從RFID的應用談科技變遷下的人權議題

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏，於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全，特別是在全國數位化進程中，攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上，宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外，亦欲藉此強化德國資訊科技安全企業的競爭力，提升外銷實力。 　　該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber)，例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過，究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束，德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。 　　關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準，且得符合一定的付出成本比例。不過衡量標準，最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵，該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。 　　關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核，若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。 　　若是上述業者的資訊安全系統有受損，並且可導致關鍵基礎設施的故障或損毀，該企業需通報德國聯邦資訊安全局，且該記錄可匿名化。但是，若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀，該企業則需立即通報德國聯邦資訊安全局，不可匿名。

　　依據12月USPTO公開資訊，微軟（Microsoft）於2016年9月2號提出擴增實境（Augmented Reality，以下簡稱AR）系統之美國發明專利申請（申請號：20160373570）。目前AR系統不僅可投射虛擬訊息，還可偵測物理空間之物體位置，不過因為現實生活中，不管是有生命或無生命物體，都不太可能處於完全靜態不動的狀況；而微軟此技術之開發，除了不限於固定空間外，對移動中的物體更具有自動追蹤效果。 　　微軟專利指出該系統能辨識無生命物體，並可將該物體被選擇為追蹤對象的技術，這個AR系統可持續監測物體的狀態，不僅在同一空間中不同時間點，甚至是物體離開監控空間又被帶回的情況都可追蹤。從微軟專利可以看到這項技術運用在日常生活的價值，如：我們常常花很多時間在想汽車鑰匙和錢包放在哪裡，但透過這個系統的追蹤，可以節省我們找尋的時間；有時我們會忘記家裡的牛奶還剩多少，而花時間去逛超商，倘若我們運用此追蹤技術，能夠隨時知道牛奶剩餘的狀態，就可以避免這種情況的發生。 　　上開技術不僅包含AR技術，還有虛擬實境（Virtual Reality，簡稱VR）技術，這些技術能透過虛擬與真實世界合併，將真實世界、人類、空間和物體結合，並可進一步的智慧化追蹤，若這項專利被核准且可真實運用到現實生活，必能減少我們的生活中不必要的麻煩。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　美國紐約南區地方法院於今年3月22日裁定否決Google 與美國作家協會(Authors Guild)及出版商間所達成的和解協議。此和解案起於Google 於2004年提出的Google Books 計畫，規劃與各大學圖書館合作進行將其館藏圖書數位化。美國作家協會於是於2005提起集體訴訟，在經過兩年談判後與Google 於2008年達成和解協議。如此協議被法院認可，Google 將可掃描及販售成千上萬之書籍，其中包含已絕版之書籍，且即使這些書籍並非屬於公共財或未取得出版商之許可置於Google Books上。 　　美國地方法院法官Denny Chin表示雖然將書籍數位化且建制完整的數位圖書館(universal digital library)將會造福很多人，但認為和解協議的內容不具公平、適當及合理性。因相較於其競爭對手，此和解協議將給予Google享有顯著的優勢，讓其進行大規模的複製未經授權的著作。 　　Google 律師表示此裁定令人失望，但將檢視法院之判決並思考後續之選擇，並說明不論結果如何，Google 將持續致力於將全世界的書籍藉由線上Google Books 及Google eBooks 的方式被發現。