美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
Apple在對Psystar的法律訴訟上贏得重要的勝利,美國政府聯邦法院已判決複製品製造者Psystar於販售個人電腦時事先安裝Mac OS X作業系統,已侵犯Apple的著作權。 在雙方提起簡易判決訴訟後一個月,美國地方法院法官William Alsup 表示Psystar已侵害Apple專用之重製權、散布權及衍生著作權,於判決中針對著作權侵害一事已被承認。並且確認Apple於Mac OS X產品之直接用戶授權合約,是限制使用於Apple生產的電腦,更特別禁止安裝此作業系統於其他電腦;在此同時,法官否決Psystar的論點:首次銷售原則所允許,買家可以任意使用此作業系統。 此外,法官同意Apple的聲明,Psystar侵害數位化千禧年著作權法案之反規避條款及反交易條款,另一方面,法官也否決Psystar對Apple濫用著作權的論點。 此判決並未包含其他Apple所提出的主張,包括:合約的侵害、商標的侵權及商標稀釋,法官也未提出給予Apple救濟上的權利,包括先前提及之永久禁止令,要求中止Psystar販售任何帶有Apple軟體的硬體並強迫其召回所有已售出帶有此作業系統之機器。 此判決對Apple而言,是決定性的勝利,但並非結束所有在法律上的爭議,12月14日將進行賠償的審訊,其餘審判也預訂於明年1月開始。
簡介人工智慧的智慧財產權保護趨勢近期人工智慧(Artificial Intelligence, AI)的智慧財產權保護受到各界廣泛注意,而OpenAI於2023年3月所提出有關最新GPT- 4語言模型的技術報告更將此議題推向前所未有之高峰。過去OpenAI願意公布細節,係由於其標榜的是開源精神,但近期的報告卻決定不公布細節(如訓練計算集、訓練方法等),因為其認為開源將使GPT- 4語言模型面臨數據洩露的安全隱患,且尚有保持一定競爭優勢之必要。 若AI產業選擇不採取開源,通常會透過以下三種方式來保護AI創新,包括申請專利、以營業秘密保護,或同時結合兩者。相對於專利,以營業秘密保護AI創新可以使企業保有其技術優勢,因不用公開技術內容,較符合AI產業對於保護AI創新的期待。然而,企業以營業秘密保護AI創新有其限制,包含: 1.競爭者可能輕易透過還原工程了解該產品的營業秘密內容,並搶先申請專利,反過來起訴企業侵害其專利,而面臨訴訟風險; 2.面對競爭者提起的專利侵權訴訟,企業將因為沒有專利而無法提起反訴,或透過交互授權(cross-licensing)來避免訴訟; 3.縱使企業得主張「先使用權(prior user right)」,但其僅適用在競爭者於專利申請前已存在的技術,且未來若改進受先使用權保護之技術,將不再受到先使用權之保護,而有侵犯競爭者專利之虞,因此不利於企業提升其競爭力。 綜上所述,儘管AI產業面有從開源轉向保密的傾向,但若要完全仰賴營業秘密來保護AI創新仍有其侷限,專利依舊是當前各企業對AI領域的保護策略中的關鍵。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟支付服務指令(PSD)將進行翻修,然而進程延宕歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)修正案,簡稱PSD2。最新消息指出,PSD2將無法在本屆歐洲議會審議完成,需於五月歐洲議會改選後,在新一屆的議會中再行審議。 PSD公布施行於2007年,該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度,活絡支付市場的競爭,提供消費者更多的選擇,並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 本次歐盟提出修正案,其修正目標包含: 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 實際做法,PSD2大致有以下修正重點: 一、因應科技發展及時代變遷,擴大適用範圍: (一)提出「第三方支付服務提供人(third party payment provider,簡稱TPP)」之名詞定義,並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義,第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易,而支付的進行也是透過電信或IT系統或網路營運人,而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞,對照於附件一(Annex I)第七款中,係指: 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務; 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接,從銀行帳戶扣款進行支付;或者是與信用卡界接,進行扣款。 依照PSD2,TPP為支付服務提供者(Payment service providers, 簡稱PSPs),因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付,如果單筆支付金額超過50歐元,或者是月支付金額超過200歐元,也應適用PSD2。 二、強化資安要求: (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security,簡稱NIS Directive)」,PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority,簡稱EBA)將與歐洲央行(ECB)密切合作,提出資訊安全指導原則(guidelines),以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護: (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者,PSD2則要求對於涉及第三國以及外幣之交易,只要有任一支付服務提供者是在歐盟境內,都要適用。 (二)只要支付未經授權,應立即退款給付款方。 (三)保障無條件退款權,但是如果商品或服務已經完成消費則不在此限,例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易),額度從原本的150歐元下調為50歐元。 對於客訴爭議,PSPs應於15個工作日內以書面回覆。
防止境外勢力影響國家安全,加拿大將敏感技術納入投資審查防止境外勢力影響國家安全,加拿大將敏感技術納入投資審查 資訊工業策進會科技法律研究所 2026年02月04日 加拿大創新、科學與經濟發展部(Innovation, Science and Economic Development,ISED)擬於2026年夏天公告修正後之《加拿大投資法》(Investment Canada Act,ICA)[1],以敏感技術為投資審查中,對國家安全風險之評估要件[2];並對該類型之投資,採事前申報制[3]。加拿大政府定期盤點敏感技術項目,研究者應自行評估其研究計畫有無涉及敏感技術;ISED亦試圖於2026年,以投資審查方式,防免境外勢力取得加拿大敏感技術,本文分析如下。 壹、背景摘要 依據加拿大於2025年10月公布之《2025年至2027年監理前瞻計畫:外國投資審查與經濟安全部門》(2025-2027 Forward Regulatory Plan – Foreign Investment Review and Economic Security Branch),於C-34法案(Bill C-34)中修正ICA[4]。本次之ICA草案,為對《國家安全投資審查條例》(National Security Review of Investments Regulations)和《加拿大投資條例》(Investment Canada Regulations)之修正[5]。申言之,ICA草案以相關的投資條例為修正標的,提升外國投資對加拿大國家安全之風險評估。 ICA為加拿大政府審查外國投資之依據。目的為審查重大外國投資,對加拿大之淨經濟效益(net economic benefit),與投資有無可能損及加拿大之國家安全[6]。C-34法案於2024年3月通過,大部分條款於2024年9月生效。新修正之ICA聚焦於強化加拿大投資的透明度,與投資者的可確定性,並賦予加拿大政府必要的審查權限[7]。 貳、重點說明 一、階段生效,ICA納入對敏感技術之國安審查 ICA採分階段生效之立法模式,2024年9月生效的條款,主要為擴張ISED部長的審查權限,審慎評估外國投資對國家安全的影響[8]。修正內容為授權ISED部長得延長對國家安全之投資審查期限,與臨時提出審查條件[9];投資者所提出的承諾具有拘束力,得作為審查的依據,並視情形要求修改或解除承諾[10]。以及強化與國際執行投資審查業務之主管機關共享資訊,和提升司法審查過程中對資訊之保護等[11]。 針對敏感技術之投資審查,ISED預計於2026年夏天公布最終版本[12]。ICA草案擬要求事前申報對敏感產業領域(sensitive sectors)之投資,並強化對違規行為的處罰力度,且主管機關具審查國營事業投資淨效益的權限等[13]。 綜上所述,ICA之修正,要求境外投資敏感技術應事先申報,以評估對於國家安全之影響。並配合2024年9月生效的條款,賦予ISED部長得依據個案情形,彈性調整審查期限或條件,以因應不同類型的投資風險。 二、配套措施,全面保護敏感技術 (一)敏感技術連接投資審查 加拿大於2025年3月5日修訂《國家安全投資審查指引》(Guidelines on the National Security Review of Investments),於審查境外投資應考量之國家安全因素,包含該投資對加拿大國防與國家利益之潛在影響;投資若屬於2025年2月6日公布敏感技術清單(Sensitive Technology List)項目[14]之研究、設計、製造,則可能影響加拿大境外敏感技術的移轉[15]。亦即若為與敏感技術相關的投資,應經國家安全審查。 (二)敏感技術研究計畫之評估 加拿大於2025年5月7日更新「敏感技術研究領域清單」[16],研究者應依據《敏感技術研究與附屬機關(構)政策》(Policy on Sensitive Technology Research and Affiliations of Concern),先自行評估所研究之技術,是否歸屬於加拿大政府公布之敏感技術類型;次為檢視參與研究人員所隸屬之機關(構),是否屬於加拿大政府公布之「指定研究機關(構)清單」[17]。若研究目的為產出敏感技術,或研究過程有助於敏感技術的發展,則參與該敏感技術研究的人員,不得與指定研究機關(構)具有隸屬關係,或受該些機關(構)的資助[18]。換言之,若預期的研發成果可歸類為敏感技術,則計畫經費應排除來自於特定的機關(構),或與執行計畫人員具隸屬關係。 (三)國內外敏感技術研究合作 依據ISED發布《研究合作的國家安全指引》(National Security Guidelines for Research Partnerships),敏感研究的國內外合作,有國家安全風險者,包含具軍民兩用應用潛力技術的研究;或於該研究中產出的技術,能協助提升國外的軍事、情報與監視能力,擾亂加拿大經濟、社會和關鍵基礎設施,損害加拿大國家利益[19]。研究者應識別潛在的風險,並採取必要的緩解措施,以保護敏感技術的研發成果[20]。此有助研究者評估風險,避免敏感技術因國內外之合作研究,而外洩相關的研發機密。 參、事件評析 外國對加拿大敏感技術研究、設計、製造等之投資,納入投資審查的項目,以避免技術外流所形成的國家安全風險。研究計畫若涉及敏感技術,參與計畫之人員,亦應避免與加拿大政府列舉之特定機關(構)具有隸屬關係,或受其資助;並提供研究者指引,以識別合作研究的潛在風險。加拿大以ICA之國安審查,防堵敏感技術經由投資手段外流。ICA之執法,對敏感技術之保護效能,仍有待評估。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1] Innovation, Science and Economic Development Canada, Red Tape Review – Foreign Investment Review and Economic Security Branch, Government of Canada Gouvernement du Canada, 2025-09-08, https://ised-isde.canada.ca/site/acts-regulations/en/red-tape-review-progress-report/red-tape-review-foreign-investment-review-and-economic-security-branch (last visited Jan. 13, 2026). [2] Innovation, Science and Economic Development Canada, What is the Investment Canada Act?, Government of Canada Gouvernement du Canada, 2024-11-20, https://ised-isde.canada.ca/site/investment-canada-act/en/what-investment-canada-act#s4.2 (last visited Jan. 20, 2026). [3] Innovation, Science and Economic Development Canada, Modernization, Government of Canada Gouvernement du Canada, 2025-08-21, https://ised-isde.canada.ca/site/investment-canada-act/en/investment-canada-act/modernization (last visited Jan. 20, 2026). [4] Innovation, Science and Economic Development Canada, 2025-2027 Forward Regulatory Plan – Foreign Investment Review and Economic Security Branch, Government of Canada Gouvernement du Canada, 2025-10-09, https://ised-isde.canada.ca/site/acts-regulations/en/forward-regulatory-plan/foreign-investment-review-and-economic-security-branch (last visited Jan. 13, 2026). [5] Id. [6] Innovation, Science and Economic Development Canada, supra note 1. [7] Id. [8] Id. [9] Id. [10] Innovation, Science and Economic Development Canada, supra note 3. [11] Id. [12] Innovation, Science and Economic Development Canada, supra note 1. [13] Innovation, Science and Economic Development Canada, supra note 3. [14] Sensitive Technology List, Government of Canada Gouvernement du Canada, 2025-02-06, https://www.canada.ca/en/services/defence/nationalsecurity/sensitive-technology-list.html (last visited Jan. 15, 2026). [15] Guidelines on the National Security Review of Investments, Government of Canada Gouvernement du Canada, paragraph 9(i)(ii), March 5, 2025, https://ised-isde.canada.ca/site/investment-canada-act/en/investment-canada-act/guidelines/guidelines-national-security-review-investments (last visited Jan. 20, 2026). [16] Sensitive Technology Research Areas, Government of Canada Gouvernement du Canada, 2025-05-07, https://science.gc.ca/site/science/en/safeguarding-your-research/guidelines-and-tools-implement-research-security/sensitive-technology-research-and-affiliations-concern/sensitive-technology-research-areas#top (last visited Jan. 15, 2026). [17] Innovation, Science and Economic Development Canada, Policy on Sensitive Technology Research and Affiliations of Concern, Government of Canada Gouvernement du Canada, 2025-05-22, https://science.gc.ca/site/science/en/safeguarding-your-research/guidelines-and-tools-implement-research-security/sensitive-technology-research-and-affiliations-concern/policy-sensitive-technology-research-and-affiliations-concern (last visited Jan. 15, 2026). [18] Id. [19] Innovation, Science and Economic Development Canada, National Security Guidelines for Research Partnerships, Government of Canada Gouvernement du Canada, 2025-05-12, https://science.gc.ca/site/science/en/safeguarding-your-research/guidelines-and-tools-implement-research-security/national-security-guidelines-research-partnerships#top (last visited Jan. 19, 2026). [20] Id.