美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
中國大陸國務院法制辦公室前於2015年10月10日在網站上公告,有關其交通運輸部就《網路預約出租汽車經營服務管理暫行辦法(徵求意見稿)》對外徵求意見至同年11月9日止。該暫行辦法係因應利用網路建構服務平台,並提供非傳統之職業駕駛或營業車輛的運輸服務類型,如Uber等。 由前述公開資料觀之,中國大陸預計對Uber或相關業者,只要符合從事網路預約出租汽車經營服務,即納入交通運輸主管部門之管制範圍。且依提供服務類型不同,區分為網路預約出租汽車經營服務(指平台)、及網路預約出租汽車經營者(實際提供服務之業者)二大類,並分別進行管理,如不得提供類似計程車之巡遊載客。 此外,依目前規劃,國務院交通運輸主管部門(指交通運輸部)負責指導全國網路預約出租汽車管理工作,而縣級以上的人民政府,其交通運輸主管部門(如地方交通委員會或交通局)須實施網路預約出租汽車管理。如要求縣級以上之主管機關應建立監管平台及進行監督管理,如定期公開車輛、駕駛人及乘客評價等資訊外,網路預約出租汽車經營服務之平台及相關業者依該暫行辦法規定須取得「道路運輸經營許可證」,而從事該運輸服務所使用之車輛除限7人座以下,並應登記為出租客運、安裝衛星定位及報警裝置等,且須有「道路運輸證」。 另該暫行辦法不適用於對原屬巡遊出租汽車使用電信、互聯網等方式為乘客提供服務,及不以營利為目的之共乘,如通勤或節假日私人小客車合乘等類型。
什麼是「美國CFIUS」?美國CFIUS又稱為美國外資投資委員會(Committee on Foreign Investment in the United States),其依據1950年國防製造法(Defense Production Act of 1950)第721款The Exon-Florio修正案,授權組成的政府委員會。 美國外資投資委員會CFIUS的主要任務,在於審查外資併購交易,以防外國人透過跨國企業併購方式,控制美國企業,危及國家經濟與軍事安全並導致本國高科技技術外流。 美國在2007年簽署「外國投資和國家安全法」(The Foreign Investment and National Security Act of 2007,簡稱FINSA),該法案針對外國投資安全審查項目,包括加強國家安全概念、完善CFIUS審查與監督職責等。 近期,新的立法提案方向為「外國投資風險審查現代化法案」(the Foreign Investment Risk Review Modernization Act of 2017,簡稱FIRRMA)。此法案目標是推展CFIUS現代化改革,限制外資對美國科技公司和基礎設施的投資,以維護國家安全。該法案將帶給國會、外商投資及CFIUS的監管環境顯著改變,具體內容包括擴大CFIUS管轄權與權力、擴大對美國關鍵技術與基礎設施投資審查、增加國家安全風險考量因素等。
何謂「AI創作物」?日本智慧財產戰略本部之「次世代智財系統檢討委員會」於2016年4月18日公布的報告書針對「AI創作物」有諸多討論,截取部份內容如述。 以現行著作權法來看,自然人創作產生的創作物,受到著作權保護並無疑問。倘若係自然人利用AI做為道具產出的創作物,若具備(1)創作意圖;(2)創作貢獻,兩種要件,亦得取得權利。然而,若該創作物僅透過人類指示,過程係由AI自主生成,此時該創作物即屬於AI創作物,目前非屬著作權法保護之範圍。惟上述三種情況在外觀辨識上極為困難。換言之,人類創作物與AI創作物之界線已愈趨模糊。 AI創作物可能具備多種態樣,包括:音樂、小說等,甚至包括新技術及服務的生成。以音樂、小說為例,由於日本著作權法係以「創作保護主義」為前提,只要該創作物完成時具有原創性,即受著作權保護,AI的特性可能會造成該當著作權保護之著作物數量遽增;若AI產生的成果屬於技術或服務,以專利審查需具備新穎性、進步性等要件而言,得獲取專利權難度相對比較高。 而日本政府在討論AI創作物是否具有「保護必要性」,主要係以智財權「激勵理論」出發,該理論核心在於保護人類的投資行為應獲得合理報酬,才有續行創作的動機。
歐盟將修正公部門資訊再利用(PSI)指令2019年1月22日,歐盟執委會(European Commission)、歐洲議會(European Parliament)與歐盟理事會(Council of the EU)就修正「公部門資訊再利用指令」(The Directive on the re-use of public sector information,PSI Directive)的提案達成協議。歐洲議會則於4月4日通過提案,待歐盟理事會簽署正式的指令。 PSI Directive經過2003年制定(Directive 2003/98/EC)、2013年修正(Directive 2013/37/EU),於2017年為了履行指令規定的定期審查義務,召開了公眾線上諮詢,之後歐盟執委會根據諮詢結果及對指令的影響評估,於2018年4月25日通過修訂指令的提案,並於2019年1月達成協議。 此次修正將該指令更名為「開放資料與公部門資訊指令」(The Directive on the Open Data and Public Sector Information,以下稱新指令),預計能排除目前仍存在的公部門資訊取得障礙,並且要求將政府資助研究所產出的研究資料(publicly funded research data)也開放給公眾。此次修正的重點內容如下: 1、所有依據國家取用文件規定(national access to documents rules)下可取用的公部門資訊,原則上可以免費再利用,或者公部門可以收取為了提供、傳播資料所產出的費用,但該費用以不超過邊際成本(marginal costs)為限。這項改變,將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集(high-value datasets),這些資料集具有高商業潛力,可以加速各種資訊產品或增值服務的產出,例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀,且透過應用程式介面(APIs)使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時,則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料,不在現行PSI Directive規範範圍內,而各國對於是否必須提供資料有著不同的規定,但現在都必須依照新指令的規定使公眾可以免費再利用,不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定,導致公部門資訊被壟斷,新指令則要求各會員國應落實資訊透明,以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布,並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務,例如行動APP。 6、關於政府資助的研究,新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用,故各成員國被要求建立一致的再利用政策,使這些研究資料能透過資料庫(repository)被開放取用(open access),包含先前已經存入該資料庫的資料。 總而言之,本次修正將能夠降低中小企業進入市場的障礙,並增加公部門資訊的透明度和即時流通,也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。