德國針對企業資訊安全及資料保護相關法律提出建議文件
德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件,協助中小企業提升對於組織及特別領域中的資安風險之意識,並進一步採取有效防護檢測,包括基本安全防護措施、組織資安維護、及法規,並同時宣導德國資料保護法中對於資安保護的法定要求。
資通訊安全及其法規係為企業進行數位化時,涉及確保法的安定性(Rechtssicherheit)之議題。加強資安保護,除可增進銷售及生產力,並使商業貿易間有更大的透明度和靈活性,和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求,提供相關服務,並使共享資料得到完善的保護。例如:應如何保護處理後的資料?如何執行刪除個人資料權利?各方如何保護營業秘密?如果資料遺失,誰應承擔責任?唯有釐清上述相關等問題時,方能建立必要的信任。而在德國聯邦資料保護法,歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則,係為數位創新企業執行資安基礎工作重要法律框架。但是,由於數位化的發展,新的法律問題不斷出現,目前的法律框架尚未全面解決。例如,機器是否可以處理第三方資料並刪除或保存?或是誰可擁有機器協作所產生的資料?因此,未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備,工業4.0的IT法律問題變得複雜。一方面,需要解決中、大型企業的營業祕密,資料所有權和責任主題之實際問題,以促進相關數位化創新。另一方面,為了能夠推導出現實的法律規範,需要更多具體實施案例討論。
據研究顯示,企業家對產品責任問題,人工智慧使用,外包IT解決方案,及雲端計算等核心問題的新法規以顯示出極大的興趣,並進一步列入既有或規劃中研究項目。未來,政府將協助為所有公司在安全框架下展開數位計畫合作的機會,並充分利用網路的潛力,而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
潘俊良
法律研究員 編譯整理
Bundesministerium für Wirtschhft und Energie, IT-Sicherheit und Recht, https://www.bmwi.de/Redaktion/DE/Publikationen/Mittelstand/mittelstand-digital-it-sicherheit-und-recht.pdf?__blob=publicationFile&v=10
Bundesamt für Sicherheit in der Informationstechnik, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/ITSicherheitUndRecht/Gutachten_pdf.pdf;jsessionid=3D18711FBEEEFA3F8BA5AABB54319CE0.1_cid351?__blob=publicationFile&v=3
在2009年6月26日,英國電信業者Opal Telecom針對英國電信(BT) 的固網批發價格的問題(Fixed Termination rate),向OFCOM提起爭議仲裁。不過在OFCOM做出裁決之前,歐盟執委會(The European Commission)已要求OFCOM應該就固定網路的批發價為適當之價格管制,並提供所有通訊業一致性的固定費率。 執委會做出這樣要求的原因,是著眼於今日英國在終端服務(termination services),業者仍然處於壟斷狀態,且有調高終端服務費用之可能,恐不利於促進競爭。 基於改善這樣的現象,並為促進市場競爭和歐盟規範的一致性,執委會提出要求: 應無差別(non-discrimination)使所有業者均得利用原有之固定網路來提供服務,並確保在相同環境、相同條件下進行公平競爭;同時,建議採取對於固定網路費率之管制,以促進市場競爭,其結果對固定通訊服務的競爭者與消費者而言,最為有利。 OFCOM已在2009年10月23日公布裁決結果,基於通訊市場公平競爭和歐洲市場一致的發展的原則下,BT提供Opal固定網路通路(network access)和服務互通(service interoperability)尚屬適當,至於費率部份,則以適用BT在電信業者價格表(Carrier Price List)的批發價為宜。
電子文書存證制度-淺談日本電子時戳及時戳保存制度電子文書存證制度-淺談日本電子時戳及時戳保存制度 資策會科技法律研究所 法律研究員 陳昱宏 106年11月13日 一、前言 電子文書具有「節省保管、檢索、運送及銷毀費用」、「活用資訊系統提升業務效率」、「具有復原可能性,避免資料滅失之風險」[1]等優點,文書電子化已為不可逆之趨勢。但電子文書除前述優點外,亦有易於變更竄改,無法檢知真實製作日期之缺點,若記錄於電子文書之智慧財產權遭他人侵害,如何證明所提出之電子文書確係早於他人侵害之時點即屬重要,本文擬就日本以電子時戳制度做為證明電子文書做成時間點之發展現況,以及獨立行政法人工業所有權情報.研修館所提供之電子時戳保管服務作介紹,說明日本如何利用電子時戳來維護相關智慧財產權利。 二、日本電子時戳制度及相關規定: 日本政府有鑑於電子文書已逐漸取代紙本文書,但電子文書仍存有易於複製及製作時間不易證明等種種缺點,進而構思建立一套能在電子文書或資料上附加時間資訊,以向第三人證明之制度。總務省於2004年發佈時間商務相關指針[2],供相關制度使用者做參考,並為時間商務業者遵守之依據。而一般財團法人日本Data通信協會於2005年成立時間商務認定中心(タイムビジネス認定センター,下稱時間商務認定中心),若欲從事時間認證或發送等相關服務,須符合該中心就技術、系統及運用制度所制定之基準,符合基準之業者,即給予認定標章,此即「時刻認證業務認定事業者」(Time Stamp Authority簡稱TSA)。 三、電子時戳之功能: 電子時戳係一種證明電子資料在某一時間點之前確實存在且未經竄改之技術,透過比對電子時戳中所記載之資訊與原始電子資料所記載之資訊,可以輕易得知電子資料中之時間訊息是否有經過竄改。其可運用在各種需要時間證明之電子資料中,日本總務省在官方網站中之電子時戳技術相關檔案[3],即有說明電子時戳可賦予各領域之電子資料極高之信賴度。在智慧財產之保護上,可以證明內容做成之日期,以保護創作人之權利;在電子商務上,可用於證明交易如下單之時間點等;在電子申請上,可證明所發送資料之做成時間;而在醫療上,可運用於電子病歷上,以證明未經竄改等。另於日本工業所有權情報‧研修館(下稱INPIT)官方網站,就電子時戳保管服務之相關說明中,亦有提及可活用之情形[4],分述如下: 在專利、商標等侵權訴訟,當被指控侵權人主張其有先使用權時,可以做為其在業務或業務準備行為有實施專利,或有就商標為使用之證據。 在訴訟中,就對造所擁有之專利權提出無效抗辯時,可用以證明專利不具備可專利性之技術資訊已於申請獲准前有為公知之事實。 在商標廢止訴訟,可證明商標權人就系爭商標有使用之事實。 在營業秘密洩漏訴訟,營業秘密所有權人可證明被洩漏技術在某時點之前即為其所保有之事實。 四、INPIT就電子時戳所提供之保存服務: 參照INPIT官網之說明可知,所謂之電子時戳保管制度係INPIT對於TSA業者所發行之電子時戳憑證提供之保管服務,以利使用者於日後有備份電子時戳憑證需求時,能順利提取。此係因電子時戳憑證在一般情形下有滅失毀損之風險。一旦毀損滅失,在營業秘密之相關訴訟事件有證明先使用事實之必要時,將造成無法舉證之不利益情形。INPIT提供此項保管服務後,能確實降低電子時戳憑證滅失或毀損之風險,憑證使用者享有一定期間備份之可能。而INPIT為普及該制度,在「何謂電子時戳保管服務」選項中,詳細說明其操作步驟,並有相關畫面可供參考,使有相關保管需求者能輕易操作相關保存之功能[5]。INPIT為普及該制度,亦透過所舉辦之營業秘密及智財戰略研討會,推廣相關保管服務[6],另須注意者為,INPIT並不提供製作電子時戳之服務,故欲使用保存服務之人,須先向TSA業者取得電子時戳憑證,方可利用INPIT所提供之此項服務。 五、結論 近年來我國營業秘密案件層出不窮,小如鱘龍魚製作配方外洩之爭執[7],大至堪可動搖國本之梁孟松由台積電跳槽至南韓三星之營業秘密案件[8]。故營業秘密是什麼,該如何保護營業秘密,儼然成為現代企業間之顯學,誠然當事人就是否侵害營業秘密發生爭執時,當事人所主張之各類文書資料,是否屬於營業秘密,仍屬法院認定之範疇,但企業主若在製作相關電子資料及文件時,能作好文件分級,並附加電子時戳,至少能證明企業主主觀上就該電子資料有以營業秘密保護之意思,可做為法官認定時之參考。當然若是人人可製作電子時戳,使電子時戳之產生過於浮濫,亦無相關認定機構可加以把關,或無補強之文件可證明存證之資料確為企業主所有等,屆時電子時戳在法官形成心證之過程中,無法形成助力不說,反而成為阻力。幸而電子時戳制度已在先進國家推行多年[9],我國可以踏著前人走過的腳步,走得更廣更遠。故營業秘密文件電子時戳保存制度如能引進我國,相關制度該如何建立並將其完備,仍有待政府相關單位評估,透過公聽會,廣納各界之意見後,再制定相關之規定,期待能以此制度之探討,為我國營業秘密及智慧財產之保護上,帶來不同之思維。 [1]日本經濟產業省〈[入門編]文書の電子化によるメリット〉http://www.meti.go.jp/policy/it_policy/e-doc/guide/e-bunshoguide.pdf(最後瀏覽日:2017/10/12)。 [2]日本總務省<タイムビジネスに係る指針>http://www.soumu.go.jp/main_content/000485112.pdf(最後瀏覽日:2017/10/15)。 [3]日本總務省<タイムスタンプ技術>http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/pdf/law_16.pdf(最後瀏覽日:2017/10/16)。 [4]獨立行政法人工業所有權情報‧研修館<想定される本サービス活用例>,獨立行政法人工業所有權情報‧研修館網站https://faq.inpit.go.jp/tradesecret/ts/ts_service.html#page3(最後瀏覽日:2017/10/16)。 [5]獨立行政法人工業所有權情報‧研修館<想定される本サービス活用例>,獨立行政法人工業所有權情報‧研修館網站https://faq.inpit.go.jp/tradesecret/ts/ts_service.html#ts-4(最後瀏覽日:2017/10/17)。 [6]獨立行政法人工業所有權情報‧研修館<営業秘密・知財戦略セミナーin 大阪>,獨立行政法人工業所有權情報‧研修館網站http://www.inpit.go.jp/content/100802953.pdf(最後瀏覽日:2017/10/17)。 [7] 智慧財產法院104年民營訴字第1號民事判決。 [8] 智慧財產法院102年民營上字第3號民事判決。 [9] 同註4。
南韓個資保護委員會發布人工智慧(AI)開發與服務處理公開個人資料指引南韓個資保護委員會(Personal Information Protection Commission, PIPC)於2024年7月18日發布《人工智慧(AI)開發與服務處理公開個人資料指引》(인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서)(以下簡稱指引)。該指引針對AI開發與服務處理的公開個人資料(下稱個資)制定了新的處理標準,以確保這些資料在法律上合規,且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中,會使用大量從網路上收集的公開資料,這些公開資料可能包含地址、唯一識別資訊(unique identifiable information, UII)、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資,內容不限於個資主體自行公開的資料,還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多,在現實中很難在處理這些公開個資以進行AI訓練之前,取得每個個資主體的單獨同意及授權,同時,南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題,PIPC制定了該指引,確認了蒐集及利用公開個資的法律基礎,並為AI開發者和服務提供者提供適用的安全措施,進而最小化隱私問題及消除法律不確定性。此外,在指引的制定過程中,PIPC更參考歐盟、美國和其他主要國家的做法,期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分,第一部分:應用正當利益概念;第二部分:建議的安全措施及保障個資主體權利的方法;及第三部分:促進開發AI產品或服務的企業,在開發及使用AI技術時,注意可信任性。 針對第一部分,指引中指出,只有在符合個人資料保護法(Personal Information Protection Act, PIPA)的目的(第1條)、原則(第3條)及個資主體權利(第4條)規定範圍內,並滿足正當利益條款(第15條)的合法基礎下,才允許蒐集和使用公開個資,並且需滿足以下三個要求:1.目的正當性:確保資料處理者有正當的理由處理個資,例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性:確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估:確保資料處理者的正當利益明顯超越個資主體的權利,並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定,其中,技術防護措施包括:檢查訓練資料來源、預防個資洩露(例如刪除或去識別化)、安全存儲及管理個資等;管理和組織防護措施包括:制定蒐集和使用訓練資料的標準,進行隱私衝擊影響評估(PIA),運營AI隱私紅隊等;尊重個資主體權利規定包括:將公開資料蒐集情形及主要來源納入隱私政策,保障個資主體的權利。 最後,在第三部分中,指引建議AI企業組建專門的AI隱私團隊,並培養隱私長(Chief Privacy Officers, CPOs)來評估指引中的要求。此外,指引亦呼籲企業定期監控技術重大變化及資料外洩風險,並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新,並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通,並密切關注技術進步及市場情況,進而推動PIPA的現代化。