BS 10012:2017個人資訊管理系統新版標準已發布
BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。
2017新版架構由原本的6章變為為10章,新架構如下:
- 第1章 範圍
- 第2章 引用規範
- 第3章 專有名詞與定義
- 第4章 組織背景
- 第5章 領導統御
- 第6章 規劃
- 第7章 支援
- 第8章 營運
- 第9章 績效指標
- 第10章 改善
新標準主要修改內容如下:
- 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。
- 風險管理架構參酌ISO 31000:2009修改。
- 組織增設資料保護官(Data Protection Officer, DPO)。
- 個資蒐集、處理及利用:
(1)蒐集前須先告知當事人並取得其同意。
(2)蒐集應有必要性且最小化。
(3)兒童個資蒐集、利用須先經監護人同意。
(4)若個資利用目的為開放資料(Open data)須作去識別化。 - 個資必須維持正確且最新。
- 個資保存不超過處理目的存在必要之期限(保存期限)。
- 增加個資完整性與機密性要求。
- 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。
- 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。
- 增添文件管理規範。
BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
蔡馥如
法律研究員 編譯整理
British Standard Institution, BS 10012:2017 Data Protection - Specification for a Personal Information Management System (2017). Published the BS 10012:2017 on Personal Information Management System, VisiOn Platform, http://www.visioneuproject.eu/?p=710 (last visited Apr. 27, 2017).
BS 10012:2017, bsi. shop, http://shop.bsigroup.com/ProductDetail/?pid=000000000030339453 (last visited Apr. 27, 2017).
美國「聯邦通訊委員會」(Federal Communications Commission,FCC)於2010年12月21日表決通過「網路中立性」(Net Neutrality)規則,確保網際網路的自由開放,限制網路服務提供者(ISP)不得針對網路流量與內容進行不合理的管制,保障消費者權益、意見表達的自由、網路服務的競爭與創新。 網路中立性爭議由來已久,自2005年FCC公布網際網路政策聲明以來,對於管制機關是否介入ISP對於網際網路流量與內容之管理,一直爭執不斷。網路上服務與內容的創新驅動寬頻網路的發展,寬頻網路的普及又促進更多的創新與投資,在此時,寬頻網路壅塞的問題也日益嚴重,寬頻ISP為了確保競爭優勢,開始針對網路的流量進行管理,投入新技術建立網路流量的優先權與過濾機制中。 為了避免ISP管理網路的行為影響網路的競爭與創新發展,FCC自2009年開始探討網路中立性之管理規則。 本次公布之網路中立性規則包含五個部分: 1. 透明度(Transparency): ISP應公開揭露關於網路管理的資訊,包含網路接取服務之管理措施、商業條款,提供消費者及上下游業者做出適當的選擇。 2. 禁止封鎖(No Blocking)行為: 不得任意封鎖使用者及其他網路服務或內容提供者合法使用、接取網路的權利,凡是合法的內容、服務、應用等,皆不得被阻止。 3. 禁止不合理差別待遇(No Unreasonable Discrimination): 不得無故對於消費者接取網路之內容與流量進行差別待遇。 4. 定義合理的網路管理行為(Reasonable network management): 合理的網路管理包括:確保網路的安全與完整、解決網路壅塞的狀況、基於消費者自願的控制與過濾機制。 5. 區分無線行動網路與特殊服務 考量無線行動網路在速度、容量上與固定網路的差異,FCC制訂相關量測的規範,在合理網路管理的條件上,無線行動網路與固定網路將有不同的管制密度。 而FCC也將區分網路特殊服務,有別於單純的寬頻接取服務,特殊服務是在基礎網路上提供主要專業用途的服務,例如VOIP或視訊服務(IPTV),以促進更多元的私人網路投資與更創新的網路服務發展。 新的網路中立性規則仍然受到許多的批評,倡議者認為FCC宣示的管制強度太低,ISP有可能以各種手段迴避管制,公眾利益團體亦認為FCC未禁止「付費優先權」(Pay for priority),將使網際網路出現「高速/慢速」的不公平狀況;而反對者則認為FCC的管制將影響網路的創新服務發展,不利未來的投資。然而無論如何,這仍是在Comcast案受挫後,FCC維護網際網路的開放性所重新邁出之重要一步。
再工業化!?美國推動先進製造知基礎法制政策研析 美國總統簽署有關監管數位資產的行政命令美國總統於2022年3月9日簽署有關監管數位資產的行政命令(Executive Order on Ensuring Responsible Development of Digital Assets),有鑑於加密貨幣(cryptocurrencies)在內的數位資產於過去大幅成長,自5 年前的 140 億美元市值快速增長到去年11月的 3 兆美元市值,並且有100 多個國家正在探索央行數位貨幣(Central Bank Digital Currency, CBDC)。為使美國政府有整體性的政策以應對加密貨幣市場的風險與數位資產及其基礎技術的潛在利益,該行政命令以消費者與投資者保護、金融穩定、打擊非法融資、增進美國競爭力、普惠金融、負責任的創新為六大關鍵優先事項。 為實現關鍵優先事項,行政命令中所採取的具體措施包含:(1)政府機關應合作來保護美國消費者與企業,以因應不斷成長的數位資產產業與金融市場變化; (2)鼓勵金融監管機構識別與降低數位資產可能帶來的系統性金融風險,制定適當的政策建議以解決監管漏洞;(3)與盟友合作打擊非法金融與國安風險,減輕非法使用數位資產所帶來非法金融與國家安全風險;(4)運用數位資產的技術,促進美國在技術與經濟競爭力上保持領先地位;(5)支持技術創新並確保負責任地開發與使用,同時優先考慮隱私、安全、打擊非法利用等面向;(6)鼓勵聯準會研究CBDC,評估所需的技術基礎設施與容量需求。
歐盟人工智慧辦公室發布「通用人工智慧實踐守則」草案,更進一步闡釋《人工智慧法》之監管規範.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 歐盟人工智慧辦公室(European AI Office)於2024 年 11 月 14 日發布「通用人工智慧實踐守則」(General-Purpose AI Code of Practice)草案,針對《人工智慧法》(Artificial Intelligence Act, AIA)當中有關通用人工智慧(General Purpose Artificial Intelligence, GPAI)之部分,更進一步闡釋相關規範。 本實踐守則草案主要分為4大部分,分別簡介如下: (1)緒論:描述本守則之4個基本目標,包含協助GPAI模型提供者履行義務、促進理解人工智慧價值鏈(value chain)、妥適保障智慧財產權、有效評估且緩解系統性風險(systemic risks)。 (2)GPAI模型提供者:有鑒於GPAI模型對於下游系統而言相當重要,此部分針對模型提供者訂定具體責任。不僅要求其提供訓練資料、模型架構、測試程序等說明文件,亦要求制定政策以規範模型用途防止濫用。另於智慧財產權方面,則要求GPAI模型提供者遵守「歐盟數位單一市場著作權指令」(Directive 2019/790/EC)之規定。 (3)系統性風險分類法(taxonomy):此部分定義GPAI模型之多種風險類別,諸如可能造成攻擊之資訊安全風險、影響民主之虛假資訊、特定族群之歧視、超出預期應用範圍之失控情形。 (4)高風險GPAI模型提供者:為防範系統性風險之危害,針對高風險GPAI模型提供者,本守則對其設立更高標準之義務。例如要求其於GPAI模型完整生命週期內持續評估風險並設計緩解措施。 本守則發布之次週,近千名利害關係人、歐盟成員國代表、國際觀察員即展開討論,透過參考此等回饋意見,預計將於2025年5月確定最終版本。