英國政府擬限制18歲以下孩童於社群軟體按讚功能
英國資訊委員辦公室(Information Commissioner’s Office, ICO)於今(2019)年4月15日發布「合適年齡設計:網路服務行為準則」(Age appropriate design: a code of practice for online services)諮詢報告,針對18歲以下孩童使用網路服務所涉及個人資料之相關議題提出遵循標準,要求網路服務提供商應受遵循以保障孩童隱私資訊。
本次諮詢報告主要針對網路服務如何適當確保孩童個人資料,同時符合歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)以及《隱私及電子通訊規則》(Privacy and Electronic Communications Regulations, PECR),若網路服務提供商未依循該行為準則,將很難證明符合GDPR、PECR規定,ICO亦採取監管措施(regulatory action),包含警告、譴責、執行通知、罰款等。於諮詢報告中,臚列涉及個人資料事項,包括資料共享、地理定位(geolocation)、家長監控(parental controls)、輕推技術(nudge techniques)、默認裝置(default settings)、側寫(profiling)等多達16項遵循標準,其中輕推技術引發抑制網路科技發展、過度監管爭議。
所謂「輕推技術」是指專為引導用戶或鼓勵用戶決策時可以點選之程式以表示用戶想法,簡而言之Facebook、Instagram按「讚」功能、社群軟體Snapchat「Streaks」互動功能,或是新聞網頁常見「是」或「不是」選擇性問題視窗等即是輕推技術應用。由於輕推技術之設計會蒐集用戶瀏覽網頁習慣,甚至透露其個人性格、生活狀態給廣告商或社群媒體等。
諮詢報告指出,依據GDPR前言第38點規定,因孩童對於其個人資料處理之可能風險、結果及相關保護措施及其權利認知較低,同時依GDPR第5條規定個人資料之蒐集處理與利用,對資料主體者應為合法、公正及透明(lawfulness, fairness and transparency)。但輕推技術的運用將會促使資料主體者更容易地提供其個人資料,同時,尤其會誘導兒童去選擇隱私保護較低的選項設定或花費更多時間在這些服務上,而此一技術之運用正是利用資料主體者之心理偏差(psychological bias),而違反了公平與透明原則。因此諮詢報告書要求網路服務提供商應主動限制孩童使用輕推功能。ICO於諮詢文件更詳細依0-5歲、6-9歲、10-12歲、13-15歲、16-17歲不同年齡層限制輕推技術應用之程度,或在何種情況須有家長陪同,以保障孩童隱私。
此項標準引來正反兩派意見,主張自由市場(free market)人士批評,認為有過度監管之嫌並阻礙科技發展,輕推技術本身不是問題,而是在於蒐集個人資料後要做那些運用,同時要如何執行限制技術之應用亦將是問題所在。而贊成者認為廠商如提供網路服務給所有年齡層時,應有特別措施以保護不同年齡層之人,因此對於孩童與成人間之監管程度應有區別。該諮詢報告於今(2019)年5月31日截止公眾諮詢階段,並預計2020年初施行該行為準則。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
吳昌鴻
法律研究員 編譯整理
1. INFORMATION COMMISSIONER’S OFFICE【ICO】, Age appropriate design: a code of practice for online services (2019), https://ico.org.uk/media/about-the-ico/consultations/2614762/age-appropriate-design-code-for-public-consultation.pdf (last visited Apr. 25, 2019).
2. Age appropriate design: a code of practice for online services, ICO, https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/age-appropriate-design-a-code-of-practice-for-online-services/ (last visited Apr. 25, 2019)
3. Nicole Einbinder, A UK regulator just proposed banning minors from using the ‘Like’ button on Facebook or Instagram, INSIDER, Apr. 16, 2019, https://www.thisisinsider.com/uk-regulator-wants-to-ban-minors-from-facebook-instagram-like-button-2019-4 (last visited Apr. 25, 2019).
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。 該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。 OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準(Core Cybersecurity Feature Baseline for Securable IoT Devices)」指南草案,提出供製造商參考之物聯網設備網路安全基本要素,該指南草案中提出幾項重要核心要素如下: 設備辨識:物聯網設備必須有可供辨識之相關途徑,例如產品序號或是當連接網路時有具獨特性之網路位址。 設備配置:獲得授權之使用者應可改變設備的軟體以及韌體(firmware)之配置,例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。 資料保護:物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用,應清楚可被知悉,例如有些設備利用加密來隱蔽其儲存之資料。 合理近用之介面:設備應限制近用途徑,例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊,例如透過使用者名稱與密碼等。 軟體與韌體更新:設備之軟體應可透過安全且可被調整之機制進行更新,例如有些物聯網設備可自動的自其製造商取得更新資訊,並且幾乎不需要使用者特別之動作。 網路安全事件紀錄:物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得,這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。
美國與中國大陸簽訂第一階段經貿協議,關注智財及技轉議題美國白宮與中國大陸國務院,於2020年1月15日簽訂第一階段經貿協議,關注智財及技轉議題並提出解決方案。協議包括前言、智慧財產權、技術轉讓、糧食與農產品貿易、金融服務、經濟政策與匯率和透明度、擴大貿易、雙邊評估和爭端解決、最終條款等九個章節。協議強調應遵守國際條約,為世界貿易發展作出貢獻並促進國際合作以符合美中雙方利益;其中,雙方針對中國大陸現有及未來關於智慧財產權及貿易投資技術轉讓問題,提出解決方案如下: 一、提升智慧財產權保障 中國大陸作為全球主要技術供應方,必須建立並實施全面的智財權保護與執法體系,發展新創企業以促進高質量的經濟成長;並將營業秘密保護視為優化商業環境的核心要素,有效防止資訊遭竊取。藥品專利部分,為促進製藥領域的創新合作並滿足患者需求,美中雙方應提供藥品專利及非公開試驗或上市許可申請提交之相關資料;擬定專利有效期限延長方案。另外,為促進電子商務發展,美中應加強合作共同打擊電商市場中的侵權及偽造行為,阻止盜版產品的製造與銷售。確保產品地理標示保護,符合公正透明程序;加強商標權保障,防止惡意註冊商標;強化智財權的司法與行政程序等。美中雙方應根據本協議,提供立法機關法律修正建議,確保能充分履行本協議之要求。 二、改善強制技術轉讓 為確保美中雙方進行科技合作研發與企業市場准入,避免企業間因併購、合資及投資交易導致技術外流,中國大陸應改善強制技術轉讓問題;特別應加強美中雙方在關鍵技術問題上的相互信任與合作,保護智慧財產權、促進貿易投資,以解決中國大陸長期存在的結構性問題,包括提升行政程序公正透明度、避免政府過度介入民間企業、加強外資敏感資訊保障等。
日本針對國外職業電競選手核發娛樂類簽證日本近年來對於線上遊戲對戰之電子競技活動的觀戰人數逐漸上升,而由於職業電競選手在赴日參加比賽時,會因為獎金收入而面臨申請簽證上的困擾,為了能更有效吸引世界一流選手前日本參賽,實有必要對相關行政程序進行修正。 而根據日本權威經財經媒體「日本經濟新聞」之報導,日本法務省將針對以參加線上遊戲比賽賺取獎金為業的電子競技選手,在入境日本以核發「娛樂類簽證」之方式解決前揭問題,同時透過審查國外選手在母國參與電競活動的實際成績,以防止出現利用此漏洞不法滯留日本之問題。 對於法務省此項決定,日本電玩遊戲相關媒體多以「電競選手待遇將比照運動選手」為題進行報導。然而經查日本法務省針對外國人之入境簽證,依其入境之目的區分為高度專門職、教授教育、藝術文化、宗教、採訪、經營、留學等十六種,而職業運動員簽證事實上並非單一獨立類別,而係與歌唱、舞蹈、演奏、電影製作、商業攝影、商業錄音等共通歸類為「娛樂類簽證」之下,因此日本法務省此一作法是否果真代表在簽證核發一事,已將職業電競選手視為職業運動員,尚難有具體結論。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」