2016年11月澳洲國家交通委員會(簡稱NTC)公布「自駕車政策革新報告」(Regulatory reforms for automated road vehicles Policy Paper),當中釐清對自駕車各項可能遭遇的法規障礙並設定修正時程,2017年4月16號NTC並進一歩依前份文件規劃提出「控制自駕車相關規範建議」討論文件,釐清自駕車的控制定義與相對應規範,並提出法制規範修正內容。
2016年澳洲政府並通過了關於陸路交通科技的「政策原則」(Policy Principles),其中包括政府決策時應基於改善交通安全、效率、永續發展和成果的可能實現,並且應以消費為中心等原則,這些原則構成了澳洲政府的政策框架。
澳洲NTC此份討論文件中,提出應釐清能「控制(in control)」自駕車的對象,此將影響自駕車事故的負責人為誰。NTC提出目前仍應定義人類駕駛為控制自駕車的一方而非自駕系統,以避免人類駕駛做出不適當的操作行為。
NTC並釐清「恰當控制」的定義。「恰當控制」為澳洲道路法規第297條第1項:「駕駛者不得駕駛車輛除非其有做出恰當控制」中所規範。恰當控制被目前的執法機關詮釋為駕駛者應坐在駕駛座上並至少有一隻手置於方向盤上。但「恰當控制」將因自動駕駛系統的操作方式受到挑戰。因此NTC認為「恰當控制」不一定需要將手置於方向盤上,而是要有足夠的警覺性和能即時進行干涉,此定義並應隨著科技發展而修正。
本次政策文件意見徵詢至2017年6月2日,收到意見後NTC將會意見納入未來的全國性實施政策方針,提交給澳洲交通與基礎建設諮議會(Transport and Infrastructure Council)通過,預計於2017年年底前完成此自駕車方針。
本文為「經濟部產業技術司科技專案成果」
根據美國公共電視台在2016年1月6日的新聞,指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵,諸如:指紋、虹膜等進行支付。採用生物支付技術,未來將無須使用信用卡或行動裝置,僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利,但同時,生物支付的安全性卻也不無疑義。 即便生物辨識屬於高層級的資訊安全保護機制,但水能載舟,亦能覆舟。生物辨識利用生物不可變之特性進行身分識別,涉及高度個人隱私,為妥善保護個人資訊安全,需訂立生物辨識相關規範加以管制,否則將衍生許多法律問題。 例如:在2015年6月,美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者,也從未同意其生物辨識資訊被該公司蒐集,但其面紋(Face print)卻被上傳至該公司網站,並標註姓名,儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範: 1.第10條: 生物辨識之態樣,包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描,但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a): 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱,並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1): 蒐集生物辨識資訊應告知當事人。 Shutterfly公司提出要求法院不受理之抗辯,主張BIPA規定之臉部外觀,其文意解釋應為物理上個人親自接受掃描所得之資訊,並非原告所主張以照片辨識之臉部外觀,但法院認為Shutterfly之主張並不合理,因此同意受理此案。 觀察該案可發現,儘管生物辨識提高資訊安全之保護,但相關法規範解釋仍待實務完備。另一方面,生物特徵資訊極易被他人蒐集,因此,如何建置蒐集個人辨識資訊及完善相關措施,也是推行生物支付措施所需突破的關口。
新興經濟體之創新創業機制特色初探 日本資訊信託功能認定指引第二版日本於2018年6月公布「資料信託功能認定指引第一版」(情報信託機能の認定に係る指針ver1.0),期待藉此推動資料銀行發展,促進資料流通和利用。第一版指引係以資料銀行應具備之功能為中心,惟伴隨資料銀行業務發展,指引內除資料銀行基本功能外,亦應規範個人資料管理及向第三方提供資料之條件等內容,加上有論者認為第一版內有關資料銀行定義過於偏重功能描述,故總務省和經濟產業省於2019年1月起召開檢討會,重新檢討上開指引,最終於2019年10月8日公布「資料信託功能認定指引第二版」(情報信託機能の認定に係る指針ver2.0)。 第二版指引更新重點包括︰(1)修正資料銀行定義︰第一版指引僅強調資料銀行之功能,第二版則增加資料銀行之目的和資料銀行與個人間關係等內容;(2)重新定義並詳細說明資料種類和蒐集方法;(3)修正資料信託功能認定基準︰新增複數業者共同經營資料銀行,隱私保護對策以及確保資料銀行透明性和個人資料之自主控制等規定;(4)新增資料信託功能模範條款之應記載事項︰包括與限制行為能力人締結契約之程序,以及向第三方提供資料之條件等規定。為確保資料銀行透明性和個人資料之自主控制,第二版指引新增資料倫理審查會規定,要求資料銀行設置資料倫理審查會並定期向其報告,審查會則應就個人與資料銀行間契約、個資利用目的、向第三方提供資料之條件等事項提供建議。
歐盟個資保護委員會對英國個資傳輸適足性認定之意見英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。 2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見: 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。 但同時,EDPB也向歐盟執委會提出以下幾點注意事項: 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。 針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。