逝者已矣,已不再是定律。2020年2月,韓國文化廣播公司(MBC)播放了一部紀錄片,紀錄了電視台製作團隊實現一位母親以虛擬現實VR(virtual reality)與已逝女兒重逢的過程,製作團隊透過動態捕捉技術,錄下一位兒童演員的動作,用以塑造往生者的行為動態,並重現還原往生者的聲音,製作出往生者的的三維虛擬影像。葡萄牙Henrique Jorge公司建立一個名為ETER9的社交網路,將每位用戶與AI進行配對,AI會學習複製該用戶於社交網路之行為,並可代其發表回覆與評論,即使其用戶已往生,AI仍持續運行。現今許多科技新創公司正著手研究「數位來生」,使往生者於數位中重生。
牛津網際網路研究所(Oxford Internet Institute)的一項最新研究顯示,估計約50年後,Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫,曾經創建過個人資料的用戶都不復存在,但他們的數位資訊卻永存於網際網路中,但在多數國家,往生者的資料並不是個人資料保護法令所含括的保護客體,往生者個人資料之運用勢必成為道德與法律上的重要課題。
英國阿斯頓大學的Harbinja教授表示,或可由遺囑中有無處置往生者個人資料之指示作為參考,但其亦表示在某些國家存在無法保證遺囑可得完全兌現的問題,例如,在英國遺囑中決定了個人資料的處理方式,仍可能僅被視為是個人意願,類似遺囑中選擇火葬的決定仍可能被執行者和繼承人推翻,且無法強制執行。
我國個人資料保護法施行細則第2條規定:「本法所稱個人,指現生存之自然人。」,所保護的個人資料對象是指「現生存有生命」的自然人,並不包括「往生者」,而歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利,例如匈牙利規定本人可指定特定人或由直系親屬行使本人往生後之權利、西班牙則規定繼承人有權行使GDPR第15條資料查詢權、第16條更正權和第17條刪除權,而義大利則規定親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權力。ETER9便可讓用戶設置死後停止AI代替回覆的功能,也可以指定授權往生後的帳號負責人。在數位來生的議題中,我國應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式,進而探討我國對往生者個人資料運用之相關議題。
澳洲政府2017年07月14日宣布提案立法新資安法規,強制要求跨國科技公司如社群網站Facebook與設備製造廠商Apple等,需配合法院命令,協助解鎖通訊APP的加密訊息,利於政府監控攔截犯罪嫌疑人的加密訊息。澳洲政府同時宣布會在2017年11月前提案,預期在幾個月內通過。 澳洲總理Turnbull表示相關提供加密語音及訊息的APP已在日常生活中使用,根據法案,前述相關網路科技公司,將與電信公司負有相同義務協助執法單位解讀加密訊息。Turnbull表示,儘管政府已成功阻止部分激進份子案例,但由於訊息加密技術日益發展,執法機構愈來愈難取得諸如恐怖分子、販毒者與戀童癖的聯絡訊息,執法單位需要更多支援,以確保網路不會成為犯罪溫床。 澳洲預期成為首個立法監管網路加密語音及訊息APP的國家,目前英國與法國皆在研擬監管加密語音及訊息的法規,同時美國、英國、加拿大、澳洲與紐西蘭組成的「Five Eyes」情報共享聯盟,也在2017年07月將相關議題列入討論。 Facebook表示將抵制Turnbull政府的反加密立法,認為現行已有與安全部門共同合作機制,該法案並無實際用途,在無配套措施的情況,該法也無法實施。Apple執行長Tim Cook 則堅定回應,排除任何可能損及產品安全性的政府合作關係。
資通安全管理法之簡介與因應資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 隨著網路科技的進步,伴隨著資安風險的提升,世界各國對於資安防護的意識逐漸升高,紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量,我國於107年5月經立法院三讀通過「資通安全管理法」(以下簡稱資安法),並於同年6月6日經總統公布,期望藉由資通安全管理法制化,有效管理資通安全風險,以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外,另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法,建置了我國資通安全管理之法制框架。然而,資安法及相關子法於108年1月1日實施後,各機關於適用上不免產生諸多疑義,故本文擬就我國資通安全管理法之規範重點為扼要說明,作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 資安法所規範之對象,主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義,指依法行使公權力之中央、地方機關(構)或公法人,但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣(市)政府機關、依公法設立之法人(如農田水利會[1]、行政法人[2])、公立學校、公立醫院等,均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊,故資安法排除軍事及情報機關之適用[3]。 特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。目前各關鍵基礎設施領域,預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 此外,政府捐助之財團法人,依該法第3條第9項之規定,指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人,則非屬資安法所稱特定非公務機關之範圍。公營事業之認定,則可參考公營事業移轉民營條例第3條之規定,指(一)各級政府獨資或合營者;(二)政府與人民合資經營,且政府資本超過百分之五十者;(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 資安法之責任架構,可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段,分述如下: (一)事前規劃 就事前規劃部分,資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」,使各機關得據此落實相關之資安防護措施,各機關並應依據資通安全責任等級分級辦法之規定,依其重要性進行責任等級之分級,辦理分級辦法中所要求之應辦事項[5],並將應辦事項納入安全維護計畫中。 此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 (二)事中維運 事中維運部分,資安法要求各機關應定期提出資通安全維護計畫之實施情形,上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件,應於機關知悉資通安全事件發生時,於規定時間內[7],依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施,以避免資通安全事件之擴大。 (三)事後改善 在事後改善部分,如各機關發生資通安全事件或於稽核時發現缺失,則均應進行相關缺失之改善,提出改善報告,並應針對缺失進行追蹤評估,以確認缺失改善之情形。 三、情資分享 為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。情資分享義務原則於公務機關間,就特定非公務機關部分,為鼓勵公私間之協力合作,故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 我國已於107年1月將政府資安資訊分享與分析中心(G-ISAC)調整提升至國家層級並更名為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)。透過情資格式標準化與系統自動化之分享機制,提升情資分享之即時性、正確性及完整性,建立縱向與橫向跨領域之資安威脅與訊息交流,以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 為使資安法之相關規範得以落實,資安法就公務機關部分,訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準,而獎懲辦法適用之人員,除公務人員外,尚包含機關內部之約聘僱人員。就特定非公務機關部分,資安法則另訂有相關之罰則,針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。 參、事件評析 公務機關及特定非公務機關為落實資安法之相關規範,勢必投入相關之資源及人力,以符合資安法之要求。考量公務機關或特定非公務機關之資源有限,故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌,以避免資源或相關措施重複建置,以下則列舉幾點建議: 一、風險評估與安全措施 資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制,與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似,故各機關於適用上可協調內部之資安與隱私保護機制,共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 三、委外管理監督 資安法第9條要求機關負有對於委外廠商之監管義務,個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同,惟均著重對於資料安全及隱私之保護,故各機關可從資料保護層面著手,訂定資安與個人資料保護共同之檢核項目,來進行委外廠商資格之檢視,並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 資安法施行細則第6條要求於建置安全維護計畫時,須先進行內部之資產盤點及分級,而個人資料保護法施行細則第12條中,則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時,可建立內部共同之資料盤點清單及資料管理措施,並增加資料使用軌跡紀錄,建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定,軍事機關指國防部及其所屬機關(構)、部隊、學校;情報機關指國家情報工作法第3條第1項第1款(包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊)及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定,行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關。 [4] 羅正漢,〈臺灣資通安全管理法上路一個月,行政院資安處公布實施現況〉,iThome, 2019/02/15,https://www.ithome.com.tw/news/128789 (最後瀏覽日:2019/5/13)。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級,各機關應依據其責任等級應從管理面、技術面及認知與訓練面向,辦理相應之事項。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後,應於1小時內依規定進行資通安全事件之通報;如為第一、二級資通安全事件,並應於知悉事件後72小時內完成損害控制或復原作業,第三、四級資通安全事件,則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉,行政院國家資通安全會報技術服務中心,https://www.nccst.nat.gov.tw/NISAC(最後瀏覽日:2019/5/14)。
歐盟執委會將修正ePrivacy指令ePrivacy指令修正背景 原資料保護指令將於2018年由一般資料保護規則所取代,在此一背景下,電子隱私指令除補充資料保護指令外,亦訂定關於在電子通訊部門的個人資料處理的具體規則。具體作法,如在利用流量和位置資訊於商業目的之前,應徵得用戶的同意。在ePrivacy指令未特別規定的適用對象,將由資料保護指令(以及未來的GDPR)所涵蓋。如,個人的權利:獲得其個人資料的使用,修改或刪除的權利。 歐盟執委會為進行ePrivacy指令(Richtlinie über den Datenschutz in der elektronischen Kommunikation)改革,於2016年8月4日提出意見徵詢摘要報告,檢討修正ePrivacy指令時著重的的幾個標的: (1)確保ePrivacy規則與未來的一般資料保護規則之間的一致性。亦即評估現有規定是否存在任何重複、冗餘、不一致或不必要的複雜情況。(如個人資料洩漏時的通知) (2)指令僅適用於傳統的電信供應商,而在必要時應該以新市場和技術的現實的眼光,重行評估更新ePrivacy規則。對於已成為電子通信行業新興創新的市場參與者,如:提供即時通訊和語音通話(也稱為“OTT供應商”),由於目前不需要遵守ePrivacy指令主要規定,而應納入修正對象。 (3)加強整個歐盟通訊的安全性和保密性。ePrivacy指令在規範上,確保用戶的設備免受侵入、確保通信的安全性和保密性。本指令第5條第3項,儲存資訊、或近用已存儲在用戶設備之資訊,需得其的同意。該條款的有效性已有爭論,因為新的追踪技術,如:指紋識別設備可能無法被現有的規則所涵攝。最後,有認需得同意的例外規定列表,有必要延伸到對資訊之其他非侵入性的儲存/近用:如網路分析等。這些都是應予以仔細評價和檢視之對象。 公眾諮詢摘要報告內容 經過4月13日到7月5日的公眾諮詢,歐盟執委會於8月4日提出報告。 諮詢意見主要來自德(25.9%)、英(14.3%)、比(10%)、法(7.1%)的回覆。 一、是否有必要在電子通訊部門訂定隱私特別規定? 市民與公民團體咸認有必要在電子通訊部門,甚至流量資料和位址資訊也應該訂定新規(83%)、企業則認為無甚需要,只有在秘密性規則(31%)與流量資料(26%)有需要訂定;主管機關則咸認需要特別規定。 二、現行指令是否已足達成其立法目的?76%市民和公民團體認為未達立法目的,理由如下: ePrivacy指令的範圍太狹小,不包括即時訊息、語音通話(VoIP)和電子郵件應用服務。 規範太模糊,導致會員國之間適用結果和保護程度的差異、不一致。 法律遵循的程度展法程度太差。 三、是否應為新通訊服務訂定新規? 76%市民和公民團體認為適用範圍應該涵蓋到OTT上。
歐洲議會批准提升線上平台商業行為公平性之新規則有鑑於線上市集(如Google Play)、訂房網站等線上平台提供了迅速進入國際消費市場之機會, 因此成為了數百萬企業提供服務的首選之地。然而,存在於「平台對商家」(platform–to-business, P2B)之間的某些結構性問題,卻導致了企業之間的不公平交易行為。是以,歐洲議會、歐盟理事會與歐盟執委會於2019年2月14日就「提升線上中介服務商業用戶的公平性與透明性規則」(Regulation on promoting fairness and transparency for business users of online intermediation services),達成政治協議,歐洲議會並已於2019年4月17日批准。 該規則為全世界第一個針對線上平台與商業用戶訂定之規則,係數位單一市場策略(Digital Single Market Strategy)的一部分,預計適用於整個線上平台經濟,亦即,目前在歐盟境內營運的7000個線上平台或市集都包含在內,無論是科技巨擘,抑或是規模雖小但對商業用戶具重要議價能力的新創公司(small start-ups)皆屬之。此外,新規則中涉及搜尋結果排序透明度之部分,亦將適用於搜尋引擎。 其中,由於數以百萬計的中小企業是構成歐盟經濟的重要支柱,是以此番訂定的新規則,係專門針對此些較無議價能力的中小企業而設計。中小企業可自新規則中獲益之項目主要有四: 1. 禁止特定不公平行為 (1) 不得突然且未附理由的暫停帳號使用權 線上平台不得在無明確理由或未提供申訴可能性之情況下,暫停或終止賣家帳戶。 (2) 條款與條件需簡明易懂且變更時須提前通知 條款與條件需易於取得且以簡明易懂之文字書寫,當條款與條件有所變更時,線上平台需在15天之前通知,使賣家得即時調整業務,並可視業務調整複雜度適時延長通知期間。 2. 提升線上平台透明度 (1) 排序透明化 市集與搜尋引擎需揭露其排序商品或服務的主要參數,以利賣家進行適度優化。 (2) 強制揭露線上平台的部分商業行為 由於部分線上平台除了提供市集促進交易進行,更在該市集中身兼賣家之角色,是以,為維護公平競爭的環境,新規則強制此些線上平台全面揭露任何可能給予自家產品的優勢。此外,該等線上平台還需揭露所蒐集之資料及使用方式,尤其是與其他商業夥伴共享之資料。當涉及個人資料時,則有一般資料保護規則(General Data Protection Regulation, GDPR)之適用。 3. 增設爭端解決機制 (1) 建立投訴處理系統 線上平台應建立內部投訴處理系統以對商業用戶提供適當協助。 (2) 設置調解程序 線上平台應提供調解之協助,以助賣家在法庭外解決爭議,有效節省時間與金錢。 4. 規則之實施 商業公會能對違反規則之線上平台提起告訴,以降低賣家對平台報復行為的恐懼,並降低個別賣家的訴訟成本。 在歐洲議會批准後,一旦歐盟理事會同意,新規則將在公布後12個月後正式施行,且為了確保新規則與時俱進,歐盟將在適用後的18個月內進行檢視,並設立專門的線上平台觀測站(Online Platform Observatory),以監控市場的變化,並確保新規則有效施行。