大阪框架(Osaka Track)

  2019年6月28日於日本大阪舉行的G20高峰會上,大阪框架(大阪トラック、Osaka Track)再次躍上國際檯面,日本首相安倍晉三在G20高峰會的數位經濟議程當中,倡議建立大阪框架作為資料跨境流通之標準。安倍強調數位化對促進各國經濟發展與創新意義重大,而在數位時代下資料作為重要的成長動力來源,為了能最大化資料運用的可能性與發展潛力,建立一套國際通用的資料流通機制顯然已勢在必行。

  「大阪框架」概念的首次提出,源自2019年1月23日安倍首相於瑞士達沃斯所舉辦的世界經濟論壇(World Economic Forum)中所發表的演講,強調資料將是21世紀經濟發展的關鍵資源,透過建立一套國際通用的資料自由流通機制,將有助於確保在數位時代下各種新興科技的創新與發展,不會受到各國管制措施及資料在地化(data localization)政策所阻礙。

  「大阪框架」的核心為建立「可資信任的資料自由流通機制」(Data Free Flow with Trust,簡稱DFFT),透過建構國際所共同信任的資料跨境流通機制,將有助於推動包含電子商務在內等各式資料之流通與利用,進而促進數位創新;安倍宣示2019年大阪G20高峰會為大阪框架的起始點,並強調基於此前提出之WTO電子商務共同聲明,期許能透過WTO各會員國的合作,實現建立國際通用的資料跨境流通機制之目標。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 大阪框架(Osaka Track), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8290&no=64&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
你可能還會想看
歐盟個人資料保護工作小組就目的限制原則發表意見

  2013年4月2日,歐盟個人資料保護工作小組(the Article 29 Working Party,以下稱「工作小組」),就目的限制原則(purpose limitation principle)發表意見書,檢視歐盟資料保護指令(Data Protection Directive)第六條所規定的目的限制原則,包括(一)資料的蒐集必須具有特定、明確與合法之目的,以及(二)資料的處理或利用必須符合資料蒐集時之目的。   另一方面,工作小組亦檢視目的限制原則對巨量資料(big data)與開放資料(open data)可能會造成的潛在衝擊: 1.就巨量資料的部分而言,工作小組界定了二個應用情境,一是分析巨量資訊,以分析辨識趨勢或資訊間的相關性,另一是直接影響個人(例如,對當事人的行為進行追蹤、分析、側寫,並據此進行廣告與行銷)。對此,工作小組認為,應給予當事人選擇的權利,另外,組織應揭露關決策標準,並且提供當事人之側寫資料。 2.關於開放資料,工作小組強調匿名化以及資料保護衝擊分析的重要性,以確保必要的安全措施。   工作小組提出兩項修正意見,包括(一)個人資料保護規則(General Data Protection Regulation)草案的第五條宜針對目的限制原則為更明確之規定,以及(二)刪除個人資料保護規則草案第六條第四項之規定。

2016年生物支付技術將可能取代傳統支付型態

  根據美國公共電視台在2016年1月6日的新聞,指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵,諸如:指紋、虹膜等進行支付。採用生物支付技術,未來將無須使用信用卡或行動裝置,僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利,但同時,生物支付的安全性卻也不無疑義。   即便生物辨識屬於高層級的資訊安全保護機制,但水能載舟,亦能覆舟。生物辨識利用生物不可變之特性進行身分識別,涉及高度個人隱私,為妥善保護個人資訊安全,需訂立生物辨識相關規範加以管制,否則將衍生許多法律問題。   例如:在2015年6月,美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者,也從未同意其生物辨識資訊被該公司蒐集,但其面紋(Face print)卻被上傳至該公司網站,並標註姓名,儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範: 1.第10條: 生物辨識之態樣,包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描,但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a): 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱,並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1): 蒐集生物辨識資訊應告知當事人。   Shutterfly公司提出要求法院不受理之抗辯,主張BIPA規定之臉部外觀,其文意解釋應為物理上個人親自接受掃描所得之資訊,並非原告所主張以照片辨識之臉部外觀,但法院認為Shutterfly之主張並不合理,因此同意受理此案。   觀察該案可發現,儘管生物辨識提高資訊安全之保護,但相關法規範解釋仍待實務完備。另一方面,生物特徵資訊極易被他人蒐集,因此,如何建置蒐集個人辨識資訊及完善相關措施,也是推行生物支付措施所需突破的關口。

歐盟發布數位身分皮夾信賴方登錄實施規則,健全數位信任生態系

歐盟執委會於2025年5月6日發布《數位身分皮夾信賴方登錄實施規則》(Commission Implementing Regulation (EU) 2025/848 Laying down Rules for the Application of Regulation (EU) No 910/2024 of the European Parliament and of the Council as regards the Registration of Wallet-Relying Parties)(下稱實施規則),旨在幫助數位身分皮夾(Digital Identity Wallet)用戶確保其身分資料傳輸至可信賴對象,且傳輸之資料並未超過預期用途。 實施規則規範重點如下: (1)建置及維運登錄資料庫:會員國應建置皮夾信賴方(wallet-relying party)登錄資料庫,並指定登錄管理員負責管理及維運。 (2)訂定登錄政策及程序:會員國應訂定登錄政策,內容須涵蓋皮夾信賴方註冊時之身分識別及核實程序、登錄程序所需配套文件及佐證資料、用以確認皮夾信賴方提供資訊正確之真實來源、皮夾信賴方之救濟機制、驗證已註冊信賴方身分之規則及程序,並盡可能採自動化流程。 (3)申請登錄所需資訊:皮夾信賴方申請登錄時應提供之資訊,包括與官方身分紀錄一致之姓名或組織名稱、身分識別資料(如國民身分識別碼、商業登記號碼、加值營業稅號、歐盟經濟營運者註冊及識別碼(Economic Operator Registration and Identification Number))、地址、聯絡資訊、服務類型描述、針對各項預期用途擬請求之資料清單、是否為公務機關等。 (4)簽發相關憑證:會員國應授權至少1家憑證機構簽發皮夾信賴方存取憑證(access certificate),以確認皮夾信賴方之身分。會員國另得授權憑證機構簽發皮夾信賴方登錄憑證(registration certificate),以證明皮夾信賴方所取得之資料未超過預期用途。 (5)暫停或取消登錄資格事由:若有登錄資訊不實、違反登錄政策、請求資料超過預期用途等情事,將暫停或取消皮夾信賴方登錄資格。 (6)紀錄保存年限:登錄及憑證簽發紀錄應保存10年。 此實施規則已於2025年5月27日生效,將於2026年12月24日施行。

資通安全法律案例宣導彙編 第3輯

TOP