美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
歐盟日前正在加緊腳步為第七期研發綱要計畫( R&D Framework 2007-2013 )之規劃定案,與此同時,歐盟研發經費究竟應該如何挹注也成為討論焦點。歐洲議會產業研究暨能源委員會( Industry, Research and Energy (ITRE) Committee )最近通過第七期研發綱要計畫的預算,預算額度雖然從原本規劃的 72 億歐元減至約 54.5 億歐元左右,但相較於第七期研發綱要計畫,該經費仍成長許多。 此外 ITRE 也決定,基於倫理考量,以下的科技研究領域將無法獲得歐盟補助:複製人、人類基因體的遺傳性改變( heritable modifications of the human genome )、為取得幹細胞進行研究而複製人類胚胎。與此同時, ITRE 也重申,歐盟經費可以用於補助人類幹細胞的研究,只要幹細胞的來源不是經由複製人類胚胎兒取得,但研究者必須切實遵守會員國之相關科技政策及法令規定,研究之進行並應依法予以嚴格審核。 ITRE 前述決定目前已提交歐洲議會討論,預計在六月底前歐洲議會即可就此表決。儘管歐盟希望未來在第七期的研發綱要計畫期間內,對幹細胞研究仍延續其目前所採的政策 -- 資助一部份的幹細胞研究但禁止使用複製的幹細胞進行研究(目前歐盟會員國中,僅英國、瑞典、比利時三會員國允許複製胚胎幹細胞),惟由於幹細胞研究議題甚為敏感,且 2004 年 5 月 1 日 新加入的東歐會員國,其大多數在歐洲議會的代表都是天主教徒,故而有關幹細胞研究的議題,恐怕仍有一場激辯。
英HFEA同意該國婦女利用PGD技術「訂製嬰兒」現今生殖醫學進步相當快速,透過諸如胚胎殖入前之基因診斷( PGD )、組織配對( tissue match )等新興生物技術,人們將有能力選擇未來孩子的外表、智力、健康甚至性別等,故就現今的科技發展而言,篩選具有某種特徵之嬰兒的技術能力早已具備,反而是相關的倫理、道德及社會共識等等卻是最難的部分,這也是有關「訂製嬰兒」( design babies )之爭議焦點。 近幾年,訂製嬰兒的討論在英國非常熱烈,在英國,人工生殖之進行應依人工生殖與胚胎學法規定,獲得 「人類生殖與胚胎管理局」 ( Human Fertilization and Embryology Authority, HFEA )之許可,至於進行人工生殖之同時,父母親是否得附加進一步的條件以「訂製嬰兒」,則一直有爭議。英國高等法院在 2002 年 12 月 20 日的一項判決中曾認為,國會制訂人工生殖與胚胎學法之目的,乃是在協助不孕婦女能夠生兒育女,至於組織配對的行為,則不在該法授權目的之內,因此 HFEA 無權就此等行為給予准駁。惟 2003 年 4 月 8 日 ,上訴法院推翻了高等法院的判決結果,但也進一步指出,這並不代表未來所有在進行 PGD 的同時加做組織配對之行為都是被允許的,想要施行這項技術之任何人,仍然需於事前取得 HFEA 的許可,新近 HFEA 已放寬管制規範,准許對更多種遺傳性疾病進行篩檢。 英國泰晤士報最近報導,一名英國女子已獲得英國 HFEA 同意 ,讓醫師將其透過體外受精方式培養出來的胚胎,利用基因篩檢技術,選擇出健康之胚胎植入其子宮內,以避免將她所罹患的遺傳性眼癌「視網膜母細胞瘤」基因傳給下一代。 本案婦女雖經 HFEA 同意「訂製嬰兒」,但仍會使「胚胎殖入前之基因診斷」( PGD )程序的爭議加劇,反對人士堅稱,基因篩檢的過程中勢必摧毀部分胚胎,且 為了某些目的而製造胚胎,將使人類被商品化,被訂製之嬰兒在長大成人後,若得知其出生之目的乃是在於治療其它親人,其心裡會對自己產生懷疑,並影響對自己人格的認同與其心理狀態。隨著生物技術發展飛快,許多可能背離社會良俗的行為恐將不斷出現,而法規能否隨之跟上則是生技產業能否興盛與倫理道德可否兼顧之重要關鍵。
歐盟佐審官建議修正與加拿大之「航空乘客個人資料共享協議(草案)」,以維護人權歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見,認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案,檢視與歐盟憲章有關規範之一致性。 [背景] PNR協議草案於2010年5月開始協商,2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外,歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題,歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 佐審官認為,協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊,未違反歐盟憲章;然PNR協議草案仍有部分內容違反歐盟憲章:即草案允許歐盟、加拿大主管機關使用乘客姓名等數據,已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案,隨後雖起草隱私保護協議(Privacy Shield),但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出,可窺歐盟關於隱私保護之立場。
多層次營銷公司即使向數千名人員發布屬於其營業秘密之培訓教材,仍能主張已採取合理保密措施2022年3月7日華盛頓西區地方法院針對原告多層次營銷(直銷)美容公司Tori Belle Cosmetics LLC(下稱原告)向數千名人員發布屬於營業秘密之培訓教材,能主張有採取合理保密措施做出結論。原告行銷Belle Cosmetics產品之方式是以銷售人員的個人 Facebook 帳號來販售化妝品和假睫毛產品,並將公司培訓教材上傳到由數千名成員組成的 Facebook 群組“Team Lash Out”中,且設定帳號公開權限維護其所提供之培訓教材、銷售人員及客戶之聯繫清單,故華盛頓西區地方法院仍認定其主張有理由。 被告(Belle Cosmetics的五名前網路銷售人員)雖主張銷售人員因持有Facebook個人帳號之所有權,認為與個人帳號有關之銷售人員及客戶的聯繫清單皆屬被告所有。並且,由於每個被告的 Facebook 朋友都可以看到他們的朋友清單,而主張聯繫清單不具秘密性。法院不採納被告之主張,認為原告已有設定權限限制Facebook 群組中的朋友僅可以看到其他朋友的姓名和頭像,涉及電話及地址等聯繫資訊則設定不公開,故銷售人員及客戶之聯繫清單仍具秘密性。 此外,被告亦主張原告將培訓教材上傳至「世界最大社交媒體網站Facebook」,並向數千名銷售人員公開,應判定該培訓教材已不具秘密性。法院則駁回指出Facebook之用戶可以設定權限,指定特定人加入群組中讀取培訓教材,故認為仍培訓教材具有秘密性。 本案最值得關注的是後續法院會以何種方式評估上傳至Facebook群組之培訓教材有採取合理保密措施,例如法院如何評估原告與銷售人員間的合約有約定針對教材內容具有保密義務、群組管理員如何驗證請求加入群組之用戶是該公司之網路銷售人員,或法院如何判定在營業秘密解密前Facebook 群組中有多少用戶不具備網絡銷售人員身分。 本文同步刊登於TIPS網站(https://www.tips.org.tw)