英國資訊委員辦公室表示個人資料之處理應遵循GDPR,公務機關也不例外
自西元2017年1月以來,英國稅務海關總署(Her Majesty's Revenue and Customs, HMRC)開始要求英國民眾使用線上語音方式進行身分認證,而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室(Information Commissioner's Office, ICO)深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形:
- 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。
- 蒐集民眾的生物識別資料時,未能給予民眾自由行使同意或拒絕權利的機會。
英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則(General Data Protection Regulation, GDPR),根據歐盟一般資料保護規則,英國稅務海關總署在蒐集、處理或利用民眾個人資料時,必須合法、公正及透明,並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。
本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法(The Data Protection Act 2018),英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆,但絕不能以犧牲民眾的隱私為代價,同時也隱約透露著:「沒有一個組織(包含政府機關)能夠凌駕於法律之上。」。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張恩若
法律研究員 編譯整理
ICO says that voice data collected unlawfully by HMRC should be deleted, Information Commissioner's Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/ico-says-that-voice-data-collected-unlawfully-by-hmrc-should-be-deleted/ (last visited July 11, 2019).
Blog: Using biometric data in a fair, transparent and accountable manner, Information Commissioner's Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/ (last visited July 11, 2019).
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。 文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。 「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。 本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
瑞士公投通過基改生物培育禁令瑞士國會在2003年通過法律,允許有條件種植基改作物,但是反對者要求禁種的聲浪仍高,為此,瑞士甚至特別舉行了公民投票。公投結果在11月底出爐,正式確定未來五年瑞士境內將禁止種植基因改造植物或培育基因改造動物。根據官方資料顯示,有55.7%的投票者支持這項公投案,支持者多為農民、環保人士、生態學家和消費者協會。 反基因改造生物(GMO)者表示,基改農作物對消費者與農民並無益處,禁令將可使得瑞士有更多時間來評估GMO對於生態環境安全的衝擊,並且可使農民有更多的機會銷售傳統農產品和有機農產品。 雖然此一決定僅禁止GMO之種植或養殖,並沒有禁止基因改造科技的研究以及基改產品的進口,但瑞士生技業及科學研究人員仍極憂心地表示,實驗室的基改研究成果若無法量產上市,仍將會嚴重打擊其國內基因科技研究,造成人才及產業外移。
2004年WIPO推出國際專利電子申請系統且申請數量激增世界智慧財產組織 (WIPO)於今年3月報導指出:WIPO於2004年推出了新的E-Pdoc申請系統,這一系統讓WIPO得以用電子形式接收、處理和發送國際專利優先權文件。有了此一電子申請系統,申請人可以要求同一件申請案以其在任何特定簽約國專利局首次提出申請的日期?國際專利申請日。如果申請得到有關國家專利局的專利授權,該先申請日還可以作?獲得國際專利有效保護的起始日期。 受到電子申請系統方便性之鼓舞, 2004年國際專利申請數量激增並正式突破了一百萬件申請的大關,同一年依據專利合作條約(PCT)規定所提交申請的數量也創下紀錄,共計12萬多件。其中美國繼續列在最大用戶榜首,但增長速度最快的是亞洲大陸─即:日本、韓國和中國大陸。
因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。 該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之: 一、人員面: 1.員工(教育訓練、合約) 在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者(合約) 針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。 二、技術方面: 建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。 綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)