美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
加州環保署下的加州空氣資源委員會(California Air Resource Board),在2008年12月通過了加州氣候變遷計畫(Climate Change Scoping Plan),目標是在2020年將州內的溫室氣體減量至1990年的水準,本計畫是依加州州長Schwarzenegger在2006年9月,所簽署的2006全球暖化解決法(the Global Warming Solutions Act of 2006)之要求而提出。加州是美國第一個如此正式訂立一個全面性的、法定的、且包含了每一個經濟層面的關於溫室氣體減量計畫的州。 氣候變遷計畫的原則是,找出最佳策略去減少約百分之三十的溫室氣體排放,同時在乾淨和永續的原則下發展加州經濟。計畫中的一個重點方案是碳總量管制與交易(Cap-and Trade),加州將和「西部氣候行動」聯盟(Western Climate Initiative)合作,此組織包括美國七個州及加拿大四個省份,共同承諾去管制它們的碳排放,並建立一個地方性碳交易市場。計畫中其它重要的方案還包括了,執行加州清淨汽車標準、增加州內乾淨和永續能源的使用、執行低碳燃油標準等。 加州空氣資源委員會主席Mary Nichols指出,本計畫是加州達成更安全與永續經濟的指南,它將會引導資本投資在增加能源效率和發展再生能源,使加州對石油的依賴降低,並給予加州居民數以千萬的工作機會。且身為第一個採取如此綠色行動的州,加州在吸引全球相關投資及發展綠色科技上將維持自己立於一個領導地位,取得並擴大全球綠色市場的需求。加州空氣資源委員會將開始擬定執行所有方案的細節,依法所有的方案必須於2012年前全部生效執行。
歐盟資通安全局公布《提升歐盟軟體安全性》研究報告歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。 報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括: 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
Facebook 捲入商標糾紛Facebook公司因使用「timeline」一詞,而被設立於芝加哥的Timelines公司提商標侵權訴訟乙案,目前Facebook公司正積極準備進一步之辯護。 Timelines公司係於2011年9月控告Facebook侵害其所有之「timeline」商標權,且違反公平競爭法。Facebook則反訴Timelines公司,主張「timeline」為一般通用名稱,應不受商標法保護,故請求確認該商標無效且無侵權事實。 美國地方法院先前裁定Facebook無法提出證據以證明Timelines公司之商標為一般通用名稱。而原定2013年4月22日在芝加哥聯邦法院開庭之上訴程序,目前已延期,但法院並未明確說明延期原因。 Facebook公司主張「timeline」是一種可使人群組織並展現對其最有意義的事件與活動之工具,其功用係將記憶呈現為依時序整理,且可查詢之個人記述。Timelines公司則為一個,可讓使用者記錄並分享歷史經歷的網站。 Facebook在線上廣告市場上仍有巨幅成長的機會,因其具有廣泛的使用者基礎,且有跨時追蹤個人細節之能力,故在線上廣告市場中成為一股令人望之生畏的強大力量。 據報導,若將來判決對Timelines公司有利,則其打算請求總金額相當於Facebook因「timeline所取得之廣告收入」之損害賠償。由於至最終之審理結果出爐據信仍需要很長時間,故在現況下不排除庭外和解的可能性。
美國推動產業巨量資料(Big Data)新型應用分析--SunShot子計畫近年來,巨量資料(Big Data)狂潮來襲,各產業競相採用此種新型態模式,將充斥各領域之資料量,加以深度分析及集合、比對,篩選具價值性之各項資料。以美國為例,於2011年2月份正式啟動SunShot計畫,期透過聯邦政府的資源,加強推動不同領域之巨量資料分析,有利各領域之政府資源重整運用,以期使推動計畫更經濟效率且具競爭力。並且,美國政府更於2013年1月30日,宣布將挹資900萬元資助7項科專計畫,補助對象分別為: (1) SRI International; (2) 麻省理工學院(MIT); (3)北卡羅萊納大學 (Charlotte校區); (4) Sandia 國家實驗室;(5) 國家再生能源實驗室;(6) 耶魯大學;(7) 德州大學奧斯汀分校,加強各領域推動及整合。 此項「巨量資料」參與計畫之研究團隊將與公私營金融機構(financial institutions)、事業單位(utilities)及州層級之行政機關(agencies)展開合作(partnership),運用統計和電腦工具(statistical and computational tools),解決產業面之難題(challenges);同時,其將運用發展出之模型(Models),測試分散全美不同地區領航計畫(pilot projects)創新研發之影響和規模。計畫中,美國政府亦將以200萬元的預算,分析數十年來的科學報告、專利、成本、生產等資料,期能拼湊出相關產業之全貌,加速發掘科技突破之方法並有效降低成本。以德州(Texas)為例,奧斯汀分校(UT Austin)研究團隊乃與六個不同事業單位(utilities)進行合作,研析經營所蒐集之資料(datasets),以有效了解消費者的需求,提升太陽能未來安裝和聯結(installation and interconnection)之效率。 時值全球鼓勵產業轉型及資源整合,作為世界先進國家的美國,善用聯邦政府和高等學術研究機構之資源,進行整體產業之資料分析,殊值我國借鏡參考。