美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
今年11月17日到19日為期三天的第五屆「智慧城市世界大會展覽(Smart City Expo World Congress)-都會平台(Urban Platforms):串聯資料數據以及城市之間的連結」於西班牙巴塞隆納舉行。該大會凝聚了世界500個城市、450個參展單位,以及400位講者於一堂,主要觸及了城市如何因應大量成長的數據、從新的管理方式中,要如何以及在哪裡得到價值,以及在加速城市中的都會平台過程中,要付出什麼樣的代價等議題。 今年度的大會展覽令人耳目一新的創新作品包括:綠色環保無人駕駛小公車、提醒視力受損者,道路上有障礙物的智慧應用程式、能夠辨識在範圍內的射擊,並且精準地指出事件發生地點的麥克風系統,還有其他諸如無人飛機、物流和都會區內遞送服務等等創意新點子。 「智慧城市」一詞,意味著一個能夠合於未來發展的都會,同時轉變為一個可以在提升資源以及能源效率的同時,還能夠減少對於生態衝擊的環境。而歐洲的智慧城市發展,主要是在「歐洲2020戰略」(Europe 2020)中,由歐盟執行委員會所實施的「歐洲創新夥伴計畫」(The European Innovation Partnership, EIP)帶領歐洲倡議都會平台於以下三個交互運作的活動以及發展:(一)以城市需求為導向的發展,使得能快速地適應都會平台;(二)由備忘錄(Memorandum of Understanding, MoU)所鞏固的供給導向發展;(三)在信任的基礎上所建立的標準化導向發展。 歐盟於2011年6月公布的「智慧城市與社群歐洲創新夥伴計畫」(The European Innovation Partnership on Smart Cities and Communities, EIP-SCC)目的是為了要將城市、企業與市民結合起來,共同藉由永續的解決方案,來改善都會城市現有的問題,並提升城市的整體生活。此計畫期許以資通訊科技(Information and Communication Technology, ICT)、能源與交通管理的結合,共同提出創新的解決方案,為今日歐洲城市面對來自於環境、社會與健康等挑戰進行解套,計畫發展核心包含開放資料(Open Data)、商業模式(Business Models)、政策與法規(Policy and Regulation)、能源效率與低碳解決方案(Energy Efficiency and Low Carbon Solutions)、財政金融與採購(Finance and Procurement)、都會移動(Urban Mobility)、能源整合網絡(Integrated Energy Networks)等。 從歐盟所發展的大戰略計畫,到今年第五年的「智慧城市世界大會展覽」,明顯嶄露出歐盟在積極推動經濟發展的同時,帶著永續環境的思維,這是之所以歐盟能持續引領歐洲,甚至世界未來發展趨勢的關鍵原因。
「你在哪裡? 我正在看著你!! 談行動定位服務與隱私權保護」 澳洲政府發布「急診醫師使用我的健康紀錄指引」提供急診醫師規範遵循2019年2月澳洲政府依據「我的健康紀錄法」(My Health Records Act 2012),執行全國國民納入「我的健康紀錄系統」(My Health Record System)(下稱系統)之政策,有將近9成的國民被納入系統,為解決急診醫師在緊急救治時,需查看病患醫療資訊的需求;澳洲數位健康局(Australian Digital Health Agency, ADHA)於2019年11月發布了一項全國倡議的政策:急診醫師能使用我的健康紀錄系統,在急迫情形下即時做診斷。因此澳洲健康安全與品質委員會(Australian Commission on Safety and Quality in Health Care)與澳洲急診醫學院(Australasian College for Emergency Medicine, ACEM)共同訂定「急診醫師使用我的健康紀錄之指引」(Emergency Department Clinicians’ Guide to My Health Record)(下稱指引)提供急診科醫師參考,說明如下: 原則上只有病患之家庭醫師或主治醫師才能進入系統查看病患的醫療資訊,其他未經同意的醫師不得隨意查看病患的醫療資訊,但若病患發生急救狀況時,則允許急診醫師得使用系統查看病患之醫療資訊,例如:使用藥物資訊、各醫師之醫療診斷書、照顧資訊、處方簽紀錄,病患用藥歷史、住院紀錄、家族病史、專家建議信(Specialist letters)、器官捐贈與預立醫療決定(Advance care plans)、病理診斷、病人自行輸入的資訊,例如過敏反應等,協助急診醫師能使用病患就醫紀錄迅速的做診斷;允許急診醫師得直接查看病患之醫療資訊,也解決急診醫師在救治時,無法即時與病患之家庭醫師聯繫問題。另外,系統之病歷電子化也為急診醫師帶來益處,例如:醫療資訊的合併,整合病患的就醫資料、減少不必要及重複的檢查,即時傳遞醫療資料等。此外,為了保障國民之資訊自主,醫師必須尊重病患的權利,例如病患得使用取消功能來刪除病歷資訊、限制特定醫療人員或醫療機構查看、限制查看資料的類型等。 這項指引使急診醫師能更了解如何使用系統、在緊急救護時,得隨時能查病歷資料做出最佳的處置、系統化的便利性為急診醫師節省許多處理時間,並促進與提升醫療品質。
英國倫理機構針對海量資料(big data)之使用展開公眾諮詢調查納菲爾德生物倫理學理事會(Nuffield Council on Bioethics)成立於1991年,是一家英國的獨立慈善機構,致力於考察在生物與醫學領域新近研究發展中所可能牽涉的各項倫理議題。由該理事會所發表的報告極具影響力,往往成為官方在政策決策時之依據。 有鑑於近年big data與個人生物和健康資料的分析使用,在生物醫學研究中引起廣泛的爭議討論,此間雖然不乏學者論理著述,但對社會層面的實質影響卻較少實證調查研究。Nuffield Council on Bioethics於日前發布一項為期三個月(2013/10/17~2014/01/10)的生物暨健康資料之連結使用公眾諮詢調查計畫(The linking and use of biological and health data – Open consultation)。此項計畫之目的在於,瞭解更多有關資料連結與使用時所可能導致之傷害或可能的有利發展。並研析適當的治理模式和法律措施,使得民眾隱私權保護與相關研究之合法性得以兼顧,俾使更多人受益。 為執行此項計畫,Nuffield Council on Bioethics延攬健康照護資訊技術、資訊治理、健康研究、臨床診療、倫理和法律等領域專家組成計畫工作小組,由工作小組廣泛地蒐集來自民眾與各類型組織的觀點,探詢當民眾在面對個人的生物與健康資訊相互連結、分析時,民眾對當中所牽涉倫理議題之看法。該項公眾諮詢調查將針對以下重點進行: 1.生物醫學資料之特殊意義 2.新的隱私權議題 3.資料科學和資訊技術發展所造成之影響 4.在研究中使用已連結的生物醫學資料所可能帶來的影響 5.在醫學臨床上使用已連結的資料所可能帶來的影響 6.使用生物醫學研究和健康照護以外的生物醫學資料所可能帶來的影響 7.探討能夠在倫理上支持連結生物醫學資料的法律和治理機制 由於Nuffield Council on Bioethics被視為英國科學界的倫理監察員、政府智囊團,因此未來調查報告發布後對相關政府政策所可能產生的影響,當值得我們持續關注。