美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
美國勞動部就業培訓署(The U.S. Department of Labor’s Employment and Training Administration,簡稱ETA)於2026年2月13日發布《人工智慧素養框架》(Artificial Intelligence Literacy Framework,以下簡稱本框架),旨在鼓勵公共勞動力系統與教育系統擴大推動AI素養(AI literacy)相關教育與培訓,為美國勞工因應AI時代之經濟與工作變遷提供方向指引,協助其培備所需核心能力。 本框架目標在支援勞動部執行《美國AI行動計畫》(Winning the Race: America’s AI Action Plan)及《美國人才戰略:為黃金時代打造勞動力》(America’s Talent Strategy: Building the Workforce for the Golden Age)兩部政策文件所揭示之任務,二者均將AI素養列為應於勞動力與教育體系全面推展之基礎性優先事項。本框架可分為三部分,第一部分提出AI素養的工作定義,並就勞工、雇主、教育與培訓提供者及州與地方機構四類受眾,分別說明框架的應用方式;第二部分界定所有勞工應具備的AI素養能力及其具體範疇與實作要求;第三部分則就培訓方案的設計與執行,提供課程規劃與推動策略的具體指引。 一、概念定義 本框架將AI素養定義為一套使個人得以負責任地使用與評估AI技術的基礎能力,並以對現代職場日益重要的生成式AI為核心。美國勞動部指出,「素養」應理解為隨著AI普及各行各業,所有勞工與學生與AI工具互動之知識與技能基準。 本框架分別針對四類受眾分別說明其應用方式。就勞工而言,現有勞工、求職者及即將進入職場之學生,可以此了解AI素養對職涯發展的意義與技能培養方向,在提升工作效能之餘開創新的職涯機會。就雇主而言,可據此建立企業內部AI素養培訓,確保員工有效且負責任地使用AI工具。就教育培訓提供者而言,可將AI素養融入現有課程,為學習者建立職場所需的核心能力。就州與地方機構而言,則可推動勞動與教育體系之AI素養培育,協助學生與求職者因應市場變遷,並回應雇主對AI人才之需求。 二、AI素養五大基本內容領域 本框架界定五大AI素養基礎內容領域,構成所有勞工應具備的能力基線。 1.了解AI原則(Understand AI Principles):理解AI的核心概念、能力與限制,為有效應用奠定基礎。 2.探索AI用途(Explore AI Uses):探索不同AI工具與應用情境,及其如何與人類專業知識相輔相成。 3.有效導引AI(Direct AI Effectively):掌握如何提供適當情境脈絡與撰寫清晰提示詞,以產生有效輸出。 4.評估AI輸出(Evaluate AI Outputs):評估AI生成結果之準確性與相關性,並了解如何對其輸出進行迭代優化。 5.負責任地使用AI(Use AI Responsibly):以合乎倫理且安全的方式使用AI,保護重要資訊並對結果負責。 三、AI素養七大推行原則 本框架提出七大推行原則,作為培訓方案設計與執行的具體指引。 1.啟動體驗式學習(Enable Experiential Learning):透過實際操作培養AI素養,使學習者得於真實情境中練習AI技能。 2.將學習融入情境(Embed Learning in Context):將學習融入既有流程並結合產業特性,使學習成果更具實踐價值。 3.建立互補性人類技能(Build Complementary Human Skills):借助AI強化人類之判斷力、創造力與問題解決能力。 4.消除學習前置障礙(Address Prerequisites to AI Literacy):消弭AI素養學習之障礙,包括數位素養不足與寬頻網路取得的問題。 5.建立持續學習路徑(Create Pathways for Continued Learning):提供系統性進修路徑,協助學習者提升進階AI技能並拓展職涯發展。 6.培育賦能角色(Prepare Enabling Roles):培育管理者、輔導人員及其他於學習歷程中扮演支持角色之人員。 7.以敏捷性為設計原則(Design for Agility):建立主動的內建機制,以隨AI能力演進迅速更新素養內容與推動方式。 面對AI時代工作型態之快速變遷,美國《人工智慧素養框架》在政策制定、勞動力轉型與AI人才系統化培育等面向所揭示之架構與策略,具有參考價值,可以供我國政府機關研擬相關政策時參考。
電信產業號碼資料庫之應用與法制議題-以個人隱私保護為中心 加拿大法院命令ISP業者提供非法下載者資訊給著作權人加拿大聯邦法院在Voltage Pictures LLC v. Does一案中核發命令要求第三人ISP業者TekSavvy提供在該案中被控非法下載電影的2千多位使用者姓名與地址資訊給著作權人Voltage電影公司,此例在著作權、科技與隱私的微妙關係中投出一記變化球。在本案例中,法院需要對2件事進行判斷,一是是否核發該命令,二是若核發命令,法院如何降低對隱私權的侵害並確保權利人以正當的目的使用相關資訊。 在判斷是否核發命令時,法院考量到下列因素,包括:法院命令是唯一合理取得資訊的方式,TekSavvy擁有係爭資訊,且命令不會對其造成不當的花費與影響。同時,認定Voltage有真實的意圖向非法下載者提出侵權訴訟,且對於資訊的揭露並無不當的目的。此外,在本案所提供的證據上,也認定Voltage確為善意的主張(bona fide claim),因此其著作權比受影響的使用者隱私權利益來得重要等因素。 不過,法院仍然必須進一步決定Voltage在本案中,是否將以善意的方式(bona fide manner)使用其所取得之隱私資訊,法院考量英、美著作權蟑螂(copyright trolls)濫發警告信勒索使用者的案例,認為在命令中對Voltage聯繫接觸使用者的方式作了限制與要求是平衡著作權與隱私權,及同時抑制著作權蟑螂的最好作法,包括:法院有權檢視並要求修改Voltage寄給使用者的信件、信件中必須表明尚未有侵權的裁決、收件者未必有責、並提示收件者可尋求法律意見,同時要求該信件以法院命令做為附件,確保命令不會被濫用。 Voltage一例對於著作權人、ISP業者與使用人而言相當關鍵,著作權人只要有適當的證據就可以取得法院命令要求ISP業者提供侵權使用者資訊,不過法院也表明會透過命令內容的限制,平衡著作權與隱私權,抑制蟑螂類型的商業模式在加拿大蔓延。