其客戶資料庫,也不會涉及後門程式(back door)。至於會提供哪些產品的原始碼檢視,或中國大陸官方可檢視的時間有多長,IBM尚無明確說明。事實上IBM並非唯一提供程式碼的科技公司,微軟公司早在2003年即允許中國大陸、俄國、英國等國家檢視微軟Windows部分產品的原始碼。
有市場分析公司指出,IBM為降低智慧財產權被複製的風險,所釋出的原始碼可能只涉及基本功能,不包含專有的演算碼,且像IBM此類的公司,應該擁有閉源軟體(closed-source)或特別的軟體以嚴密地維護底層的原始碼,避免中國大陸政府藉由檢視原始碼執行反向工程(Reverse Engineering)。
IBM公司願意提供中國大陸政府檢視部分產品原始碼,目的在於展示其產品安全性,試圖擴展IBM在中國大陸的商業版圖。IBM旗下的雲端運算平台Bluemis未來將與中國大陸的數據中心服務公司—北京世紀互聯寬帶數據中心有限公司合作。該公司同時也是微軟在中國大陸的合作夥伴。
林昭如
專案經理 編譯整理
IBM says some governments allowed to review its source code, RUTERS, Oct.16 ,2015, http://www.reuters.com/article/2015/10/17/us-ibm-china-wsj-idUSKCN0SA1BZ20151017 (last visited Oct. 19, 2015)
IBM Gives the Chinese Government Access to Software Code, Bloomberg Business,, Oct. 17,2015 http://www.bloomberg.com/news/articles/2015-10-16/ibm-gives-limited-access-of-software-code-to-chinese-government (last visited Oct. 19, 2015)
IBM Raises Eyebrows, Opens Source Code Access To China: Here’s Why, Oct. 18,2015, http://www.techtimes.com/articles/96776/20151018/ibm-raises-eyebrows-opens-source-code-access-to-china-here-s-why.htm (last visited Oct. 19, 2015)
美國能源局(EPA)宣布,將創建三個生質能源研究中心(bioenergy centers),以研發將植物轉化為燃料的技術方法。此舉乃是布希總統作出美國在未來十年內將降低20%的石油用量之政策宣布後,第一個採取具體配套行動的聯邦政府機關。 生質能源研究中心設立的宗旨是希望在未來五年內能夠以先進技術,成功開發生質能源的產品上市。根據EPA的對外公告資料,三大生質能源研究中心將以公司組織的形式運作,每一個研究中心總投入資本將高達1億2千5百萬美元,三大研究中心分別是位在田納西州Oak Ridge、威斯康辛州的Madison以及加州Berkeley附近,這些區域原本就是重要的研究重鎮,匯聚許多的大學、國家實驗室以及私人企業,形成產業聚落,預計三大生質能源研究中心將自2009年9月1日起的預算年度開始運作。 EPA希望藉由研究中心的聚落效應,集中資源協助這些研究中心從自然界中破壞木質素(lignin)的微生物出發,找出植物的確切細胞膜質(cellulose)之所在。細胞膜質或稱纖維素,是轉化成為乙醇、液態燃料等能源的重要來源物質,因此這些生物運轉機制的瞭解與掌握,乃是開發生物能源技術的基礎。 值得注意的是,各國致力於發展生物燃料以替代汽油的政策,已經使得某些兼具多種用途的作物價格持續攀升,此可由國際期貨市場價格獲得印證。為避免生物燃料的發展反而造成食用作物的搶奪大戰,影響作物市場價格,研究中心也將致力於尋找可以製造較易處理的木質素的新作物種類。
荷蘭智庫提出發展永續性生質燃料的政策建議面對解決氣候變遷及尋找替代石化能源的全球性問題,生質材料(biomass)的開發與利用深受期待,然而,生質材料的生產與利用是否適當,乃是複雜的決策工具,一國政府在推動與能源、溫室氣體減量有關之政策工具時,必須意識到這些政策工具背後所蘊藏之其他風險。 在面對生質材料的風險,荷蘭政府可謂最先有此問題意識,並嘗試在提出政策工具時盡可能作妥適規劃的先進國家之一。荷蘭是歐洲最大的棕櫚油進口國,以棕櫚油製成的產品在荷蘭超市到處可見,部分棕櫚油也用於能源供應,荷蘭甚至有業者打算興建專門使用棕櫚油運轉的電力供應站(power stations)。 為確保利用棕櫚油及其他生質材料所開發新能源符合環境永續經營的目的,荷蘭政府已研議在相關的政策措施中,導入生質材料應符合永續性的標準;而為落實此一政策構想,荷蘭政府委託智庫Cramer Commission(該委員會以其主席Jacqueline Cramer的姓為名,Cramer女士更在2007年2月成為荷蘭環境部長)進行相關研究。Cramer Commission在今年4月向荷蘭政府正式提出「檢測生質材料是否符合永續性之架構報告」(Testing Framework Report for Sustainable Biomass),報告中提出發展生質燃料可能涉及的六大永續性議題分別:溫室氣體排放、與食物及其他運用領域之衝突、生物多樣性、環境、經濟繁榮、社會福祉;報告除針對此六大議題分別提出永續性思考外,並建議透過追蹤系統(track-and-trace system)對作物從種植到成為電廠生產生質燃料的整個過程予以監控,並對生質燃料公布嚴格的進口標準,作為生質燃料的作物,其栽種方式必須經認證是不破壞環境,或所釋出的溫室氣體比節省得多,始得進口。Cramer Commission並建議荷蘭政府設定在2020年前進口永續來源的生質材料,並建議在此之前應有過渡措施。 關於生質燃料的環境風險問題,目前在歐盟已開始有問題意識,歐盟也嘗試思考是否可能藉由綠色認證制度之建立,確保非以永續方式製造的生質燃料,不得進入歐盟市場;其他打算跟進的歐洲國家,則正在觀察荷蘭的作法。
歐洲個人資料保護委員會發布數位服務法與一般資料保護規則相互影響指引「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2025年9月12日發布《數位服務法》(Digital Services Act, DSA)與《一般資料保護規則》(General Data Protection Regulation, GDPR)交互影響指引(Guidelines 3/2025 on the interplay between the DSA and the GDPR)。這份指引闡明中介服務提供者(intermediary service providers)於履行DSA義務時,應如何解釋與適用GDPR。 DSA與GDPR如何交互影響? 處理個人資料的中介服務提供者,依據處理個資的目的和方式或僅代表他人處理個資,會被歸屬於GDPR框架下的控制者或處理者。此時,DSA與GDPR產生法規適用的交互重疊,服務提供者需同時符合DSA與GDPR的要求。具體而言,DSA與GDPR產生交互影響的關鍵領域為以下: 1.非法內容檢測(Illegal content detection):DSA第7條鼓勵中介服務提供者主動進行自發性調查,或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒,中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性,而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」(legitimate interests)。 2.通知與申訴等程序:DSA所規定設通報與處置機制及內部申訴系統,於運作過程中如涉及個資之蒐集與處理,應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料,並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者,應事前告知通報人。同時,DSA第20條與第23條所規範之申訴及帳號停權程序,均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式(Deceptive design patterns):DSA第25條第1項規範,線上平台服務提供者不得以欺騙或操縱其服務接收者之方式,或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式,設計、組織或營運其線上介面,但DSA第25條第2項則宣示,線上平台提供者之欺瞞性設計行為若已受GDPR規範時,不在第25條第1項之禁止範圍內。指引指出,於判斷該行為是否屬 GDPR 適用範圍時,應評估其是否涉及個人資料之處理,及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充,區分屬於及不屬於 GDPR 適用之欺瞞性設計模式,以利實務適用。 4.廣告透明度要求:DSA第26條為線上平台提供者制定有關廣告透明度的規範,並禁止基於GDPR第9條之特別類別資料投放廣告,導引出平台必須揭露分析之參數要求,且平台服務提供者應提供處理個資的法律依據。 5.推薦系統:線上平台提供者得於其推薦系統(recommender systems)中使用使用者之個人資料,以個人化顯示內容之順序或顯著程度。然而,推薦系統涉及對個人資料之推論及組合,其準確性與透明度均引發指引的關切,同時亦伴隨大規模及/或敏感性個人資料處理所帶來之潛在風險。指引提醒,不能排除推薦系統透過向使用者呈現特定內容之行為,構成GDPR第22條第1項的「自動化決策」(automated decision-making),提供者於提供不同推薦選項時,應平等呈現各項選擇,不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間,提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護:指引指出,為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施,確保未成年人享有高度的隱私、安全與保障,相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理:DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險,包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒,GDPR第25條所設計及預設之資料保護,可能有助於解決這些服務中發現的系統性風險,並且如果確定系統性風險,根據GDPR,應執行資料保護影響評估。 EDPB與其他監管機關的後續? EDPB的新聞稿進一步指出,EDPB正在持續與其監管關機關合作,以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引,包含《數位市場法》(Digital Markets Act, DMA)、《人工智慧法》(Artificial Intelligence Act, AIA)與GDPR的相互影響指引,正在持續制定中,值得後續持續留意。
英國資訊委員辦公室(ICO)發布指引以因應歐盟一般資料保護規則(GDPR)正式施行為因應歐盟一般資料保護規則(General Data Protection Regulation,簡稱歐盟GDPR)於2018年5月正式施行,英國資訊委員辦公室(Information Commissioner’s Office, 簡稱ICO)於2017年11月21日發布一般資料保護規則指引(guide to general data protection regulation)(簡稱一般資料保護規則指引)。 ICO所發布的一般資料保護規則指引,係用於解釋歐盟GDPR的各條規定,協助企業符合歐盟GDPR的各項要求,適用於企業中擔負資料保護義務責任者。ICO說明本指引文件致力於擴展與歐盟GDPR、ICO所制定公告之其他指引文件、歐盟第29條工作小組制定公告之相關指導文件的聯結。歐盟第29條工作小組係由歐盟各會員國的資料保護機構代表組成,而ICO即為英國派任於該工作小組之資料保護機構代表。 ICO發布的一般資料保護規則指引,內容簡述如下:本指引文件係在建構歐盟GDPR法規的架構,將反映歐盟GDPR未來的導引與如何呈現,本指引內容有歐盟GDPR的重要定義(如歐盟GDPR適用對象、歐盟GDPR所欲保謢之資料種類)、歐盟GDPR原則、個人資料處理、當事人同意、當事人權利介紹、資料保護、資料洩漏處理、未成年人保護等議題之參考要點;並針對部分議題,設計有簡易清單,供參閱者勾選確認。 英國ICO除採取對外發布一般資料保護規則指引外,另有制定數個線上工具,協助企業依其身分別(如資料管理者或資料處理者),選擇線上工具進行自我檢視是否符合歐盟GDPR要求,期以協助英國業者為今(2018)年5月GDPR正式施行,能作更充分的準備。