日本資訊信託功能認定指引第二版

  日本於2018年6月公布「資料信託功能認定指引第一版」(情報信託機能の認定に係る指針ver1.0),期待藉此推動資料銀行發展,促進資料流通和利用。第一版指引係以資料銀行應具備之功能為中心,惟伴隨資料銀行業務發展,指引內除資料銀行基本功能外,亦應規範個人資料管理及向第三方提供資料之條件等內容,加上有論者認為第一版內有關資料銀行定義過於偏重功能描述,故總務省和經濟產業省於2019年1月起召開檢討會,重新檢討上開指引,最終於2019年10月8日公布「資料信託功能認定指引第二版」(情報信託機能の認定に係る指針ver2.0)。

  第二版指引更新重點包括︰(1)修正資料銀行定義︰第一版指引僅強調資料銀行之功能,第二版則增加資料銀行之目的和資料銀行與個人間關係等內容;(2)重新定義並詳細說明資料種類和蒐集方法;(3)修正資料信託功能認定基準︰新增複數業者共同經營資料銀行,隱私保護對策以及確保資料銀行透明性和個人資料之自主控制等規定;(4)新增資料信託功能模範條款之應記載事項︰包括與限制行為能力人締結契約之程序,以及向第三方提供資料之條件等規定。為確保資料銀行透明性和個人資料之自主控制,第二版指引新增資料倫理審查會規定,要求資料銀行設置資料倫理審查會並定期向其報告,審查會則應就個人與資料銀行間契約、個資利用目的、向第三方提供資料之條件等事項提供建議。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 日本資訊信託功能認定指引第二版, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8422&no=65&tp=1 (最後瀏覽日:2026/07/18)
引註此篇文章
你可能還會想看
日本名古屋地方法院強調刑事手段對於營業秘密保護的必要性

  日本名古屋地方法院(下稱法院)在2022年3月18日,對於被控訴違反《不正競爭防止法》的「愛知製鋼」前董事本蔵義信(下稱本蔵)等,宣判無罪。被告本蔵致力研發磁阻抗( Magnetic Impedance, MI)感測器,嗣後對於提高感測器性能及開拓市場等方向,與「愛知製鋼」意見分歧。故於2014年離職另成立マグネデザイン公司,翌年研究發現Giga Spin Rotation (GSR)原理,能製造更小且性能更高的感測器,並取得多項專利。   在2017年,原告「愛知製鋼」以被告本蔵等在2013年的會議中洩露營業秘密等為理由,提起告訴。經過兩次搜查,檢調發現相關會議筆記及白板照片等證據,故向法院提起公訴。法院指出在刑事程序,同樣適用民事上營業秘密法定構成要件,然而本案涉及的技術資訊,屬於工程上一般性、抽象性資訊,不符合秘密性要件。此外,法院認為原告「愛知製鋼」除未落實機密分級,在書面資料上標示「機密」外;且在保密期限屆滿後,亦未與生產商再簽署保密契約,難認為已採取合理保密措施,故不能認定被告本蔵等洩漏營業秘密。   雖然日本經濟產業省已明確指出刑事罰係針對違法性高的行為,且法院對於刑事訴訟的舉證程度,要求必須達到無合理懷疑。同時社會亦有輿論認為調查人員應慎重判斷,避免因不當提起訴訟,造成科學技術發展的負面影響。但在本案中,法院則強調營業秘密對於企業經濟活動的重要性極高,為避免因營業秘密侵害行為,致損害企業競爭力,故採取刑事保護的必要性,越發提高。綜上所述,若企業欲透過刑事罰,保護營業秘密,須採取更嚴謹的管理措施,始能確保藉由刑事訴訟程序,主張權利救濟。   本文同步刊登於TIPS網站(https://www.tips.org.tw)

歐盟執委會公布「數位金融包裹」法案

  為鼓勵金融產業之創新,同時使其遵循應有之責任,並讓歐盟金融消費者與商業機構享有更多之利益,歐盟執委會於2020年10月24日提出數位金融包裹法案(Digital Finance Package),並提出以下2項數位金融立法提案: 一、加密資產立法提案(Proposal for Markets in Crypto-assets)   為促進金融創新並同時保有金融穩定性與保護投資人,歐盟執委會提出加密資產管制框架立法提案,並將加密資產分為已受監管與未受監管兩類,前者將持續依據既有規範進行管理。而針對尚未管制之加密資產,該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制,要求取得核准後始可提供服務。具體而言之,立法提案包含以下項目: (一)針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。 (二)針對向公開市場提供加密資產進行管制,例如,依據提案第4條,供應商應為法人,第5條則要求供應商應製作加密資產白皮書,並將其提供給主管機關後始可於公開市場提供相關服務。 (三)針對代幣資產發行人以及其加密資產之審核程序,依據提案第15條,代幣發行者必須為歐盟境內之法律實體。另外,該法要求加密資產發行人應誠實、公平且專業,並完成加密資產白皮書之出版與制定市場溝通規則。 (四)針對加密資產之收購,該法第4章亦設有相關規範,於第37條及38條規定收購之評估機制。 (五)針對加密資產服務供應商之授權與營運條件,該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。 (六)針對市場秩序維護之部分,該法於第6章規範相關預防市場濫用之禁止事項與要求,並於第7章賦予歐盟成員國各主管機關相關權力,例如第94條之監督與懲處權限。 二、歐盟數位營運韌性管制框架立法提案(Proposal for Digital Operational Resilience)   數位化總伴隨資安風險,歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案,以確保相關企業可應對所有與通訊技術有關之干擾與威脅,另外,銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊,另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含: (一)ICT風險管理要求:該立法提案參照相關國際標準,於第5至第14條制訂相關ICT風險管理要求,惟未要求應遵循具體國際標準。 (二)ICT相關事件報告:該提案於第15至20條規範相關報告義務,將整合歐盟金融機構之ICT相關事件報告與監測程序。 (三)數位運作韌性測試:該提案於第21至第24條要求ICT風險管理框架應定期進行測試,惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。 (四)第三方單位風險:該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測,例如,第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範,另外,ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。

良好的隱私權實踐工作有助於強化企業競爭力

  當含有大量個人敏感性特質個資之郵件不小心發送到陌生人的電子信箱時,將可能對當事人帶來無法預估的損害。加拿大隱私委員Daniel Therrien在國際隱私日時(1/28)提醒各企業,不要忽略隱私控管工作對企業競爭力帶來之影響。然這樣的理念不僅僅只適用在大型的企業,加拿大有98%的企業員工少於100人,對於這些成千上萬的小規模企業而言更是重要。   Daniel Therrien說:「我能理解資源有限的小規模企業每天面臨高壓的業務需求,但就相關反饋資料顯示,加拿大當地居民較傾向與具有良好隱私實踐工作之企業進行交易。」因此,良好的隱私實踐工作不僅是有助於消費者,更可協助企業符合加拿大個人資料保護與電子文件法(Personal Information Protection and Electronic Documents Act)之規定。   為協助小規模企業採取積極措施,以保障消費者資料及隱私不被外洩,提高競爭力,加拿大提供相關關鍵步驟供企業參考:(1)不逾越產品或服務目的之資料蒐集;(2)提供顧客清晰易懂之隱私權政策,以便顧客了解資料為何被蒐集,及如何處理、利用;(3)了解蒐集哪些資料、資料儲存期間及方式、有權限接觸之人及刪除方式; (4)對員工進行隱私保護教育訓練;(5)除非必要,否則請避免蒐集如健康狀況、財務資訊等具敏感性之資料;(6)企業應設置窗口或指定專人,針對顧客權利主張或提出與隱私有關之疑問時進行回應。

歐盟發布未成年網路安全指引

歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》(Guidelines on measures to ensure a high level of privacy, safety and security for minors online,下稱指引),依據《數位服務法》(Digital Services Act)第28條未成年網路保護規定,未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障,且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料,前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務,及其服務面向包含未成年人或主要由未成年人使用,或其提供者知曉部分接收者為未成年人,則該數位平臺可被視為提供未成年人存取,數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡,常見的年齡確認方式有三種:自我聲明、年齡估測、年齡驗證,數位平臺提供者應評估所採方式之必要性及適當性,以最小侵害措施達成高度安全性,並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮,歐洲數位權利組織(European Digital Rights, EDRi)認為政府忽略數位平臺設計與商業模式的根本性問題,依賴年齡認證可能限制未成年人的權利,且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性,但歐盟執委會已將指引作為合規評估標準,使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界,該如何避免未成年人接觸不良網路內容成為許多國家關心的議題,值得持續追蹤相關動態作為我國未成年網路安全政策之參考。

TOP