加拿大隱私專員辦公室(Office of the Privacy Commissioner of Canada, OPC)於2019年1月11日就其聯邦廣播通訊法(Radiocommunication Act, RA)與電信法(Telecommunications Act, TA)提出隱私權與個資保護建議。現行加拿大聯邦廣播通訊法針對個資保護並無特別立法,而其電信法第七條雖有提及要注重個資隱私,卻無實質責任規範。惟廣播與電信公司蒐集、處理及利用個資時,如何確保當事人之個資隱私受到保護,就此加拿大隱私專員辦公室提出三點修法建議。
一、電信法及廣播通訊法應包含哪些隱私安全與資訊安全之概念?
基於人民將大量敏感個資委託給電信業者,以獲得互聯網、電話及電視通信便利服務。惟個人資訊不但具有龐大商業價值,對於執法機關和情報安全機構也具有相當利益。基於以下因素,加拿大隱私專員辦公室建議制定電信業者更新之安全機制與公共安全義務。
二、政府管理政策與產業治理之有效性衡平
鑑於資訊技術與商業模式蒐集數據為不透明,普通消費者根本無從得知個人資訊是如何被取得及利用分享,當事人較難根據資訊來識別問題,亦難區別是否當事人是否為有效性之同意,故加拿大隱私專員辦公室認為其應該有權審核或檢查電信業者使用技術範圍內之事務,以確保現實情況與隱私法規範保護一致。故應使加拿大隱私專員辦公室能與其他聯邦監管機構(Canadian Radio-television and Telecommunications Commission, CRTC加拿大廣播電視和電信委員會與加拿大競爭局)共享資訊,並授予加拿大隱私專員辦公司發布命令與實施行政罰鍰之權力,且允許其進行積極之合規性審查。
三、立法設計中應包含消費者保護、權利行使及可及性
加拿大人民享受數位經濟帶來之好處,同時希望個人資訊之利用為無疑慮地,人民相信政府及立法機關會做好保護措施。惟目前加拿大之隱私立法仍為相當寬鬆,近期相關數據洩漏事件亦已證實電信公司無法善盡管理負責任,透明度與問責制度皆不足,相關消費者保護與權利行使皆須更完善,並需要更多資金進行改善。
加拿大個人資料保護和電子文件法(Personal Information Protection and Electronic Documents Act, PIPEDA)個資隱私法下,公司或組織於所提供服務相關時,可獲取、使用及共享資訊,但在提供服務之資訊外,尚有許多資訊共享於其他目的。電信公司蒐集日常生活資訊,針對敏感性個資,隱私法規範為明確的,但若個人數據非敏感性,則會帶來許多隱含空間,當事人是否為有意義之同意?加拿大隱私專員辦公室認為他們應該要有更多法律權力,透過執法確保電信數據生態系統之信任,並整合聯邦與省之法規。政府與業者創新使用數據皆能受到監管,於事件未發生時,則有前端監督其合規性,將使市場有明確性,且能向人民進一步保證其關注將獲得解決。
瑞士洛桑管理學院(International Institute for Management Development, IMD)於2020年6月發布2020世界競爭力評比報告(IMD’s 2020 World Competitiveness Ranking 2020 results)。此份報告共評比 63 個經濟體,全球競爭力前5名依序為新加坡、丹麥、瑞士、荷蘭與香港;其他重要經濟體之排名包含加拿大為第8、美國第10、臺灣第11、中國第20、南韓第23與日本第34。 2020世界競爭力評比以有「經濟表現」(Economic Performance)、「政府效能」(Government efficiency)「企業效能」(Government Efficiency)和「基礎建設」(Infrastructure)四大評比指標,旗下再細分為340個子標,例如人均GDP、對外直接投資佔GDP比例、國際貿易、國際投資、財政、勞動力市場、顧客滿意度受企業重視程度、健康與環境基礎建設、研發人力比例、研發總支出占GDP比例等。此次評比中,可以看出小型經濟體(如新加坡、香港、丹麥等)因容易凝聚社會共識,表現較為優異。而排名退步的國家如中國和美國,乃因兩國之間貿易戰損害經濟表現(美國從2019年第3掉至今年第10,中國自14掉至20)。香港亦從2019年的第2排到第5,其經濟表現下降乃因社會動盪以及中國貿易戰影響。 我國在此次評比中表現優異,綜合排名第11名,較2019年上升 5 名;且我國在亞太地區中高居第 3名,僅次於新加坡和香港,為 2016 年以來最佳成績。評比指標之政府效能、企業效能、基礎建設排名均有進步,其中政府效能排名全球第9,首次進入世界前10名。
歐盟生醫研究積極籌組歐盟研究基礎設施聯盟(ERIC)歐盟自2009年6月通過並於同年8月生效之「第723/2009號歐盟研究基礎設施聯盟法律架構規則」(COUNCIL REGULATION (EC) No 723/2009 of 25 June 2009 on the Community legal framework for a European Research Infrastructure Consortium (ERIC),簡稱第723/2009號規則),其乃希望能促進各會員國間各自分散的研究基礎設施(Research Infrastructures,簡稱RIs)之資源凝聚及共享,讓原本僅為設施設備的RIs整合起來,透過由3個以上歐盟會員國作為某特定ERIC成員之方式,依第723/2009號規則向歐盟執委會提出ERIC設立申請,經執委會同意後,ERIC即可取得獨立法律地位及法律人格,以自己名義獲得、享有或放棄動產、不動產及智慧財產,以及締結契約及作為訴訟當事人,並得豁免無須被課徵加值稅(value added tax)和貨物稅(excise duty)等稅賦。歐盟創設ERIC法律架構之目的,是希望能透過國際合作、彙集國際資源,在歐盟建立起頂尖研發環境,吸引跨國研發活動集中與進駐,利用規模化的大型研究基礎設施導引出世界級研發。 截至目前,由奧地利、比利時、捷克、德國、荷蘭等國作為成員及瑞士作為觀察員所建立之「歐盟健康、老化及退休調查」(The Survey of Health, Ageing and Retirement in Europe,簡稱SHARE),乃是歐盟首次提出申請且正式設立之ERIC。SHARE-ERIC乃一大型的人口老化多國研究資料庫,並已收錄45,000筆以上年齡50歲以上個人之健康、社經地位及社會家庭網絡之跨領域及跨國籍資料,SHARE-ERIC之資料分析除將有助歐盟國家就老化社會之福利系統為規劃,更預期將成為推動其活動及健康老化歐盟創新伙伴試行計畫之重要基石。 除此之外,自2008年起由歐盟撥款500萬歐元籌備成立之「生物銀行及生物分子資源研究基礎機構」(Biobanking and Biomolecular Resources Research Infrastructure,簡稱BBMRI),從2008年至今(2011)年1月底3年籌備期間,已募得30個以上國家之53個會員聯盟以及280個聯繫組織(大部分為生物銀行),預計將建立成為最大的泛歐生物銀行,病患及歐盟人口之樣本與資料之介面,以及頂尖生醫研究之介面,且為了要BBMRI-ERIC,BBMRI指導委員會業已擬定「BBMRI-ERIC備忘錄」提供予有興趣之會員國家簽署,希望能在今年底前成立BBMRI-ERIC。
美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下: 1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。 2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。 3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。 4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。 我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
資通安全法律案例宣導彙編 第1輯