美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 數位發展部數位產業署113年資訊服務業安維計畫常見問題分享說明會
- 商業服務業個資保護宣導說明會
- 個人資料保護新思維企業法遵論壇
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 中部場–商業服務業個資保護工作坊
- 南部場–商業服務業個資保護工作坊
- 北部場–商業服務業個資保護工作坊
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
澳大利亞總理及內閣部(The Department of the Prime Minister and Cabinet,PM&C)之國家資料委員辦公室(Office of the National Data Commissioner)於2020年12月9日提交「澳大利亞資料可用性及透明度法案」(Data Availability and Transparency Bill 2020)至澳大利亞國會(Parliament of Australia),國會並已完成一讀及二讀 。 該法案旨在建立一個新的公部門資料共享方案,將原先未開放的公部門資料,透過本法案所設計的共享公部門資料相關管理制度,以促進公部門資料的可存取性及保障措施的一致性,藉此提高公部門資料透明度和大眾利用公部門資料的信心。 該法案所設計的資料共享機制,係由作為「資料保管者」(Data custodians)的各聯邦部門和州政府,自行或透過「被認證的資料服務提供者」(Accredited data service provider,下稱ADSP)共享其所保管的政府資料,使「被認證的利用者」(Accredited user,下稱利用者)得以利用之。 另外,該法案要求資料保管者必須在符合資料共享要件的情況下,才能共享資料,要件包含: 1、資料共享目的:係指該法案只允許資料保管者基於「提供政府服務」、「通知政府政策和計畫」、「研究與開發」等三個目的分享資料。倘涉及國家安全及犯罪調查等需要特殊監督利用機制的政府資料,則不包含在內。 2、資料共享原則:包含符合公共利益或道德評估之計畫;具備適合共享資格的人員;安全環境;資料最小化;合目的產出等五個原則。 3、資料共享協議:資料保管者與利用者之間,必須簽定「資料共享協議」,該法案有規定資料共享協議的應記載條款。 滿足上述要求時,該法案使原先被法律限制共享,或單純未積極開放的資料,都得以在利用者提出要求後,於符合要件及資訊保密相關法規後共享。反之,若不符合法案的要求,則不得共享資料,回復到原先的法律狀態,適用原先的資料保護框架。 最後,該法案授權獨立監管機構「國家資料委員」(National Data Commissioner),負責認證ADSP及可利用共享資料之利用者,並監管所有的資料共享計畫,以及提供諮詢、指導和倡導資料共享計畫的最佳方案。
高智發明(Intellectual Ventures)揭開其專利寶庫擁有專利但不生產商品,以購買專利與主張專利為主要商業模式的專利蟑螂,近來在美國引起眾多討論,2013年6月,美國白宮更正式發表聲明,不但要求行政機關打擊專利蟑螂,更建議立法機關作出相關修法。 高智發明(Intellectual Ventures,以下簡稱IV)自2001年創立以來,擁有約7萬個專利,其中4萬個屬於IV商業化專案,為主張專利之武器群。一向不承認自己屬於專利蟑螂的IV,2013年12月公開表列出3萬3千個用以主張專利侵權獲利之專利,包括無線技術、半導體技術、硬體、以及生物技術等高值專利;至於其他未公開的專利,IV則稱受限於第三方的保密義務無法公開。 IV宣稱此舉目的在於提供潛在專利被授權人或買受人一個購物清單;然而更為可能的,是面對同年11月底甫通過眾議院投票之創新法案帶來的壓力,所釋出之善意表示退讓。 前述公開清單目前在IV官網上公開提供下載與搜尋,對於企業或事務所,將來受到不知名公司控告專利侵權時,可以檢視這份清單,瞭解該案是否為IV所主導,但實際在訴訟策略上該如何運用學界與實務界尚未有明確的作法,值得繼續觀察。
OTT服務所涉網路中立性與著作權議題之比較分析-美國與歐盟之新近法制及對我國之建議 英國公告「2014年資料保存和調查法」,落實「歐盟基本權利憲章」精神英國政府於2014年7月17日公告施行「2014年資料保存和調查法」(Data Retention and Investigation Powers Act 2014)(下稱新法)。新法係為因應歐盟法院2014年4月8日判決,由於全面資料保存不合比例地干預隱私權和「歐盟基本權利憲章」(EU Charter of Fundamental Rights)對個人資料的保護,歐盟2006/24/EC資料保存指令(Data Retention Directive 2006/24/EC)應予廢棄。該指令要求歐盟各國電話及網際網路公司搜集使用者電話及電子郵件通聯紀錄,包括時間、地點及受話人或收件人,並儲存至多兩年。 新法規範重點摘要如下: 1.相關通訊資料保存: (1)通訊相關資料保存權力受到管制保障: 新法除規範資料蒐集與保存制度,並規定英國政府得要求國內外電話及網際網路業者搜集其客戶通訊資訊,最長可保存12個月。 (2)於第二節補充前一節用語定義。 2.調查權: (1)新法授權政府得基於國家安全和預防或偵查重大犯罪而監聽取得國內外通訊相關資訊。 (2)修正「2000年調查權規範」(Regulation of Investigatory Powers Act of 2000)第一編之域外規範。 (3)擴大「電信服務」定義,納入提供接取、促進使用、促進傳播通訊之創建、管理、儲存或透過相類似系統之傳播者。 (4)通訊監聽委員(the Interception of Communications Commissioner)每半年提出報告。 (5)調查權力及規範之複審。 3.開始、持續期間、範圍和簡稱:新法落日條款之規範,2016年12月31日將失其效力。