英國資訊委員辦公室(ICO)進行監理沙盒初步公眾意見徵詢
英國資訊委員辦公室(Information Commissioner's Office, ICO)2018年9月就監理沙盒為初步公眾意見徵詢,以瞭解其可行性。ICO監理沙盒之建立係依據英國2018-2021年科技策略(Technology Strategy for 2018-2021),並參考英國金融行為監理總署(Financial Conduct Authority, FCA)已成功發展之沙盒機制。ICO將提供組織於安全可控且不排除資料保護法規適用的環境下,以創新方式應用個資於開發創新產品與服務,並提供關於降低風險與資料保護設計(data protection by design)的專業知識和建議,同時確保組織採取適當安全維護措施。徵詢重點分為六部分:
- 障礙和挑戰(Barriers and Challenges):歐盟一般資料保護規則(General Data Protection Regulation, GDPR)或英國2018年資料保護法(Data Protection Act 2018, DPA18)之適用,以及ICO之監管方法,是否造成組織以創新方式應用個資於開發創新產品與服務之障礙或挑戰。
- 適用之可能範圍(Possible scope of an ICO Sandbox)
- 了解參與益處(Understanding the benefits of involvement)
- 機制(Sandbox mechanisms):於監理沙盒機制下不同階段提供指導,初期就如何解決資料保護相關問題提供非正式之指導(informal steers);中期提供法律允許與具適當保護措施之監管指導,如對參與者進入沙盒期間內非故意違反資料保護原則之行為,不會立即受到制裁之聲明函(letters of comfort)、確認組織未違反相關資料保護法規等;以及針對新興技術和創新特定領域,提供解決資料保護挑戰之預期指導(anticipatory guidance),如訂定相關行為準則(code of conduct)。
- 時機(Sandbox timings):包含開放申請進入沙盒時點、進入模式、是否彈性因應產品開發週期、測試階段期間等。
- 管理需求(Managing Demand):如設定優先進入沙盒領域、類型、設定參與者數量上限等。
該諮詢於10月12日結束,2018年底將公布結果,值得持續追蹤,以瞭解ICO監理沙盒未來之發展。
ICO亦接續於10月建立監管機關業務和隱私創新中心(Regulators’Business and Privacy Innovation Hub),與其他監管機關合作提供資料保護之專業知識,以確保法規與未來的技術同步發展;該中心也將與ICO監理沙盒共同推動,支持組織以不同方式使用個資開發創新產品和服務。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
孫鈺婷
專案經理 編譯整理
ICO, ICO call for views on creating a regulatory sandbox, https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-call-for-views-on-creating-a-regulatory-sandbox/ (last visited Oct. 31, 2018).
ICO, Regulatory sandbox survey (Call for evidence: Regulatory Sandbox), https://ico.org.uk/media/about-the-ico/consultations/2259746/regulatory-sandbox-call-for-evidence.pdf (last visited Oct. 31, 2018).
ICO, Technology Strategy for 2018-2021, https://ico.org.uk/media/about-the-ico/documents/2258299/ico-technology-strategy-2018-2021.pdf (last visited Oct. 31, 2018).
ICO, New ICO hub to support innovation, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/new-ico-hub-to-support-innovation/ (last visited Oct. 31, 2018).
德國聯邦及各邦獨立資料保護監督機關(unabhängige Datenschutzaufsichtsbehörden)共同於2019年4月3日,召開第97屆資料保護會議通過哈姆巴爾宣言(Hambacher Erklärung,以下簡稱「Hambacher宣言」)。該宣言指出人工智慧雖然為人類帶來福祉,但同時對法律秩序內自由及民主體制造成巨大的威脅,特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料,並且透過自動化的演算系統,干預個人的權利與自由。 諸如人工智慧系統被運用於判讀應徵者履歷,其篩選結果給予女性較不利的評價時,則暴露出人工智慧處理大量資料時所產生的性別歧視,且該歧視結果無法藉由修正資料予以去除,否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務,國家有義務使人工智慧的發展與應用,符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時,應符合歐盟一般資料保護規則(The General Data Protection Regulation,以下簡稱GDPR)第5條個人資料蒐集、處理與利用之原則,並基於該原則針對人工智慧提出以下七點個資保護之要求: (1)人工智慧不應使個人成為客體:依據德國基本法第1條第1項人性尊嚴之保障,資料主體得不受自動化利用後所做成,具有法律效果或類似重大不利影響之決策拘束。 (2)人工智慧應符合目的限制原則:透過人工智慧系統蒐集、處理與利用個人資料時,即使後續擴張利用亦應與原始目的具有一致性。 (3)人工智慧運用處理須透明、易於理解及具有可解釋性:人工智慧在蒐集、處理與利用個人資料時,其過程應保持透明且決策結果易於理解及可解釋,以利於追溯及識別決策流程與結果。 (4)人工智慧應避免產生歧視結果:人工智慧應避免蒐集資料不足或錯誤資料等原因,而產生具有歧視性之決策結果,控管者或處理者使用人工智慧前,應評估對人的權利或自由之風險並控管之。 (5)應遵循資料最少蒐集原則:人工智慧系統通常會蒐集大量資料,蒐集或處理個人資料應於必要範圍內為之,且不得逾越特定目的之必要範圍,並應檢查個人資料是否完全匿名化。 (6)人工智慧須設置問責機關進行監督:依據GDPR第12條、第32條及第35條規定,人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施,以確保蒐集、處理與利用個人資料之安全性。 (7)人工智慧應採取適當技術與組織上的措施管理之:為了符合GDPR第24條及第25條規定,聯邦資料保護監督機關應確認,控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 綜上所述,Hambacher宣言內容旨在要求,人工智慧在蒐集、處理及利用個人資料時,除遵守歐盟一般資料保護規則之規範外,亦應遵守上述提出之七點原則,以避免其運用結果干預資料主體之基本權利。
英政府推動開源碼計劃由英國政府所資助成立的一項計畫,希望透過開放原始碼廠商目錄及程式碼資料庫的建立等措施,加速公家單位對開放原始碼軟體的採用。這項名為「開放原始碼學院」( Open Source Academy )的計畫,是由副首相辦公室( Office of the Deputy Prime Minister )的電子創新投資計畫所贊助,預計在本月內將正式宣佈。 參與該計畫的開放原始碼協會( Open Source Consortium )執行總監表示,英國的公家機關在開放原始碼的採用上落後於歐洲各國,而這項計畫將改變目前的現況。地方政府已經可以透過網站開始分享程式碼,例如「地方政府軟體協會」( Local Authority Software Consortium )的網站。這項計畫裡的其他專案還包括了政府機構的入口網站計畫,可藉以尋找開放原始碼供應商的資訊;以及開放原始碼顧問的專業鑑定模式。
美國醫療保健領域對新興資料儲存系統理論「資料湖泊」(Data Lake)的應用在現今資訊流通快速蓬勃發展的時代,巨量資料(Big Data)帶來效率與生產力等龐大效益已無庸置疑。相較於將資料以「資料倉儲」(Data Warehouse)模式儲存,「資料湖泊」(Data Lake)被廣泛視為巨量資料快速演進的下一步。 美國的醫療保健領域為因應巨量資料發展並提升醫療保健系統的透明度與有責性,美國醫療保險與補助中心(Centers for Medicare & Medicaid Services, CMS)於2013年底建立CMS虛擬研究資料中心(Virtual Research Data Center, VRDC),讓研究員能夠以安全有效率的方式取得並分析CMS的龐大醫療保健資料。此種資料倉儲模式會對進入的資料預先分類,並整合為特定形式以指導後續分析的方式。缺點在於為讓資料更易於分享,會進行「資料清理」(data cleaning)以檢測及刪除不正確資訊並將其轉換成機器可讀取格式,各資料版本會被強制整合為特別形式,但資料清理和轉換的過程會導致明顯的數據流失,對研究產生不利的限制。有鑑於此,為更有效益的應用巨量資料,Pentaho首席技術官James Dixon提出新的資料儲存理論—資料湖泊(Data Lake),此概念於2011年7月21日首先被討論於美國《富士比》雜誌中,目前在英美國家公部門和民間企業間已被熱烈討論。 與Data Warehouse最大不同在於Data Lake可包含「未被清理的資料」(unclean data),保持其最原始的形式。故使用者可取得最原始模式的資料,減少資源上處理數據的必要,讓來自全國各政府機關的資料來源更易於結合。Data Lake主要有四點特性:1.以低成本保存巨量資料(Size and low cost)2.維持資料高度真實性(Fidelity)3.資料易取得(Ease of accessibility)4.資料分析富彈性(Flexible)。儲存超過百萬筆病患資料的加州大學歐文分校醫療中心(UC Irvine Medical Center)即以Hadoop架構為技術建立了一個Data Lake,該中心能以最原始的形式儲存各種不同的紀錄數據直到日後需要被分析之時,可協助維持資料的來源與真實性,並得以不同形式的醫療數據進行分析項目,例如患者再住院可能性的預測分析。 但相對的Data Lake在安全性和檢視權限上也有一定的風險,尤其是醫療保健領域,因為這意味著病患的資料在個資生命週期裡隨時可被取得,因此資訊的取得應被嚴密控制以維持各層級的安全與保障,在建立安全的Data Lake之前,必須審慎考慮誰有資訊檢視權限以及透過什麼媒介取得Data Lake中的資料等問題。