德國針對企業資訊安全及資料保護相關法律提出建議文件
德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件,協助中小企業提升對於組織及特別領域中的資安風險之意識,並進一步採取有效防護檢測,包括基本安全防護措施、組織資安維護、及法規,並同時宣導德國資料保護法中對於資安保護的法定要求。
資通訊安全及其法規係為企業進行數位化時,涉及確保法的安定性(Rechtssicherheit)之議題。加強資安保護,除可增進銷售及生產力,並使商業貿易間有更大的透明度和靈活性,和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求,提供相關服務,並使共享資料得到完善的保護。例如:應如何保護處理後的資料?如何執行刪除個人資料權利?各方如何保護營業秘密?如果資料遺失,誰應承擔責任?唯有釐清上述相關等問題時,方能建立必要的信任。而在德國聯邦資料保護法,歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則,係為數位創新企業執行資安基礎工作重要法律框架。但是,由於數位化的發展,新的法律問題不斷出現,目前的法律框架尚未全面解決。例如,機器是否可以處理第三方資料並刪除或保存?或是誰可擁有機器協作所產生的資料?因此,未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備,工業4.0的IT法律問題變得複雜。一方面,需要解決中、大型企業的營業祕密,資料所有權和責任主題之實際問題,以促進相關數位化創新。另一方面,為了能夠推導出現實的法律規範,需要更多具體實施案例討論。
據研究顯示,企業家對產品責任問題,人工智慧使用,外包IT解決方案,及雲端計算等核心問題的新法規以顯示出極大的興趣,並進一步列入既有或規劃中研究項目。未來,政府將協助為所有公司在安全框架下展開數位計畫合作的機會,並充分利用網路的潛力,而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
潘俊良
法律研究員 編譯整理
Bundesministerium für Wirtschhft und Energie, IT-Sicherheit und Recht, https://www.bmwi.de/Redaktion/DE/Publikationen/Mittelstand/mittelstand-digital-it-sicherheit-und-recht.pdf?__blob=publicationFile&v=10
Bundesamt für Sicherheit in der Informationstechnik, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/ITSicherheitUndRecht/Gutachten_pdf.pdf;jsessionid=3D18711FBEEEFA3F8BA5AABB54319CE0.1_cid351?__blob=publicationFile&v=3
日本公平交易委員會(公正取引委員会)於2021年6月25日發布關於資料市場競爭政策檢討會(データ市場に係る競争政策に関する検討会)報告書。所謂資料市場,不僅指資料從產出、蒐集、整理儲存(蓄積)、加工、分析到利用等各階段的交易,尚包含向終端使用者提供相關商品或服務。其類型包含企業經營所產出的「產業資料」(産業データ),以及與個人相關的「個人資料」(personal data,原文為パーソナルデータ)。近年來,數位平台型業者參與資料市場、活用資料經營相關商業活動的情形漸增。同時,資料不同於傳統交易客體,具備以下特徵:(1)技術上容易複製;(2)無法建立排他性佔有;(3)需透過累積與解析方能創造其價值;(4)可藉由累積使用資料持續優化產品機能。而累積大量資料的數位平台業者,亦可能藉此形成獨占、寡占、排除其他競爭者等。 基此,本報告書針對此一競爭秩序現況,提出以下建議: 建構鼓勵新業者加入資料市場的機制:應充分考量各潛在參與者之需求,同時留意利用資料之事業退出市場經營時,不應對使用該事業服務的個人造成不利益。 針對產出資料之行為建立獎勵機制,同時促進業界自由且易於取用資料。 區分各企業經營共通事項之協調領域、以及企業間各自專業化經營之競爭領域。就前者提供共通性指引與開放行政保有資料供利用,對後者則須管制妨害公平競爭之行為。 確保資料可攜性,與不同系統間的互通性(interoperability,原文為インターオペラビリティ),讓使用者容易轉換其所利用的平台服務。 優化關於個資利用的說明義務內容,尤其針對平台在不知情下蒐集資料的情形,應額外規範業者採取相應配套措施,避免造成當事人不利益。 就數位平台形成的市場寡占與資料獨占蒐集問題,可考量採取令其他業者能公平取用資料之措施。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定Uber違反《Data Protection Act 1998》資料保護法英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料,故處以罰款385,000英鎊。 ICO調查發現Uber的諸多過失,包含系統存有一系列原可避免的數據安全漏洞,使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統,下載大約270萬筆英國客戶個人資料,例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄,如旅程詳情及支付金額。然而,受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的,Uber反而向攻擊者妥協並支付了10萬美元,以銷毀被盜取的數據。 ICO認為,這不僅為Uber資料安全之問題,且當時未採取任何措施通知可能受影響的人,或對其提供任何協助,已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默,亦非對於網路攻擊之適當反應,Uber未完善的數據保護措施,以及隨後的決策與行為,反將可能會加劇受害者權益的受損。 因此,ICO認為該事件已嚴重違反了英國1988年資料保護法(Data Protection Act 1998, DPA)第7條的原則,有可能使受影響的客戶和司機面臨更高的詐欺風險,故從嚴判處Uber高達385,000英鎊罰款。
韓國簽署網路漫畫著作權保護相關協議韓國創意內容振興院(Korea Creative Content Agency, KOCCA)、韓國著作權保護院(Korea Copyright Protection Agency, KCOPA)及韓國漫畫家協會,為杜絕非法傳播網路漫畫,營造網路漫畫著作權保護環境,保護網路漫畫著作權,已於2023年3月10日宣布與相關機構簽署協議,創造著作權保護環境,以營造適當之網路漫畫消費文化。 根據2022年發佈之《2022年上半年內容產業趨勢分析報告》顯示,2022年上半年,網路動漫內容產業出口金額比2021年增長27.9%,約 5600 萬美元(725 億韓元),相關產業正穩定增長中。然而,截至2021年,網路漫畫非法發行市場規模卻比起2021年增長53%,達到8427億韓元,表明非法發行造成的損失規模正在迅速擴大。 依據網路漫畫著作權保護協議,相關單位將共享現有網路漫畫著作權保護運作之經驗及必要資源,規劃三方合作提高網路漫畫用戶著作權保護意識之活動宣傳、共享網路漫畫著作權保護資料,相互合作查明非法使用網路漫畫的國內外實際情況,推動網路漫畫著作權產業正向運作。 漫畫產業之串流時代已逐漸形成,尤以韓國及中國大陸成長迅速,侵權問題亦隨之攀升,如何在快速發展之內容產業中,互通著作權資訊及提前預防侵權,係產業需關注之問題。 本文同步刊登於TIPS網站(https://www.tips.org.tw)