愛沙尼亞首創網路市民證吸引外商與新創家進駐
位於歐洲東北部全國人口約僅有130萬的愛沙尼亞為了吸引更多外資與新創家前往,除了廣推網路登記公司設立、網路銀行,以及透過網路管理公司營運等改善投資環境相關措施之外,更領先全球推出網路市民證「e-Residency Card」。
隨著科技與網路的快速發展,網路市民證的推出打破了國家與地域疆界的限制,讓即使不住在愛沙尼亞的人士也可利用網路於18分鐘內完成登記設立公司流程。申請愛沙尼亞網路銀行相關服務與帳號、運營公司、進行線上簽章/簽約,甚至完成報稅等,讓外資、新創家大幅簡化公司申請設立程序與進入門檻。
此外,網路市民證也提供新創事業免除營業所得稅,吸引了眾多新創家前往該國創業,並於該項政策施行的前七個月內讓超過4,000名的新創家前往申請。同時,由於愛沙尼亞為歐盟會員國之一,因此也使外資與新創家在愛沙尼亞投資設立公司後,等同於在歐盟境內設立營運據點,成為進入歐盟市場的敲門磚。
正因為網路市民證所獲得的成功迴響,愛沙尼亞政府進而推行網路市民計畫「e-Residency Program」強化此項優惠政策,預計讓網路市民人數增加至數百萬人,活絡愛沙尼亞的經濟產業體系,進而傳播愛沙尼亞文化與知識。
黃天佑
組長 編譯整理
Estonian e-Residency https://e-estonia.com/e-residents/about/ (last visited April 20. 2016)
All You Need to Know about Estonia’s E-Residency Program http://www.sitepoint.com/all-you-need-to-know-about-estonias-e-residency-program/ (last visited April 20, 2016)
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。 文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。 「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。 本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
中國發布《個人信息保護合規審計辦法》,明確企業個資審計責任中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》(下稱《辦法》)及其配套指引,自2025年5月1日正式實施。《辦法》及指引的發布,旨在落實《個人信息保護法》中的稽核規定,完善個資合規監督架構,為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式:企業可自行或委託專業機構定期進行審計;另當主管機關發現高風險處理活動或發生重大資料外洩事件時,有權要求企業限期完成外部審計,並提交報告。針對處理規模較大的企業,《辦法》特別規定,凡處理超過1,000萬人個資的業者,須至少每兩年完成一次審計。 針對大規模蒐用個資企業,《辦法》亦強化其配合責任,對於處理超過100萬人資料的企業,須設置個資保護負責人;對大型平台服務業者,則須成立主要由外部人員主導的獨立監督機構,以確保審計客觀性。 在審計執行層面,《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求,並禁止將合規審計轉委託,防堵審計品質不一,或個資分享過程增加外洩風險。同時,也規範同一機構或審計負責人不得連續三次審計同一對象,以強化審計公正性。 《合規審計指引》進一步列出具體審查項目,包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等,協助企業全面落實個資合規審查。
法國國家資訊自由委員會將推出符合GDPR的人工智慧操作指引(AI how-to sheets)法國國家資訊自由委員會(CNIL)於2023年10月16日至11月16日進行「人工智慧操作指引」(AI how-to sheets)(下稱本指引)公眾諮詢,並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則(GDPR)之作法,以期在支持人工智慧專業人士創新之外,同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下: 1.指引涵蓋範圍:本指引限於AI開發階段(development phase),不包含應用階段(deployment phase)。開發階段進一步可分為三階段,包括AI系統設計、資料蒐集與資料庫建立,以及AI系統學習與訓練。 2.法律適用:當資料處理過程中包含個人資料時,人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的:CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則,由於資料應該是基於特定且合法的目的而蒐集的,因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何,方能決定GDPR與其他原則之適用。 4.系統提供者的身分:可能會是GDPR中的為資料控管者(data controller)、共同控管者(joint controller)以及資料處理者(data processor)。 5.確保資料處理之合法性:建立AI系統的組織使用的資料集若包含個人資料,必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估(DIPA)。 7.在系統設計時將資料保護納入考慮:包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護:具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的,以及設定明確的資料保留期限,實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說,更新AI相關規範知識非常重要,CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。
何謂防禦型聯盟(Defensive Patent Aggregator)?其是否為NPE的重要類型?防禦型專利聯盟係為NPE之一種重要類型,主要以抵制NPE侵擾為出發點,防禦型聯盟儘可能搶先攻擊型如NPE者去進行專利的授權或購買,加入防禦型聯盟者則可付出比與NPE進行和解所支付費用較少的金錢,成員其會員以取得不被NPE侵擾的地位。 NPE中屬於防禦型聯盟(Defensive Patent Aggregator)者,RPX(Rational Patent)之運作模式常可作為主要類型化參考對象之一。RPX為上市公司,其主要核心業務在於「緩和其會員被訴之可能」。RPX取得專利之資金主要來自會員年費,而各會員可取得RPX所有專利之「授權」,而收費結構不當然等於獲取專利之成本之分攤,以使會員已低於一般訴訟和解、或取得爭議專利等更為低的代價來防止被訴。在此同時,RPX本身也不會對他人起訴。 RPX所提供的防禦性聯盟策略,先行於其他NPE取得前那些潛在「危險性」的目標專利,甚至有可能向NPE取得專利,必要時,直接於訴訟仍在進行之時去取得專利。而在防禦以外,如其他非會員向會員起訴,會員也可以以RPX所有之專利進行反訴。 目前RPX會費在6萬5千美元至6900萬美元之間,依照會員本身營運規模之不同定之,但「會費等級」(rate card)會自加入之初鎖定不再更動,實際每年繳交費用則可能依據RPX所取得的所有專利價值增加而上昇 。而除此主要運作模式外,RPX也運用其廣泛取得專利之經驗,提供個別企業服務服務,得以較低的躉售價格取得專利(Syndicated Acquisitions),反之企業自行購買專利可能需要付出較高的「零售」價格 RPX的運作模式對於加入成為其「會員」者有兩項優勢:第一,減少「專利蟑螂」可取得的專利數量;其次,因可理解為全體會員合力進行防禦型專利取得故能減低這些專利取得之成本。