德國聯邦網路局(Bundesnetzagentur)法規問題研究工作小組(Wissenschaftlicher Arbeitskreis für Regulierungsfragen)提出OTT服務法制規範意見報告
德國聯邦網路局(Bundesnetzagentur) 法規問題研究工作小組(Wissenschaftlicher Arbeitskreis für Regulierungsfragen)於2015年11月18日提出「在OTT服務業者重要性提升背景下電信與媒體法制演變進程」意見報告(Evolution der Regulierung in den Telekommunikations- und Mediensektoren angesichts der Relevanzzunahme von OTT-Anbietern)。此報告針對OTT服務提出以下建議:
1. 是否電信服務(Telekommunikationsdienst)定義僅侷限於「電子信號的傳送」。倘若如此,是否亦須將OTT-I類型服務,亦即網路語音通話或電子郵件服務(例如:Skype, Gmail等),如同歸類並視電信服務而所規範。基於OTT-I服務的性質跟傳統通訊服務相似度很高(例如電話通訊服務),因此是否傳統電信服務定義須要涵蓋OTT-I服務,仍待明確的法制規範。
2. 倘若OTT-I種類的服務被歸類為「電信服務」,依此邏輯是否須要遵守德國電信法(Telekommunikationsgesetz)相關的傳統電信服務義務,像是緊急電話撥打義務、消費者保護、通訊隱私保障、資料保護等,仍待明確的法制規範。
3. 透過OTT服務所蒐集到的資料,均需透過明確的授權規範才得以讓OTT服務提供者有足夠的權限商業性的應用該資料。
4. 在OTT-II服務,亦即內容提供服務(Inhaltdienste)業者快速成長的背景下(例如Youtube,Netflix等),建議鬆綁歷來針對傳統影音媒體服務業者要求之嚴格廣告規範。
5. OTT-II內容平台需在公開網路上履行公平原則及反歧視原則。此原則亦應落實於終端設備使用者。
6. 支持歐盟資料保護規章的市場位置原則(Marktortprinzip)。
7. 電信法與媒體法在實體法上應更佳有所統合性。主管機關需符合憲法權限制訂法制規範,其規範亦必須符合其適當性(Zweckmäßigkeit)。
- Bundesnetzagentur - Wissenschaftlicher Arbeitskreis für Regulierungsfragen (WAR) bei der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, Stellungnahmen
- Bundesnetzagentur - Wissenschaftlicher Arbeitskreis für Regulierungsfragen (WAR) bei der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, Evolution der Regulierung in
愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。 此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。 最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
德國聯邦內政部公布《資訊科技安全法草案》 數位模擬分身(Digital Twin)數位模擬分身(Digital Twin)係指將實體設備或系統資訊轉為數位資訊,使資訊科學或IT專家可藉此在建立或配置實際設備前進行模擬,從而深入了解目標效能或潛在問題。 於實際運用上,數位模擬分身除可用於實體設備製造前,先行針對產品進行測試,以減少產品缺陷並縮短產品上市時間外,亦可用於產品維護,例如在以某種方式修復物品前,先利用數位模擬分身測試修復效果。此外,數位模擬分身還可用於自駕車及協助落實《一般資料保護規範》(General Data Protection Regulation, 以下簡稱GDPR)規定。在自駕車方面,數位模擬分身可通過雲端運算(cloud computing)和邊緣運算(edge computing)連接,由數位模擬分身分析於雲端運算中涉及自駕系統操作之資訊,包括全部駕駛週期內之資料,如車輛模型在內之製造資料(manufacturing data)、駕駛習慣及偏好等個人隱私資料、感測器所蒐集之環境資料等,協助自駕系統做出決策;在GDPR方面,數位模擬分身可利用以下5大步驟,建立GDPR法規遵循機制以強化隱私保護:1.識別利害關係人與資產,包括外部服務和知識庫;2.漏洞檢測;3.透過虛擬數值替代隱私資料進行個資去識別化;4.解釋結果資料;5.利用資料匿名化以最大限度降低隱私風險,並防止受試者之隱私洩露。
歐盟第29條資料保護工作小組澄清有關網際行為廣告cookie的使用歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)第五條(3)中對於cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,將於2011年5月全面施行。惟對於cookie之使用,部分網路業者認為如果網路使用者沒有選擇不要裝置cookie (opt-out),那麼就等同於同意裝置,而不需另外取得使用者的同意。針對此點,歐盟第29條資料保護工作小組(Article 29 Data Protection Working Party)於2010年06月22日對於網際行為廣告作出一份意見(Opinion 2/2010 on online behavioural advertising)。 意見中澄清,網際行為廣告係一種透過cookie的使用,追蹤蒐集網路使用者上網行為的資料,其網路資訊將被使用於日後發放與使用者上網行為相對應的廣告之用。除非是屬於網路使用者明白要求使用cookie,或是使用網路服務所『必要』的cookie(例如,沒有cookie就無法顯示或進行至下一個頁面),則不必先行取得使用者的同意外;其他凡經由cookie所儲存的資料,均應被視為『個人資料』,使用上必需先行取得網路使用者的明示同意,以自行選擇(opt-in)的方式接受cookie的使用,後存於網路使用者的個人電腦中。業者不得以搜尋引擎的cookie設定主張視為網路使用者等同已經明示同意使用cookie進行被追蹤及蒐集資料。 該意見受到許多歐盟及國際之網際出版、廣告及商務業者的反彈,業者表示所蒐集的資料並非可辨認性或敏感性資料,此規範的執行將會嚴重衝擊到廣告產業的收益,建議採行自律規範或使用行為守則來取代上述規定。 由於這項規範尚未於歐盟中被執行,歐盟第29條資料保護工作小組對於技術上如何遵循該規範也並沒有提出具體的建議。