中國要求互聯網企業隨著消費者擔憂程度提高應加強數據隱私
在越來越多消費者擔心部分企業以進行大數據研究名義竊取、交易或透露個人資料之行為,侵犯消費者隱私情況下,中國政府已要求互聯網企業加強對個人資料之保護;這並非中國當局第一次要求互聯網企業加強數據隱私保護,中國消費者協會(China Consumers Association, CCA)亦曾示警,中國大量智慧型手機應用程式正在蒐集過多個人資料,包括但不限於用戶位置、聯絡人清單及手機號碼。
中國互聯網金融協會(National Internet Finance Association of China, NIFA)於 11月初發表聲明提及:「未經消費者同意,會員組織不得蒐集、利用或向第三方提供消費者個人資料。」、「所有會員機構都應承擔保護個人資料之個人責任。如發生問題,應立即予以改善並報告給協會……消費者風險警示亦應加強。」,該協會亦向所有會員機構提出警告,對數據隱私之改善措施應承擔個人責任。
中國互聯網企業讚揚AI工具可使用海量數據以增強消費者體驗之優點,然它們不得不靈活應對消費者對如何蒐集與利用個人資料日益增長之焦慮,而中國政府目前正起草制定有關個人數據隱私保護法律,以解決日常生活伴隨著多方數位體驗而生之敏感問題。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
李宛臻
專案經理 編譯整理
China calls for data privacy improvements among internet companies, https://iapp.org/news/a/china-calls-for-data-privacy-improvements-among-internet-companies/ (last visited Nov. 24, 2019),
China requests internet companies to tighten data privacy as consumer anxiety rises, https://www.scmp.com/tech/policy/article/3038336/china-requests-internet-companies-tighten-data-privacy-consumer-anxiety (last visited Nov. 24, 2019),
China’s internet regulator warns app operators over data privacy and says more rectification is needed, https://www.scmp.com/tech/apps-social/article/3022795/chinas-internet-regulator-warns-app-operators-over-data-privacy (last visited Nov. 24, 2019).
2019年上半年我國互聯網網路安全態勢, https://www.cert.org.cn/publish/main/46/2019/20190813163941008331670/20190813163941008331670_.html (last visited Nov. 24, 2019).
防制洗錢金融行動工作組織(Financial Action Task Force on Money Laundering, FATF)為因應虛擬資產(Virtual Assets)對於打擊洗錢與資恐主義措施所帶來的衝擊,協助各國建立可供遵循的一致性標準,於2018年10月修改FATF建議書(The FATF Recommendations),定義「虛擬資產」與「虛擬資產服務提供業者」(Virtual Asset Service Providers, VASPs),將其納入國際洗錢防制之範疇。 為使各國監管機關依據FATF相關建議,正確評估與降低虛擬資產與VASPs所可能涉及的洗錢與資恐風險,有效進行管理並建立公平競爭的虛擬資產產業體系,FATF於2019年6月21日,針對建議書中第15點-新科技所可能隱藏的洗錢隱憂,加入解釋性說明,列出FATF對於虛擬資產和VASPs的應用標準,包含建議監管機關採取註冊或許可制度,以利進行監督與審查,而非透過自律組織方式進行督導,並與他國進行國際合作。以及為防止不法份子與其同夥擁有對VASPs的控股權(controlling interest)或管理職能(management function),各國主管機關須採取必要的法律或監管措施。另監管機構應有足夠權力監督並確保VASP遵守打擊洗錢和恐怖主義融資的要求,包括進行檢查,強制公開資訊和實施金融制裁。 FATF同時公布「虛擬資產與虛擬資產服務商之風險基礎指引」(Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers),指導各司法管轄區如何應用風險基礎方法,針對虛擬資產相關活動與服務商,進行洗錢與資恐防制。相關主管機構在進行風險評估時,應考量特定的虛擬資產類型或VASP活動,了解其具體架構與運作在金融體系和國家經濟的作用,以及對洗錢與資恐防制的影響,將類似風險的產品或服務應用類似的監理原則處理,並針對虛擬資產的匿名性加強客戶識別機制。隨著VASP活動發展,主管機關亦應審視其他監管措施(如消費者保護、資訊安全、稅務等)與洗錢與資恐防制之間的關聯,進行短期與長期的政策擬定,以制定全面性的監管框架。 FATF預計於2020年6月開始啟動上述新審查機制,為期12個月,檢視各國對於前述具體要求之落實情況。以及持續與民間企業合作,共同探討虛擬資產的基礎技術、使用類型、相關業務模式。
美國通過最新的電子醫療紀錄之隱私與安全標準美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。 這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。 在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。
歐巴馬宣布將立法保護學生數位隱私權美國總統歐巴馬日前表示其將訂立「學生數位隱私法」(The Student Digital Privacy Act)以確保因教育目的而被蒐集之學生個人資料將不會被用於無關之用途。換言之,該法將禁止,例如,利用所蒐集資料對學生進行精準行銷的行為,但仍會許可蒐集者利用所蒐集資料改善其所提供之軟硬體教育設備或用以幫助學生之學習品質。 針對學生之隱私保護,目前於聯邦層級至少已有家庭教育權利與隱私法(Family Educational Rights and Privacy Act,FERPA),該法及其授權法令雖賦予學生及其家長對學校所保有之教育紀錄(educational record)之蒐集、使用有知情同意權及其他如修正教育紀錄之權利。但FERPA也列了相當多的例外情形,例如,醫療資料、受雇紀錄等均不在教育紀錄之列;此外,學校亦可不經同意即公布學生的姓名、電子郵件、出生地、主修、預計畢業日期等資料。 學生數位隱私法未來如能獲國會通過成為法律,該法與FERPA的異同,及其內容與施行實務是否確有助於學生隱私之改善,仍有待觀察。
歐盟發布人工智慧法、醫療器材法與體外診斷醫療器材法協同適用問答集歐盟《人工智慧法》(Artificial Intelligence Act, AIA)自2024年8月1日正式生效,與現行的《醫療器材法》(Medical Devices Regulation, MDR)及《體外診斷醫療器材法》(In Vitro Diagnostic Medical Devices Regulation, IVDR)高度重疊,特別是針對用於醫療目的之人工智慧系統(Medical Device AI, MDAI)。為釐清三法協同適用原則,歐盟人工智慧委員會(Artificial Intelligence Board, AIB)與醫療器材協調小組(Medical Device Coordination Group, MDCG)於2025年6月19日聯合發布常見問答集(Frequently Asked Question, FAQ),系統性說明合規原則與實務操作方式,涵蓋MDAI分類、管理系統、資料治理、技術文件、透明度與人為監督、臨床與性能驗證、合規評鑑、變更管理、上市後監測、資安與人員訓練等面向。 過去,MDR、IVDR與AIA雖各自對MDAI有所規範,但始終缺乏明確的協同適用指引,導致製造商、監管機關與醫療機構在實務操作上常面臨混淆與困難。本次發布的指引透過36題問答,系統性釐清三法在高風險MDAI適用上的關聯,重點涵蓋產品分類原則、合規評鑑流程以及技術文件準備要點,具高度實務參考價值。此外,傳統醫療器材的上市後監測,難以有效因應AI系統持續學習所帶來的風險。AIA因此要求高風險MDAI建立強化的上市後監控系統,並評估AI系統與其他系統交互作用可能產生的影響。 整體而言,該指引的發布不再僅限於MDAI技術層面的合規審查,而是進一步擴展至資料正當性、系統可控性、使用者能力與整體風險治理等層面,體現歐盟對AI倫理、透明與責任的制度化落實。此文件亦為歐盟首次系統性整合AI與醫療器材監管原則,預期將成為MDAI產品研發與上市的重要參考依據。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)