電信產業號碼資料庫之應用與法制議題-以個人隱私保護為中心

刊登期別
2005年04月
 

※ 電信產業號碼資料庫之應用與法制議題-以個人隱私保護為中心, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=754&no=55&tp=1 (最後瀏覽日:2026/07/18)
引註此篇文章
你可能還會想看
歐盟發布新人工智慧規範,以風險程度判斷防止科技濫用

  歐盟執委會於2021年4月21日提出「人工智慧規則」(AI regulation)草案,成為第一個結合人工智慧法律架構及「歐盟人工智慧協調計畫」(Coordinated Plan on AI)的法律規範。規範主要係延續其2020年提出的「人工智慧白皮書」(White Paper on Artificial Intelligence)及「歐盟資料策略」(European Data Strategy),達到為避免人工智慧科技對人民基本權產生侵害,而提出此保護規範。   「人工智慧規則」也依原白皮書中所設的風險程度判斷法(risk-based approach)為標準,將科技運用依風險程度區分為:不可被接受風險(Unacceptable risk)、高風險(High-risk)、有限風險(Limited risk)及最小風險(Minimal risk)。   「不可被接受的風險」中全面禁止科技運用在任何違反歐盟價值及基本人權,或對歐盟人民有造成明顯隱私風險侵害上。如政府對人民進行「社會評分」制度或鼓勵兒童為危險行為的語音系統玩具等都屬於其範疇。   在「高風險」運用上,除了作為安全設備的系統及附件中所提出型態外,另將所有的「遠端生物辨識系統」(remote biometric identification systems)列入其中。規定原則上禁止執法機構於公眾場合使用相關的生物辨識系統,例外僅在有目的必要性時,才得使用,像尋找失蹤兒童、防止恐怖攻擊等。   而在為資料蒐集行為時,除對蒐集、分析行為有告知義務外,也應告知系統資料的準確性、安全性等,要求高度透明化(Transparency obligations)。不只是前述的不可被接受風險及高風險適用外,有限風險運用中的人工智慧聊天系統也需要在實際和系統互動前有充足的告知行為,以確保資料主體對資料蒐集及利用之情事有充足的認知。   在此新人工智慧規範中仍有許多部份需要加強與討論,但仍期望在2022年能發展到生效階段,以對人工智慧科技的應用多一層保障。

跨國企業呼籲印度政府加強營業秘密保護

  印度納倫德拉.莫迪(Narendra Modi)政府為了吸引外資,鼓勵跨國企業在印度設立研發單位,目前該國商工部產業政策暨推廣司(Department of Industrial Policy & Promotion)正在研擬新的智財權政策。對此,英特爾日前去函相關權責部門,呼籲印度政府加強營業秘密保護,俾以增加投資者信心,吸引更多外資,甚至要求對竊取者科以刑責,藉此嚇阻不法。   印度目前僅透過普通法及契約法相關原則保護營業秘密,並未如同其他智慧財產權制定專法,使得外國公司不願與在地企業分享知識及技術。英特爾表示,當印度的資訊科技及創新持續成長時,有必要捨棄英國僅以契約保護的模式,透過法律科以相當刑責,確立營業秘密作為智慧財產權的地位。並補充道,營業秘密保護對於新設公司而言也很重要,因為它們可能沒有足夠的資源,就其研發及創新申請專利。   美國貿易代表Micheal Froman在雙邊貿易政策論壇中,也向印度商工部部長Nirmala Sitharaman提出相關議題,但印度政府認為現有法制已足敷使用,僅允諾將與美方代表交換法律文件,以便瞭解彼此法律規定。另名政府官員更明白表示,只不過因為美國最近頒行了統一營業秘密法(Uniform Trade Secret Act),並不表示印度也應該跳上同一艘船。

新加坡物聯網產品網路安全防護之初探

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網(Internet of Things,簡稱IoT)產品蓬勃發展,伴隨著資通安全之威脅卻也日益加增,新加坡為此陸續訂定國內法規,以強化保障新加坡人民資訊流通之自由,並確立了網路安全標籤機制,藉以提高消費者對於物聯網產品資安的認識。另一方面,標籤制度能於消費者使用物聯網產品時,將產品受到不同層級之網路安全防護,或有別於一般用途使用等資訊,迅速傳達給消費者。據此,本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規,供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1](CSA),陸續為新加坡建立完善之物聯網產品網路安全防護機制,且新加坡於2018年訂定《網路安全法》[2],法案的第一部分已明示將「網路安全」列為實質保障內涵[3],並明訂須透過識別與分析威脅,以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性,首先於亞太地區推出物聯網產品等級評估機制,即新加坡網路安全標籤機制[4](Cybersecurity Labelling Scheme, CLS),致力於保障新加坡的網路空間,並使消費者能夠識別符合網路安全規定之物聯網產品,以利消費者辨認選購。此外,CLS架構下設有驗證中心、通用標準以及標籤分級等措施,以強化物聯網產品資安防護為目的,也能落實《網路安全法》保障新加坡網路安全之精神。 (一)設置網路安全驗證中心[5](Cybersecurity Certification Centre, CCC):為驗證資安相關產品與服務之權責機關,透過CSA建置的驗證標準,成為新加坡企業採用資安產品之參考依據。 (二)建立通用標準(Common Criteria, CC):最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出,以國際標準ISO/IEC 15408(Common Criteria for Information Technology Security Evaluation)作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認,資訊服務業者若經過相關驗證時,較易被新加坡企業採用。 (三)建立網路安全標籤機制(Cybersecurity Labelling Scheme, CLS):CSA針對智慧裝置推出網路安全標籤機制CLS,是以《網路安全法》做為上位精神而訂,但並不具強制力,而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級,使消費者能夠識別符合較高等級網路安全規定的產品,並做出明智的決定。CLS共可分為4個等級(Level 1~4),第1級為產品滿足相關之基本要求(如密碼要求、提供軟體更新);第2級為該產品係使用安全設計原則進行開發(如進行相關之威脅評估、審驗程序);第3級為該產品經過第三方測試實驗室評估;第4級則經過第三方實驗室之滲透測試。此外,值得注意的是,新加坡亦與德國、芬蘭簽署備忘錄,以相互承認,也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度(IT-Sicherheitskennzeichen)、芬蘭的網路安全標籤制度(Finnish Cybersecurity Label),可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安,透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制,針對物聯網產品資安進行不同層次的保障。此外,採「驗證」方式保障人民生活不受網路威脅侵害,同時提高消費者對於物聯網產品資安之意識,可謂一舉數得之作法。而我國於物聯網產品發展以來,有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章,以供企業或消費者識別,物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後,核發合格證書及資安標章,並依照資安風險高低及安全技術實現複雜度,區分三個等級(L1~L3),分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下,已推出6項產品系列之驗證[7],並且採消費者導向之標章,足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識;但此認驗證機制或有優化空間,今後可以參考新加坡作法,擴增可進行驗證的產品項目,持續提升保障消費者選購物聯網產品之資訊知悉權,同時可參酌國際上其他重點國家之風險評估方式,以系統性建置物聯網產品資安之風險評估通用標準,以確保該制度未來有機會被其他國家直接或間接承認,為國際接軌做準備,作為今後精進物聯網產品資安之目標,方可促使我國與國際產業鏈、海外市場逐步銜接,提升產業競爭力。 [1]新加坡網路安全局CSA(Cyber Security Agency),隸屬於總理辦公室(Prime Minister’s Office, PMO),由新加坡通訊暨新聞部(Ministry of Communications and Information)管理,https://www.csa.gov.sg/,(最後瀏覽日:2023/6/30)。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟(Mobile Application Security Alliance),關於我們〈推動架構〉,https://www.mas.org.tw/about/background,(最後瀏覽日:2023/6/30)。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟(Mobile Application Security Alliance),IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些?〉,https://www.mas.org.tw/iot/questAndAnswer,(最後瀏覽日:2023/6/30)。

歐盟COVID-19疫情位置資料和接觸追蹤工具使用指引

  歐洲資料保護委員會(European Data Protection Board, EDPD)於2020年4月24日公布COVID-19疫情期間使用位置資料和接觸追蹤工具指引文件(Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak),就針對COVID-19疫情期間,歐盟成員國利用定位技術和接觸追蹤工具所引發的隱私問題提供相關指導。   EDPD強調,資料保護法規框架於設計時即具備一定彈性,因此,在控制疫情和限制基本人權與自由方面可取得衡平。在面對COVID-19疫情而需要處理個人資料時,應提升社會接受度,並確保有效實施個資保護措施。然而資料和技術雖可成為此次防疫重要的工具,但此次的資料利用鬆綁應僅限用於公共衛生措施。歐盟應指導成員國或相關機構,採取COVID-19相關應變措施時,若涉及處理個人資料,應遵守有效性、必要性、符合比例等原則。本次指引針對利用位置資料和接觸追蹤工具的特定兩種情況,闡明其利用條件和原則。情況一是使用位置資料建立病毒傳播模型,並進一步評估及研擬整體有效的限制措施;情況二是針對有接觸史病患進行追踪,目的是為通知確診病人或疑似個案以進行隔離,以便儘早切斷傳播鏈。   EDPB指出,GDPR和電子隱私保護指令(ePrivacy Directive)均有特別規定,允許各成員國及歐盟層級公共單位使用匿名及個人資料監控新冠病毒的傳播,並呼籲透過個人自願性安裝接觸追蹤工具。

TOP