隨著網路技術的進步,資安事件亦日益加增,為了因應日趨頻繁的網路攻擊,美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令(PRESIDENTIAL POLICY DIRECTIVE/PPD-41),該指令不僅提出聯邦政府對於資安事件回應的處理原則,並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。
指令中就資安事件及重大資安事件進行了定義:資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行;而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外,就遭遇資安事件時,列舉出下列幾點作為聯邦政府因應資安事件時之原則:(A)責任分擔;(B)基於風險的回應;(C)尊重受影響者;(D)政府力量之聯合;(E)促進重建及恢復。
聯邦政府機關於因應資安事件時,需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應;國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分,而情報支援部分,則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響,則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時,為使聯邦政府能有效率因應,指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外,指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。
該指令加強了現有政策的執行,並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。
隨著越來越多學校使用線上教育技術產品發展教學課程,並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊,資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日,加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案,其中最引人關注的便是編號SB1177號法案,又稱學生線上個人資料保護法案(the Student Online Personal Information Protection Act,簡稱SOPIPA)。 SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為,包括:(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的,運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定,禁止披露涵蓋資訊(covered information)。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information),或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。 此外,SOPIPA線上教育服務經營者應採取適當安全的維護措施,以確保持有之涵蓋資訊的安全。同時,線上教育服務經營者應在有關教育機構的要求下,刪除學生之涵蓋資訊。 SOPIPA預計於2016年1月1日生效,將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者,同時也將適用於未與K-12學校簽署契約,但為該學校所使用之小型K-12技術網站、服務或APP等等。
南韓個資保護委員會發布人工智慧(AI)開發與服務處理公開個人資料指引南韓個資保護委員會(Personal Information Protection Commission, PIPC)於2024年7月18日發布《人工智慧(AI)開發與服務處理公開個人資料指引》(인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서)(以下簡稱指引)。該指引針對AI開發與服務處理的公開個人資料(下稱個資)制定了新的處理標準,以確保這些資料在法律上合規,且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中,會使用大量從網路上收集的公開資料,這些公開資料可能包含地址、唯一識別資訊(unique identifiable information, UII)、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資,內容不限於個資主體自行公開的資料,還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多,在現實中很難在處理這些公開個資以進行AI訓練之前,取得每個個資主體的單獨同意及授權,同時,南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題,PIPC制定了該指引,確認了蒐集及利用公開個資的法律基礎,並為AI開發者和服務提供者提供適用的安全措施,進而最小化隱私問題及消除法律不確定性。此外,在指引的制定過程中,PIPC更參考歐盟、美國和其他主要國家的做法,期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分,第一部分:應用正當利益概念;第二部分:建議的安全措施及保障個資主體權利的方法;及第三部分:促進開發AI產品或服務的企業,在開發及使用AI技術時,注意可信任性。 針對第一部分,指引中指出,只有在符合個人資料保護法(Personal Information Protection Act, PIPA)的目的(第1條)、原則(第3條)及個資主體權利(第4條)規定範圍內,並滿足正當利益條款(第15條)的合法基礎下,才允許蒐集和使用公開個資,並且需滿足以下三個要求:1.目的正當性:確保資料處理者有正當的理由處理個資,例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性:確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估:確保資料處理者的正當利益明顯超越個資主體的權利,並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定,其中,技術防護措施包括:檢查訓練資料來源、預防個資洩露(例如刪除或去識別化)、安全存儲及管理個資等;管理和組織防護措施包括:制定蒐集和使用訓練資料的標準,進行隱私衝擊影響評估(PIA),運營AI隱私紅隊等;尊重個資主體權利規定包括:將公開資料蒐集情形及主要來源納入隱私政策,保障個資主體的權利。 最後,在第三部分中,指引建議AI企業組建專門的AI隱私團隊,並培養隱私長(Chief Privacy Officers, CPOs)來評估指引中的要求。此外,指引亦呼籲企業定期監控技術重大變化及資料外洩風險,並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新,並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通,並密切關注技術進步及市場情況,進而推動PIPA的現代化。
BSI公布個人資料管理系統標準之草案英國國家標準組織(British Standard Institution)於2009年1月8日公布個人資料保護管理系統標準(標準標號為DPC BS 10012)之草案,使組織在個人資料儲存管理工作上符合個人資料保護法(Data Protection Act 1998,DPA)之要求。 有鑑於利用個人資料管理系統(personal information management system,PIMS)管理業務上取得之資料之情形日益增多,而觀諸該資料之性質,通常多為DPA所規範定義的「個人資料」。因此,為使個人資料管理有其標準規範,並得以運用在任何規模之公私部門,使組織內之個人資料管理系統符合DPA之規範且具有一定程度之安全性,BSI試圖提出有關個人資料管理一致性之標準規範,以供組織在個人資料處理程序工作上之遵循。該標準規範如同BS EN ISO 9001:2000之品質管理系統(Quality Management System)及BS ISO/EC 27001:2005之資訊安全管理系統標準,以PDCA週期(Plan-Do-Check-Act)進行規劃,並透過執行所規範之流程落實個人資料之保護。 目前該草案已經公布,BSI於2009年3月31日前將接受各界對於該草案之諮詢及舉辦公聽會,以求標準規範之完善。
以法制工具支援文化創意產業之發展與推動-文化創意產業發展法及相關配套子法