法國參議院關於資料在地化(Data Localization)之修法提案
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。
法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。
然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
- Myriam Gufflet, CIPM , French Senate proposes data localization
- Loi 78-17 du 6 janvier 1978 modifiée
- Sénat, PROJET DE LOI pour une République numérique
- Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015
- Gouvernement.fr , Digital Republic Bill Introduction
- Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of
- European Commission, Reform of EU data protection rules
孫鈺婷
專案經理 編譯整理
European Commission, Reform of EU data protection rules, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited MAY. 25, 2016).
Position of the Council at first reading with a view to the adoption of a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN (last visited MAY. 25, 2016).
Gouvernement.fr , Digital Republic Bill Introduction, http://www.republique-numerique.fr/pages/digital-republic-bill-rationale (last visited MAY. 25, 2016).
Sénat, Projet de loi pour une République numérique :procédure accélérée engagée par le Gouvernement le 9 décembre 2015, http://www.senat.fr/dossier-legislatif/pjl15-325.html (last visited MAY. 25, 2016).
Sénat, PROJET DE LOI pour une République numérique, http://www.senat.fr/leg/tas15-131.htm (last visited MAY. 25, 2016).
Loi 78-17 du 6 janvier 1978 modifiée, https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee (last visited MAY. 25, 2016).
Myriam Gufflet, CIPM , French Senate proposes data localization, https://iapp.org/news/a/french-senate-proposes-data-localization/ (last visited MAY. 25, 2016).
日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。 隨著生成式AI的登場,日常生活以及執行業務上,利用AI的機會逐漸增加。另一方面,濫用或誤用AI等行為,可能造成網路攻擊、意外事件與資料外洩事件的發生。然而,利用AI時可能的潛在威脅或風險,尚未有充分的對應與討論。 本調查將AI區分為分辨式AI與生成式AI兩種類型,並對任職於企業、組織中的職員實施問卷調查,以掌握企業、組織於利用兩種類型之AI時,對於資料外洩風險的實際考量,並彙整如下: 1、已導入AI服務或預計導入AI服務的受調查者中,有61%的受調查者認為利用分辨式AI時,可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。 2、已導入AI利用或預計導入AI利用的受調查者中,有57%的受調查者認為錯誤利用生成式AI,或誤將資料輸入生成式AI中,有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。 日本調查報告顯示,在已導入AI利用或預計導入AI利用的受調查者中,過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務,或未來預計導入AI服務之我國企業,如欲強化AI資料的可追溯性、透明性及可驗證性,可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範;如欲避免使用AI時導致營業秘密資料外洩,則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範,以降低AI利用可能導致之營業秘密資料外洩風險。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟執委會提出《歐洲晶片法案》應對半導體短缺並加強歐洲技術領先地位歐盟執委會於2022年2月8日提出《歐洲晶片法案》(European Chips Act),以確保歐盟在半導體技術和應用的供應鏈安全、彈性和技術領先地位。近來全球半導體短缺,迫使汽車及醫療保健設備等眾多領域工廠關閉,部分歐盟成員國的汽車產量於2021年下降三分之一,顯示在複雜的全球地緣政治背景下,半導體價值鏈極度依賴數量有限的參與者。《歐洲晶片法案》將動員公共及私人投資歐洲半導體產業,金額超過430億歐元;並制定政策措施以預防、準備、預測和迅速應對未來任何供應鏈中斷情形,幫助歐盟實現2030年將現行晶片市場占比提升至20%的願景。《歐洲晶片法案》共分成八大章節,涵蓋歐洲晶片倡議、供應安全、監測和危機應對、治理模式、保密處罰及程序等議題。其中《歐洲晶片法案》主要由三大支柱組成,規範內容如下: 支柱一:歐洲晶片倡議(法案第3條至第9條)。歐洲晶片倡議將對現有關鍵數位技術重新進行戰略定位,以強化歐盟成員國和相關第三國及私營部門的「晶片聯合資源承諾」。歐盟預計將投入110億歐元用於加強研究、開發和創新,以確保部署先進半導體工具、原型設計實驗產線、測試和用於創新生活應用的新設備,培訓員工深入了解半導體生態系統和價值鏈。 支柱二:供應安全(法案第10條至第14條)。建立半導體「集成生產設施(Integrated Production Facility, IPF)」和「開放歐盟代工廠(Open EU Foundry, OEF)」,透過吸引投資與提高生產能力來建立供應安全的新框架,用以發展先進節點創新及節能晶片。此外,晶片基金將為新創企業提供融資管道,協助技術成熟並吸引投資者;投資歐洲基金(Invest EU)將設置專屬半導體股權投資的選項,以擴大歐洲半導體研發規模。 支柱三:監測和危機應對(法案第15條至第22條)。建立歐盟成員國和執委會間的協調機制,用以監測半導體供應、估計需求和預測短缺。透過蒐集企業的關鍵情報能發現歐洲主要弱點和瓶頸,從而監控半導體價值鏈穩定。歐盟將彙整危機評估報告並協調各成員國採取歐盟建議的應對方案,以便共同做出迅速正確的決定。
英國次世代5G策略英國文化、媒體暨體育部2017年3月8日發布「次世代行動技術:英國的5G策略」,此舉將會加速英國網路基礎建設更新並促進智慧聯網之發展。這份策略書提出了幾個重要方面來採取行動: 建構經濟實例:英國政府計畫建立新的5G試驗場,和企業共同合作發展5G科技。此試驗場預計同時在城市和偏遠地區進行,以了解不同地區環境下建設的效益,且與Ofcom合作了解目前環境與法規障礙。 調適法規:政府會持續檢查相關法規是否需要修正,並與試驗場合作了解現行法規是否適當。 地方區域的治理與能力建構:意識到地方區域於建構基礎建設的重要性,因此英國政府正在諮詢地方政府如何在地方區域進行5G建設,將會將地方政府、政府部門、土地擁有者和企業等集合組成工作小組進行5G策略的諮詢。 覆蓋率與能力匯流:政府將於2017年底前了解人類生活、工作與旅遊需達成之高品質覆蓋率要素,並於2025年前達成這些要素目標。 確保安全的5G布建:5G試驗場將會與重要安全組織如國家網路安全中心合作,以支持和發展新的安全建築來達到消費者對於5G的期待與需求。 頻譜:政府將要求Ofcom檢視現行頻譜授權策略並於2017年底提出報告,以促進4G至5G轉型。 科技與標準:政府將會持續和標準機關合作,監督市場安全與供應者的發展。
歐洲資料保護委員會於2020年2月18日發布GDPR實施情形的報告「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2020年2月18日發布GDPR實施情形的報告。報告內容主要聚焦於資料跨境傳輸機制、歐盟會員國間合作機制(含EDPB工作情形)以及中小企業法遵等其他議題。 在資料跨境傳輸機制方面,EDPB歡迎各國提出適足性認定的申請,並表達其在評估是否具有適足性時,將著重於相對方是否能使權利確實執行、矯正措施是否有效執行以及對於持續性的轉移是否有足夠保護措施等。EDPB特別建議執委會,應保守看待G20或G7等會議所進行的「資料自由流通」概念,並確保個資保護水準不會因此受到影響。 而在其他跨境傳輸機制上,EDPB建議歐盟執委會應儘速更新標準契約條款,使其能與GDPR規定相符;同時其公佈目前正在審查40個「拘束性企業規則」(Binding Cooperation Rules, BCR),預期至少半數將於2020年審結;而在驗證及行為準則方面,EDPB預期將於2020年底完成相關指引的公告。 在歐盟會員國間合作機制上,EDPB強調其將著重於探討新興技術發展如何兼顧個資保護,以使GDPR作為技術中立的架構,能在保護個資同時兼顧創新。此外,EDPB承認由於各國程序規範上的差異,使得合作面臨挑戰,其建議歐盟執委會持續觀察程序差異對於GDPR執行成效上的影響。EDPB同時認為目前各國監管機構所獲得的資源仍然不足,建議各會員國應提供監管機構更充足的資源。 在中小企業議題上,EDPB承認GDPR對中小企業帶來挑戰。對此,除已由各國監管機構提供相關支援外,EDPB也將持續投入相關支援工具的開發,以減輕中小企業的負擔。 整體而言,EDPB認為GDPR實施大體上是成功的,並能提高歐盟法律體系在全球的知名度,目前並無修改GDPR的需求。 根據GDPR第97條規定,歐盟執委會應於本年5月25日前針對跨境資料移轉、歐盟會員國間合作機制等GDPR落實情形向歐洲議會及歐盟理事會提交評估報告;並於此後每4年提交一次。EDPB此一報告係為提供執委會完成前述報告參考而做。