日本經濟產業省於2016年11月14日召開第二次「自動駕駛商業檢討會」,邀請產官學研各界對於自動駕駛未來國際標準的動向以及諸如協調領域、社會接受度、制度和基礎建設等方面所涉議題,交換意見。
該檢討會首先注意到美國、歐洲以及韓國對於自動駕駛各式規則或指引制定的討論。在協調領域方面,檢討會指出:關於自動駕駛所需的地圖資訊,應由各汽車製造商協調,透過合作機制或規範來確保資訊與資金提供的公平性。
社會接受度方面,檢討會則提出建議考量是否需要針對不擅駕駛的高齡者或初學者,提供有效系統的必要性。在制度與基礎建設方面,檢討會則指出:以現狀而言,自動駕駛服務的商業永續性仍不明朗,必須持續進行實證試驗。
此外,為減少交通事故與因應少子化,與汽車的ICT革命等議題,由國土交通省於同年11月25日設立「自動駕駛戰略本部」(自動運転戦略本部),並於12月9日召開第一次會議。
該次會議討論的範圍包括:為實現無人駕駛的環境整備、自動駕駛技術的研發、普及與促進,以及為實現自動駕駛的實證與社會試驗。
會議結論則由國土交通大臣指示針對「車輛的技術基準」、「年長者事故對策」、「事故發生時的賠償規則」、「大卡車列隊行走」、「非平地道路間以車站為據點的自動駕駛服務」等議題速成立工作小組。
我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 我國關於個資去識別化實務發展,依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡,實務上爭議在於達到合理利用目的之個資處理,參酌法務部103年11月17日法律字第10303513040號函說明「個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍」,在保護個人隱私之前提下,資料於必要時應進行去識別化操作,確保特定個人無論直接或間接皆無從被識別;還得參酌關於衛生福利部健保署資料庫案,健保署將其所保有之個人就醫健保資料,加密後提供予國衛院建立健保研究資料庫,引發當事人重大利益爭議,終審判決(最高行政法院106年判字第54號判決)被告(即今衛福部)勝訴,法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準,該案之資料收受者(本案中即為衛福部)掌握還原資料與主體間連結之能力,與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用,在於確保社會大眾無法從資料內容輕易推知該資料所屬主體,並有提到關於再識別之風險評估,然而應採行何種標準,並未於法院判決明確說明。 我國政府為因應巨量資料應用潮流,推動個資合理利用,行政院以推動開放資料為目標,104年7月重大政策推動會議決議,請經濟部標檢局研析相關規範(如CNS 29191),邀請相關政府機關及驗證機構開會討論,確定「個人資料去識別化」驗證標準規範,並由財政部財政資訊中心率先進行去識別化驗證;並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191,同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例,第二波示範案例則由內政部及衛生福利部(105年12月通過)接續辦理。 經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術-安全技術-隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication),轉換為國家標準CNS 29100及CNS 29191,並據此制訂「個人資料去識別化過程驗證要求及控制措施」,提供個資去識別化之隱私框架,使組織、技術及程序等各層面得整體應用隱私權保護,並於標準公報(107年第24期)徵求新標準之意見至今年2月,草案編號為1071013「資訊技術-安全技術-個人可識別資訊去識別化過程管理系統-要求事項」(Management systems of personal identifiable information deidentification processes – Requirements),主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項,提供維護並改進個人資訊去識別化過程及良好實務作法之框架,並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 由於前述說明之草案編號1071013去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 去識別化係以個資整體生命週期為保護基礎,評估資料利用之風險,包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序,分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法(下稱個資法)說明如下:首先,組織應先確定去識別化需求為何,究係對「個資之蒐集或處理」或「為特定目的外之利用」(對應個資法第19條第1項第4、5款)接著,對應重點在於「適當安全維護措施」,依據個資法施行細則第12條第1項規定,公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施;而依據個資法施行細則第12條第2項規定,適當安全維護措施得包括11款事項,並以與所欲達成之個資保護目的間,具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法: 一、隱私權政策 涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 組織蒐集、處理、利用PII應符合之11項原則,包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」,以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫,且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者,組織於進行去識別化處理時,應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 參、小結 國際上目前無個資去識別化驗證標準及驗證作法可資遵循,因此現階段控制措施,係以個資整體生命週期為保護基礎,評估資料利用之風險,使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊進行去識別化之過程,透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項,內化為我國業者因應資料保護與資料去識別化管理制度。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心,個人資料去識別化過程驗證,https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx(最後瀏覽日:2019/6/4) 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容,該網站並未公告「個人資料去識別化過程驗證要求及控制措施」,故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。
法國即將設立新的簽證種類「科技簽證viva tech」面向三類科技人才法國總統馬克宏(Emmanuel Macron)6月15日在法國巴黎舉行開幕的法國創新技術會議(Viva Technology)上,宣布兩項新政策措施:簽證與投資基金。馬克宏宣布,即將設立新的簽證種類「科技簽證viva tech」法國科技簽證面向三類科技人才:創業創始人,員工和投資者,並允許他們在法國生活和工作。其內容如下: 一、 有效期限為四年,並且已可再生做為基礎。 二、 其延伸至直系親屬,且配偶還可獲得居留許可,得在法國生活、工作。 受撫養的孩子也有權在法國居住。 三、 且其不需要額外的工作許可,而來自歐洲經濟區和瑞士的公民則不需要居留許可。 而針對法國科技簽證的資格,有三個,一為企業創始人,二為員工,三為投資者,而三者類型可以透過不同的途徑獲得「科技簽證」。 如:企業創始人要成為法國技術簽證的創業者,其申請條件包括計畫在法國發展經濟創新型的創業項目,始符合申請資格。 若想以僱員身分獲得法國技術簽證的資格,必須擁有研究生學位(碩士以上)、與法國公司有資格通過法國技術簽證招聘的最少3個月的工作合約、年薪總額至少35,526.40歐元(為2017年1月1日法國最低工資的兩倍)。 而針對投資者,該簽證瞄準風險投資家和商業天使投資創業公司,有幾種方法可以獲得法國投資者技術簽證的資格:一家外國風險投資公司在法國開設辦事處、外國投資者由法國的風險投資公司招募、商業天使(通常是成功的企業家)移居法國。而要獲得標有“商業投資者”的人才通行證,須投資至少30萬歐元的固定有形或無形資產。直接或通過您至少擁有30%股權的公司進行投資、至少擁有您所投資公司的10%,並且在投資後的四年內創造或保護工作,而法國風險投資公司招募的外國投資者則不要考慮這些標準。 法國今年夏天推出“法國簽證”項目,使簽證更容易發放,政府部門遵循的程序更加可靠。
德國數位經濟2017監測報告及建議德國經濟與能源部於2017年12月公布數位經濟2017監測報告,就ICT及網路經濟的表現和競爭力統計各產業數位經濟程度,並針對德國數位轉型現況及挑戰進行分析並提出相關建議。 報告資料指出, 在六大創新應用潛力的部分,14%的企業已投入工業4.0改造,集中於機械製造業,數量有逐步上升趨勢;物聯網應用則以服務業居多,特別是知識密集型服務提供者;33%的企業有提供智慧服務,以客戶為導向的企業,例如資通訊業、金融保險業,使用比例更為明顯;19%企業開始利用巨量資料,多集中於大企業或先進產業;11%企業有利用機器人及感測器;人工智慧則尚處於起步階段,而使用者多集中於資通訊產業。就上述資料顯示,推動數位轉型尚待加強。另外,今年監測報告聚焦「數位聯網及合作」議題,結果顯示,約六成的企業與其商業客戶有進行數位聯網,而只有約四成的公司與新創公司有合作,因此尚有許多創新潛力尚未得到充分利用。 國際數位經濟排名第六,落後美國、南韓、英國、日本、芬蘭。在獲得風險資本可能性的表現最佳,整體創新能力也處於相對領先地位,惟電子化政務服務較為落後,有待加強。在關鍵政策需求部分,以寬頻建設促進政策、創建數位化友善法律框架,以及獲取創新基礎的公共知識最受矚目。
論政府資料探勘應用之個人資料保護爭議