美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
德國聯邦議會於2015年通過資訊科技安全法(IT-Sicherheitsgesetz),主管機關為聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),隸屬於德國聯邦內政部(Bundesministerium des Innern)。目的是為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施,讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範,同時藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該法案主題包括,在關鍵基礎設施上改進企業資訊科技安全、保護公民的網路安全、確保德國聯邦資訊科技、加強聯邦資訊技術安全局的能力與資源、擴展聯邦刑事網路犯罪的調查權力。 該法主要係針對關鍵基礎設施營運者(Kritische Infrastrukturbetreiber) 進行安全要求,例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。
美國如何管制新興技術出口美國國會於2018年8月13日通過之《出口管制改革法》(Export Control Reform Act of 2018, ECRA)第1758條,以國家安全為由,授權商務部建立對美國新興與基礎技術出口、再出口或移轉之認定與管制程序。有鑑於此,商務部下轄之工業安全局(Bureau of Industry and Security, BIS)於同年11月19日發布了法規制定預告(advance notice of proposed rulemaking),對外徵求關於認定「新興技術」之意見。 BIS指出,美國政府多年來依循《出口管制條例》(Export Administration Regulations, EAR)限制特定敏感技術或產品出口,以避免關鍵技術落入他國手中。惟既有之審查範圍已不足以涵蓋近年許多重大創新技術,故BIS先行臚列了14項擬在未來實施出口管制的新興科技,向公眾徵求其是否確屬「涉及國家安全之特定新興技術」相關意見。該14項科技包含:(1)生物技術;(2)人工智慧與機器學習技術;(3) 定位、導航和定時技術;(4)微處理器技術;(5)先進計算技術;(6)數據分析技術;(7)量子信息和傳感技術;(8)物流技術;(9)積層製造技術;(10)機器人;(11)腦機介面;(12)高超聲速;(13)先進材料;(14)先進監控技術。 除此之外,民眾亦得對如何認定「新興技術」提出一般性之意見,俾將來政策實施更加周全。意見徵求期間從2018年11月19日起,至2019年1月10日截止。
英國Ofcom宣布改善消費者轉換服務業者之流程英國電信管制機關Ofocm於2013年8月宣布了新的措施,目的在幫助消費者轉換其電話和寬頻服務業者時,更加輕鬆與方便。 當消費者計畫轉換其寬頻服務業者時,時常面臨著必須許多不同業者的手續、流程,包含轉換與被轉換的業者,以及中介服務的業者。如此複雜的轉換過程造成混亂,也容易讓消費者認為轉換服務業者是很麻煩的,某種程度上阻礙消費者選擇較佳服務業者的機會。 Ofcom的研究指出,在轉換業者的過程中,最大的阻礙在於,消費者有時覺得不好意思向目前提供服務的業者提出轉換的申請,在這樣的過程中,現在的業者有很多的主導權,例如對於轉換過程的遲延或服務的中斷,均導致消費者承受不必要的拖累。 為了解決這些問題,Ofcom決定,未來當消費者計畫轉換服務業者時,只需要遵循一個單一的轉換程序,由新的服務業者代表消費者進行此一過程。 這個「由遷入供應商主導(gaining provider led,GPL)」的過程中,已廣泛的是用於電話和寬頻服務之轉換程序,消費者將不再需要聯繫他們現有的服務業者、收到一個編號,以轉換業者。 Ofcom還設置了額外的措施,以幫助防止消費者在轉換的過程中遭遇服務的中斷、或是有未經消費者同意的轉換。 一個明確的和改進的切換過程中,以幫助消費者。 Ofcom在既有GPL程序的基礎上進行改善,制訂單一的流程,強化流程的監督,為消費者提供增值收益。 根據Ofcom初步制訂的單一轉換流程,服務業者必須遵守以下指示: ‧留存每一位消費者轉換服務的相關同意記錄,以保護消費者在不知情之下,被轉換到不同的業者; ‧防止消費者轉換時出現服務的空窗期,特別是電話和寬頻服務的轉換; ‧給消費者提供關於業者服務品質的資訊,如提前終止服務時,可能需負擔的額外費用變化,使消費者可以做出明智的決定。 Ofcom計畫於2014年初將細部程序制訂並執行,並可能提出下一階段的工作,涵蓋兩個關鍵領域: ‧持續與業者溝通,確保消費者得到更好的保護; ‧進一步改進電話、不同類型的寬頻服務、不同類型的網路之間的轉換(例如Cable網路)