德國針對企業資訊安全及資料保護相關法律提出建議文件

  德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件,協助中小企業提升對於組織及特別領域中的資安風險之意識,並進一步採取有效防護檢測,包括基本安全防護措施、組織資安維護、及法規,並同時宣導德國資料保護法中對於資安保護的法定要求。

  資通訊安全及其法規係為企業進行數位化時,涉及確保法的安定性(Rechtssicherheit)之議題。加強資安保護,除可增進銷售及生產力,並使商業貿易間有更大的透明度和靈活性,和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求,提供相關服務,並使共享資料得到完善的保護。例如:應如何保護處理後的資料?如何執行刪除個人資料權利?各方如何保護營業秘密?如果資料遺失,誰應承擔責任?唯有釐清上述相關等問題時,方能建立必要的信任。而在德國聯邦資料保護法,歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則,係為數位創新企業執行資安基礎工作重要法律框架。但是,由於數位化的發展,新的法律問題不斷出現,目前的法律框架尚未全面解決。例如,機器是否可以處理第三方資料並刪除或保存?或是誰可擁有機器協作所產生的資料?因此,未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備,工業4.0的IT法律問題變得複雜。一方面,需要解決中、大型企業的營業祕密,資料所有權和責任主題之實際問題,以促進相關數位化創新。另一方面,為了能夠推導出現實的法律規範,需要更多具體實施案例討論。

  據研究顯示,企業家對產品責任問題,人工智慧使用,外包IT解決方案,及雲端計算等核心問題的新法規以顯示出極大的興趣,並進一步列入既有或規劃中研究項目。未來,政府將協助為所有公司在安全框架下展開數位計畫合作的機會,並充分利用網路的潛力,而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 德國針對企業資訊安全及資料保護相關法律提出建議文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8030&no=55&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
FCC同意基本型電子閱讀器可於一年期限內豁免於無障礙義務

美國參議院於2022年4月提出《演算法問責法案》對演算法治理再次進行立法嘗試

  《演算法問責法案》(Algorithmic Accountability Act)於2022年4月由美國參議院提出,此法案係以2019年版本為基礎,對演算法(algorithm)之專業性與細節性事項建立更完善之規範。法案以提升自動化決策系統(automated decision systems, ADS)之透明度與公平性為目的,授權聯邦貿易委員會(Federal Trade Commission, FTC)制定法規,並要求其管轄範圍內之公司,須就對消費者生活產生重大影響之自動化決策系統進行影響評估,公司亦須將評估結果做成摘要報告。   《演算法問責法案》之規範主體包括:(1)公司連續三年平均營業額達5000萬美元,或股權價值超過2.5億美元者,並處理或控制之個人資料超過100萬人次;以及(2)公司過去三年內,財務規模至少為前者之十分之一,且部署演算法開發以供前者實施或使用者。ADS影響評估應檢視之內容包括:   1.對決策過程進行描述,比較分析其利益、需求與預期用途;   2.識別並描述與利害關係人之協商及其建議;   3.對隱私風險和加強措施,進行持續性測試與評估;   4.記錄方法、指標、合適資料集以及成功執行之條件;   5.對執行測試和部署條件,進行持續性測試與評估(含不同群體);   6.對代理商提供風險和實踐方式之支援與培訓;   7.評估限制使用自動化決策系統之必要性,並納入產品或其使用條款;   8.維護用於開發、測試、維護自動化決策系統之資料集和其他資訊之紀錄;   9.自透明度的角度評估消費者之權利;   10.以結構化方式識別可能的不利影響,並評估緩解策略;   11.描述開發、測試和部署過程之紀錄;   12.確定得以改進自動化決策系統之能力、工具、標準、資料集,或其他必要或有益的資源;   13.無法遵守上述任一項要求者,應附理由說明之;   14.執行並記錄其他FTC 認為合適的研究和評估。   當公司違反《演算法問責法案》及其相關法規有不正當或欺騙性行為或做法時,將被視為違反《聯邦貿易委員會法》(Federal Trade Commission Act)規定之不公平或欺騙性行為,FTC應依《聯邦貿易委員會法》之規定予以處罰。此法案就使用ADS之企業應進行之影響評估訂有基礎框架,或可作為我國演算法治理與人工智慧應用相關法制或政策措施之參酌對象,值得持續追蹤。

日本人工智慧(AI)發展與著作權法制互動課題之探討

  日本著作權法第2條第1項第1款規定對著作物定義中,創作性之表現必須為具有個人個性之表現,日本對於無人類行為參與之人工智慧創作物,多數意見認定此種產品無個性之表現,非現行著作權法所保護之產物。人工智慧之侵權行為在現行法的解釋上,難以將人工智慧解釋其本身具有「法人格」,有關人工智慧「締結契約」之效力為「人工智慧利用人」與「契約相對人」間發生契約之法律效果。日本政府及學者對人工智慧之探討,一般會以人工智慧學習用資料、建立資料庫人工智慧程式、人工智慧訓練/學習完成模型、人工智慧產品四個區塊加以探討。日本政策上放寬著作權之限制,使得著作物利用者可以更加靈活運用。為促進著作之流通,在未知著作權人之情況下,可利用仲裁系統。在現今資訊技術快速成長的時代,面對人工智慧的浪潮,日本亦陸續推出相關人工智慧研發等方針及規範,對於爾後之發展值得參酌借鏡。

EDPS發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」

  歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」(EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data),旨在協助決策者更易於進行隱私友善(privacy-friendly)之決策,評估其所擬議之措施是否符合「歐盟基本權利憲章」(Charter of Fundamental Rights of the European Union)關於隱私權和個人資料之保護。   該指引分為三大部分,首先說明指引的目的與如何使用;第二部分為法律說明,依據歐盟基本權利憲章第8條所保護個人資料的基本權利,並非絕對之權利,得於符合憲章第52條(1)之規定下加以限制,因此涉及處理個人資料的任何擬議措施,應進行比例檢驗;指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗: 必要性檢驗(necessity test) (1) 步驟1:初步對於擬議措施與目的為詳細的事實描述(detailed factual description)。 (2) 步驟2:確定擬議措施是否限制隱私保護或其他權利。 (3) 步驟3:定義擬議措施之目的(objective of the measure),評估其必要性。 (4) 步驟4:特定領域的必要性測試,尤其是該措施應有效(effective)且侵害最小(the least intrusive)。   若前述評估認為符合必要性,則接續比例性檢驗,透過以下4步驟評估:  比例性檢驗(proportionality test) (1) 步驟1:評估目的正當性(legitimacy),擬議措施是否滿足並達到該目的。 (2) 步驟2:擬議措施對隱私和資料保護基本權的範圍、程度與強度(scope, extent and intensity)之影響評估。 (3) 步驟3:繼續進行擬議措施之公平對等評估(fair balance evaluation)。 (4) 步驟4:分析有關擬議措施比例之結果。   科技時代的決策者在立法和政策擬定時,面臨的問題愈趨複雜,需要全面性評估,擬議措施限制應符合歐盟法規,且具必要性並合於比例,隱私保護更是關鍵,參酌該指引搭配EDPS於2017年發布之「必要性工具包」(Necessity Toolkit),將使決策者所做出的決策充分保護基本權利。

TOP