美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
美國最高法院日前針對Brown v. EMA & ESA(即之前的Schwartzenegger v. EMA)一案作出決定,確認加州政府於2005年制定的一項與禁止販賣暴力電玩(violent video games)有關的法律,係違反聯邦憲法第一修正案而無效。 該加州法律係在阿諾史瓦辛格(Arnold Alois Schwarzenegger)擔任加州州長時通過。根據該法規定,禁止販售或出租暴力電玩給未滿18歲的未成年人,且要求暴力電玩應在包裝盒上加註除現行ESRB分級標誌以外的特別標誌,故有侵害憲法第一修正案所保障的言論自由之虞。本案第一審、第二審法院均認定加州「禁止暴力電玩」法案係屬違憲。 而最高法院日前於6月27日以7比2的票數判決,肯定下級審的見解。最高法院認為,電玩(video games)係透過角色、對話、情節和音樂等媒體,傳達其所欲表達的概念,就如同其他呈現言論的方式(如書本、戲劇、電影),皆應受到憲法言論表達自由原則之保護。 因此,對同樣受到憲法保障的遊戲內容表達,只有在有重大(值得保護)的公益須維護時,才能對其加以限制;同時,限制手段亦須通過最嚴格的審查標準(stringent strict scrutiny test)。最高法院認為,本案中加州政府並無法證明有重大(值得保護)的公益存在,且以法律禁止販賣的手段也無法通過審查標準。 如同美國娛樂軟體協會(ESA)CEO Michael D. Gallagher所說,政府不應採取立法禁止的方式,限制遊戲內容的表達自由;反之,美國電玩產業一直以來都遵守一套自願性的分級制度(Entertainment Software Rating Board rating system),藉以提供消費者有關遊戲內容的資訊。這套分級制度已足以協助家長從包裝盒上辨認出遊戲內容,確保未成年人不接觸不適宜的遊戲。 判決出爐後,產業界紛紛表示這是對遊戲產業的一大勝利。本案也證明,即使面臨日新月異科技發展的挑戰,憲法所保障的言論自由表達原則,同樣適用在新興科技的表現媒介。
簡介美國FTC垃圾電郵法制施行成效報告 日本印章制度與電子署名法修正日本國會於2021年2月9日正式提出「數位社會形成基本法草案」(デジタル社会形成基本法案),立法目的為提升國家競爭力、國民生活便利性,以建置一個「數位社會」,基本原則為降低數位落差,而降低數位落差之重要手段即包括日本印章制度之改革。 日本政府對印章制度之改革,可分為「取消蓋章制度」及「增加電子簽章使用率」二條路線。由於新冠疫情(COVID-19)影響全球工作型態,日本政府為推動電子化服務,考慮取消印章使用,因為其徒增商業活動成本,亦可能提升染疫風險。日本行政改革大臣河野太郎在2020年11月13日內閣會議後之記者會上即表示,約1萬5000種需要使用印章的行政服務中,絕大多數將取消蓋章制度。「數位社會形成基本法草案」亦預告將修改48部要求使用印章之法律,本草案及相關修法將於2021年9月正式通過施行。 電子簽章使用方面,日本在野黨聯盟於2020年6月提出「電子署名及認證業務法一部修正草案」(電子署名及び認証業務に関する法律の一部を改正する法律案)。依照現行規定,電子簽章須本人以一定方式簽署始可推定為真正,推定真正之條件過度嚴苛,便利性未優於實體蓋章,致使電子簽章使用普及度低落。本草案則降低推定門檻,僅須以特定電子方式簽署即有推定真正效力,使電子簽章簽署人身分驗證更為容易。目前法案仍在眾議院提案階段,尚未經國會表決通過,後續發展值得關注。
英國通訊傳播管理局發表「開放通訊:使人們能夠透過創新服務共享資料」,提供通訊業者建立開放通訊(Open Communications)之原則建議英國通訊傳播管理局(The Office of Communications, Ofcom)於2020年8月發布「開放通訊:使人們能夠透過創新服務共享資料」(Open Communications: Enabling people to share data with innovative services),針對開放通訊的設計原理提出七點建議: 應盡可能讓符合條件的第三方能夠近用(access)資料,同時確保用戶受到保護。 應提供客戶一些目前無法取得的資料,例如有關網路服務品質的體驗報告,以提供使用者做為未來交易時之參考。 資料的提供商和第三方必須確保資料儲存和傳輸的安全性。 第三方將如何使用有關客戶的資料及是否含有潛在風險等,皆應清楚透明地告知使用者,並且讓共享資料之使用者仍保有控制權限。 開放通訊服務之設計應符合包容性設計(inclusive design),提高使用者使用意願。 開放通訊仍應維持市場競爭。 提供資料所需的成本應與資料開放的潛在收益成比例。原則上,參與開放通訊的通訊提供者越多,對個人和小型企業的整體價值就越高。惟,若是強制要求用戶數少或是無法承擔該技術的小型提供商加入,可能導致成本與收益不成比例。 除此之外,對於應開放何種資料則須循序漸進。除了增加對第三方客戶資料近用權限之外,首先,應針對開放對資料提供者風險低,但對潛在用戶有較高利益的資料,例如:不包含個人訊息的資料,從而降低匿名化過程中所產生之風險;第二,開放低風險的地理空間資料(geospatial data),目的在於改善該地區的整體地理空間資料基礎架構。最後才是開放有關各種通訊產品中的其他資料,以促進消費者的選擇和保護。 綜上所述,考慮到開放通訊之可行性,需進一步與其他資料可攜性計劃的主要代表進行會談(如銀行業者),尋求各行業主要服務提供商的支持。再者,考慮是否訂定相關法律以及如何進行監管。第三,應標準化客戶資料,以及確保資料移動之安全性及用戶控制權限,最後則是降低資料開放之成本,以達成開放通訊所帶來之效益。