美國參議院通過CISA網路安全資訊共享法案
美國參議院於2015年10月27號通過網路安全資訊共享法(Cybersecurity Information Sharing Act; CISA)。本案以74票對21票通過,今年稍早眾議院通過類似法案,預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年,目前可望兩院就立法版本達成一致而立法成功。
主導本案的參議院情報委員會(Intelligence Committee)主席Richard Burr於法案通過後發表聲明表示,「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外,認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。
CISA授權私人機構於遭受網路攻擊,或攻擊之徵兆(threat indicators)時,基於網路安全的目的,立即將網路威脅的資訊分享給聯邦政府,並且取得洩漏客戶個資的責任豁免權。基於同樣的目的,私人機構也被授權得以監視其網路系統,甚至是其客戶或第三人的網路。但僅以防禦性措施為限,並且不得採取可能嚴重危害他人網路之行動。相對於此,聯邦政府所取得該等私人機構自發性提供的網路威脅資訊,係以具體且透明的條款規制。此外,國土安全部(Department of Homeland Security)於符合隱私義務方針的方式下,管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件,以保護隱私。
相對於此,許多科技公司對此持反對態度,例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制,稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款,這將會促使隱私憂慮。另一方面,法案反對者也不信任聯邦政府機構將會落實隱私保護,FBI、國家安全局(National Security Agency, NSA)及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。
這些憂慮或許可以由法案投票前,網路法及網路安全學者共同發出的公開信窺知。「整體來說,(CISA)對有缺陷的網路安全中非常根本但真切的問題一無所助,毋寧僅是為濫權製造成熟的條件」。信中提到,該法案使聯邦機構得近用迄今為止公眾的所有資訊,並且對公司授權的範圍無明確界線,使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助,方向應該是引導各機構提高自身的資訊安全及良好管理。
- David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015
- Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015
- Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill
- CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015
林子傑
法律研究員 編譯整理
CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Nov. 3, 2015).
Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill, https://www.burr.senate.gov/press/releases/senate-passes-landmark-cybersecurity-bill (last visited Nov. 3, 2015).
Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/10/27/senate-passes-controversial-cybersecurity-information-sharing-legislation/ (last visited Nov. 3, 2015).
David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015, https://www.elon.edu/e/CmsFile/GetFile?FileID=202 (last visited Nov. 3, 2015).
2012年3月Google將世界各地總共60個相異的個人資料隱私權政策統一後,即受到歐盟個人資料保護機構「第29條工作小組」的關注,該小組認為Google修訂後的個人資料隱私權政策違反歐洲資料保護指令(European Data Protection Directive (95/46/CE)),將難以讓使用者清楚知悉其個人資料可能被利用、整合或保留的部分。同時,Google亦可能利用當事人不知情的情況下,大量利用使用者個人資料。因此,2012年10月歐盟要求Google在4個月內對該公司的個人資料隱私權政策未符歐盟規定者提出說明,惟至今Google仍無回應。因此,歐洲6個國家,包括法國、德國、英國、義大利、荷蘭及西班牙的個資監管機構,將聯合審視Google的個人資料隱私權政策是否違反各國的法律,並依據各國法律展開後續措施,如鉅額罰款等。法國之資訊自由國家委員會(Commission nationale de l'informatique et des libertés,簡稱CNIL)率先表示,若Google於4月11日前未改善其資料隱私權政策,法國將首先採取法律行動。然Google對此僅簡單回應,表示其資料隱私政策尊重歐盟的法律,且可以讓Google提供更簡單、更有效率的服務。
西班牙AEPD增加關於健康和個人資料保護關注領域西班牙個資監管機關(Agencia Española de Protección de Datos, AEPD)於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年,計有680件與健康資料相關之爭議案件,與2020年相比增長了75%,又因健康資料為特殊類型之個人資料,故更應嚴加保障。 該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等,共分六小節: 一、第一小節概述了與健康資料有關的權利,解釋了歐盟一般個人資料保護規則(General Data Protection Regulation, GDPR)第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權(Right to access),以及與醫學研究相關的問題,其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。 二、第二小節重點介紹AEPD公布的相關報告和指南,包括勞資關係中之個人資料保護指南,及有關臨床病史、臨床試驗等相關主題之報告。 三、第三小節則著重在AEPD於新型冠狀病毒肺炎(COVID-19)爆發後,製作大量與COVID-19相關之聲明文件及法律報告,故在此彙整相關資料,以協助落實個人資料之保障。 四、第四小節健康研究和臨床試驗,其中彙編了相關指南,以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。 五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分,其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。 六、第六小節側重於醫療組織洩露個人資料議題,概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施,另強調以特殊方式處理健康資料之活動,如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備,皆存在外洩之風險因子。
歐盟航空安全局發布全球首件《最大起飛重量不逾六百公斤之無人機系統噪音量測指南》,有助於環境保護與防止噪音危害歐盟航空安全局(European Union Aviation Safety Agency, EASA)於2022年10月13日發布全球首件「最大起飛重量不逾六百公斤之無人機系統噪音量測指南」(Guidelines on Noise Measurement of Unmanned Aircraft Systems Lighter than 600 kg Operating in the Specific Category),適用於各式各樣的無人機設計,包括多旋翼機(multicopters)、固定翼航空器(fixed-wing aircraft)、直升機與動力起降航空器(powered-lift aircraft)等。 該指南旨在提供低度與中度風險(Low and Medium Risk)特定類別無人機運行時,具一致性的噪音量測程序與方法。該方法係考量實際層面與心理聲學(psychoacoustics),即有關人類對於無人機聲音的感知,設計為提供可重複且準確量測噪音,可量測最大起飛重量(Maximum Take-Off Weight, MTOM)小於600公斤的無人機,以落實歐盟環境保護的高度水準,並防止噪音對人體健康的重大影響。而所謂特定類別(specific category)包括包裹遞送、電力巡檢、鳥類管制(bird control)、測繪服務(mapping services)、空中監視(aerial surveillance)等活動。 此份指南雖不具強制性,亦非無人機認證規範,然而噪音是許多歐洲民眾所關注的問題,各國航空主管機關仍可以該指南為基準要求營運商,使之在自然公園或人口稠密區域等敏感環境運行無人機時可降低噪音。同時,無人機製造商、營運商或噪音量測組織,亦可依據該指南確立與特定設計及操作相關的噪音水準。此外,可將由此而生的噪音水準報告提供給EASA,以建立可供營運商與主管機關使用的線上公眾資料庫(online public repository)。
化學奈米 將改善人類生活為勾勒人類未來生活型態,英國將在新堡( New Castle )投入約新台幣 150 億元建立一科學城,預定五年內整合化學、奈米、微機電及醫療技術整合。這座科學城是一座整合科學及產業技術的場所,由業界及政府共同支持,科學城內將成立三大研究機構,分別進行幹細胞研究、老年人健康、分子工程,及環境能源的改善。 英國皇家工程院院士雷蒙奧立佛( Raymond Oliver F.R.Eng )是這座科學城的主要規劃人,他指出,人類生活在下一個 20 年將出現四項結構性的現象:一是人口老化,二是個人化產品的普及,三是智慧型生活空間的出現,四是再生能源出現。面對這四大現象的普及,化工業者可以找到兩個發展方向,一是利用化學來提高醫療生活品質;二是利用化學來創造更自然的智慧型生活空間。 以醫療生活品質而言,化學可以進一步和幹細胞研究結合,並透過奈米技術發展出奈米級醫療電子產品,包括影像攝影取代藥物的人體臨床實驗,或是透過紅外線體外照射,讓硫化鎘等化學藥物能在體內直接殺死癌細胞 ; 在奈米材料方面,雷蒙指出,已有廠商研究出適合老人駕駛的汽車,這類汽車從空調、氣味,到生理資訊的偵測,都能配合老人較易疲勞的體質去設計。