英國發布國家資料戰略(National Data Strategy)
英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport)於2020年9月9日發布「國家資料戰略」(National Data Strategy),作為英國規劃其政府資料流通運用的整體性框架。數位、文化、媒體暨體育部長Oliver Dowden表示,資料為驅動現代社會經濟發展的關鍵。於今年COVID-19的全球疫情流行期間,政府、企業、組織等彼此及時共享重要資訊,除達成了防疫目標,更維繫了各層面的經濟生活。因此,本戰略則規劃活用此段期間獲得的知識與經驗,試圖透過資料的釋出流通與運用,讓英國經濟自COVID-19疫情中復甦,提高生產力與創造新型業態,改善公共服務,並使之成為推動創新的樞紐。
為優化英國資料的運用,本戰略提出了四個核心面向:(1)資料基礎(data foundation):資料應以標準化格式,且符合可發現(findable)、可取用(accessible)、相容性(interoperable)與可再利用(reusable)的條件下記載;(2)資料技能(data skills):應藉由教育體系等培養一般人運用資料的技能;(3)提升資料可取得性(data availability):鼓勵於公共、私人與第三部門加強協調、取用與共享具備適切品質的資料,並為國際間的資料流通提供適當的保護;(4)負責任的資料(responsible):確保各方以合法、安全、公平、道德、可持續、和可課責(accountable)的方式使用資料,並支援創新與研究。
基此,本戰略進一步提示了五個優先任務:(1)釋出資料的整體經濟價值:建立適切的條件,使資料在經濟體系內可取得且具備可取用性,同時保護私人的資料權(data rights)、以及企業的相關智慧財產權;(2)建構具發展性且可信賴的資料機制:協助企業家與新創人士以負責任及安全的方式使用資料,避免產生監管上的不確定性或風險,並藉以推動經濟發展。同時,也期待藉由機制的建立,鼓勵公眾參與資料的數位經濟應用;(3)改變政府運用資料的方式,提升效率及改善公共服務:以COVID-19疫情期間政府對資料積極運用為契機,推動政府間的整體資料有效管理、使用與共享措施,為相關作法建構一致性的標準與最佳實踐方式;(4)建立資料基礎設施的安全性與彈性:資料基礎設施為國家關鍵資產,應避免其遭遇安全或服務中斷的風險,進而導致資料驅動的相關業務或組織服務中斷;(5)推動國際資料流(international flow of data):與國際夥伴合作,確保資料的流通運用不會因各地域的制度不同,而受到不當限制。
本文為「經濟部產業技術司科技專案成果」
劉純妤
法律研究員 編譯整理
劉純妤,〈歐盟《歐洲資料戰略》〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8433(最後瀏覽日:2020/09/21)。
我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 我國關於個資去識別化實務發展,依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡,實務上爭議在於達到合理利用目的之個資處理,參酌法務部103年11月17日法律字第10303513040號函說明「個人資料,運用各種技術予以去識別化,而依其呈現方式已無從直接或間接識別該特定個人者,即非屬個人資料,自非個資法之適用範圍」,在保護個人隱私之前提下,資料於必要時應進行去識別化操作,確保特定個人無論直接或間接皆無從被識別;還得參酌關於衛生福利部健保署資料庫案,健保署將其所保有之個人就醫健保資料,加密後提供予國衛院建立健保研究資料庫,引發當事人重大利益爭議,終審判決(最高行政法院106年判字第54號判決)被告(即今衛福部)勝訴,法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準,該案之資料收受者(本案中即為衛福部)掌握還原資料與主體間連結之能力,與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用,在於確保社會大眾無法從資料內容輕易推知該資料所屬主體,並有提到關於再識別之風險評估,然而應採行何種標準,並未於法院判決明確說明。 我國政府為因應巨量資料應用潮流,推動個資合理利用,行政院以推動開放資料為目標,104年7月重大政策推動會議決議,請經濟部標檢局研析相關規範(如CNS 29191),邀請相關政府機關及驗證機構開會討論,確定「個人資料去識別化」驗證標準規範,並由財政部財政資訊中心率先進行去識別化驗證;並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191,同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例,第二波示範案例則由內政部及衛生福利部(105年12月通過)接續辦理。 經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術-安全技術-隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術-安全技術-部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication),轉換為國家標準CNS 29100及CNS 29191,並據此制訂「個人資料去識別化過程驗證要求及控制措施」,提供個資去識別化之隱私框架,使組織、技術及程序等各層面得整體應用隱私權保護,並於標準公報(107年第24期)徵求新標準之意見至今年2月,草案編號為1071013「資訊技術-安全技術-個人可識別資訊去識別化過程管理系統-要求事項」(Management systems of personal identifiable information deidentification processes – Requirements),主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項,提供維護並改進個人資訊去識別化過程及良好實務作法之框架,並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 由於前述說明之草案編號1071013去識別化國家標準仍在審議階段,因此以下以現行「個人資料去識別化過程驗證要求及控制措施」(以下簡稱控制措施)[1]說明。 去識別化係以個資整體生命週期為保護基礎,評估資料利用之風險,包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序,分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法(下稱個資法)說明如下:首先,組織應先確定去識別化需求為何,究係對「個資之蒐集或處理」或「為特定目的外之利用」(對應個資法第19條第1項第4、5款)接著,對應重點在於「適當安全維護措施」,依據個資法施行細則第12條第1項規定,公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施;而依據個資法施行細則第12條第2項規定,適當安全維護措施得包括11款事項,並以與所欲達成之個資保護目的間,具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法: 一、隱私權政策 涉及PII處理之組織的高階管理階層,應依營運要求及相關法律與法規,建立隱私權政策,提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」,即為涉及個資生命週期為保護基礎之管理程序,從蒐集、處理到利用為原則性規範,以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 組織蒐集、處理、利用PII應符合之11項原則,包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」,以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫,且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者,組織於進行去識別化處理時,應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 此章節為選驗項目,需具體依據組織去識別化需求,是否需要重新識別而決定是否適用;若選擇適用,則保留重新識別可能性,應回歸個資法規定保護個資。 參、小結 國際上目前無個資去識別化驗證標準及驗證作法可資遵循,因此現階段控制措施,係以個資整體生命週期為保護基礎,評估資料利用之風險,使組織能建立個資去識別化過程管理系統,以管理對其所控制之個人可識別資訊進行去識別化之過程,透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項,內化為我國業者因應資料保護與資料去識別化管理制度。 控制措施預計於今年下半年發展為國家標準,遵循個資法與施行細則,以及CNS 29100、CNS 29191之國家標準,參照國際上相關指引與實務作法,於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性,業者視需要評估導入,仍建議進行巨量資料應用等資料經濟創新業務,應重視處理個資之適法性,建立當事人得以信賴機制,將有助於產業資料應用之創新,並透過檢視資料利用目的之合理性與必要性,作為資料合理利用之判斷,是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心,個人資料去識別化過程驗證,https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx(最後瀏覽日:2019/6/4) 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容,該網站並未公告「個人資料去識別化過程驗證要求及控制措施」,故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。
美國總統拜登簽署「改善國家網路安全」行政命令美國總統拜登於2021年5月12日簽署「改善國家網路安全」總統行政命令(Executive Order on Improving the Nation’s Cybersecurity),旨在增進美國政府與私部門在網路安全議題的資訊共享與合作,以加強美國對事件發生時的因應能力。本命令分從數個面向達成前述目標,分別為: (1)情資共享之強化:消除威脅政府與私部門之間資訊共享的障礙,要求IT與OT服務者偵測到可疑動態時,與政府共享相關資訊與相關安全漏洞資料,簡化並提高服務商與聯邦政府系統服務合約之資安要求。 (2)現代化聯邦政府網路安全:針對聯邦政府網路,建構更現代化與嚴格的網路安全標準,並採取零信任架構,例如應強化雲端服務與未加密資訊之共享機制,包括由公眾直接透過WiFi連網取得或下載之資訊網頁等,針對其建構安全機制、更新加密金鑰與建構新的安全工具。 (3)強化軟體供應鏈安全:提高軟體供應鏈安全性,包括要求開發人員提高其軟體透明度、公開安全資料、利用聯邦資源促進軟體開發市場,以及建構軟體認證,使市場更容易確定該軟體的安全性。 (4)建立資安審查委員會:建立由公私部門共同合作的資安審查委員會(Cybersecurity Safety Review Board),針對重大資安事件做及時的回應、,並進行獨立第三方之審查與建議。 (5)標準化聯邦政府應對資安弱點及資安事件的教戰手冊:建構聯邦政府因應資安事件之資安事件教戰手冊,使聯邦政府得以及時並一致地回應網路攻擊事件。 (6)改進對聯邦政府網路資安弱點及資安事件之偵測:清查聯邦政府端點,改善聯邦政府對資通安全事件的偵查能力,並進一步布建強大的端點監測和回應系統(Endpoint Detect and Response, EDR)。 (7)提升聯邦政府調查與補救之能力:提升資訊安全事件調查與補救能力,並透過更頻繁與一致的資安事件日誌來減緩駭客對聯邦政府網路的入侵。 (8)建制國家安全系統:要求聯邦政府部門採用符合相關網路安全要求之國家安全系統。 本行政命令是美國政府在美國油管遭駭事件後,對相關事件之具體因應。本行政命令雖主要著眼於聯邦政府的網路安全,但亦透過總統行政命令鼓勵私部門在網路安全核心服務上加強合作與投資。預計美國在此總統行政命令基礎上,將有進一步強化公私合作的措施與資源挹注。
美國提出加速營業秘密盜竊調查的相關立法2021年6月,美國有多位參議員針對營業秘密保護提出立法建議,目的是要讓認為自己的智慧財產權受到竊取的企業,可阻擋盜竊其營業秘密者的相關產品進口到美國。 參議員John Cornyn和Christopher Coons提出藉由修改1930 年的關稅法(Tariff Act),在美國國際貿易委員會(International Trade Commission,簡稱ITC)中設立新的委員會,並由美國司法部長(Attorney General)領導,負責調查背後為國外政府支持之競爭對手的智慧財產權盜竊指控。智慧財產權所有者可透過提交經宣誓的聲明書提出指控,或由司法部長辦公室提出指控。此立法設定30天的調查期限讓調查人員決定是否在冗長的審查展開時停止其產品進口。該法案將適用於來自任何國家的進口產品,但據了解,目前大部分的智慧財產盜竊指控都是來自於中國大陸公司。 雖然在ITC已有類似的程序可提出救濟,但在現行制度下需要的時間過長,最近一年在ITC進行的調查平均時長為19個月。透過此法案設計的制度,將使有關當局在調查營業秘密盜竊指控時,可更容易地阻止因竊取營業秘密而製造出的產品進口到美國。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
英國、新加坡領導全球發布供應鏈勒索軟體防護指引在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下,英國於10月24日發布「全球性供應鏈勒索軟體防護指引」(Guidance for Organisations to Build Supply Chain Resilience Against Ransomware),該指引係由英國與新加坡共同領導的「反勒索軟體倡議」(Counter Ransomware Initiative, CRI)框架下推動,旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持,標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部(UK Home Office)指出,勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告(Cost of a Data Breach Report 2025)估計,單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進,勒索攻擊已由單點入侵擴大為透過供應鏈滲透,攻擊者常以第三方服務供應商為跳板,一旦供應商遭入侵,即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件,即造成數千次門診與手術延誤,凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向,英國政府與CRI強調,企業應在營運治理、採購流程與供應商管理中系統性導入相關措施,包括: 一、理解供應鏈風險的重要性 在高度互聯的數位環境中,供應鏈已成為勒索軟體攻擊的主要目標,企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊,評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排,以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施,包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時,合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制,並鼓勵供應商採用國際資安標準,例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形(Near Miss,即近乎事故),不論是否構成正式資安事件,均應納入檢討範圍;並定期進行資安演練、共享威脅情資,依攻擊趨勢滾動修正合約與內部規範。 指引同時指出,供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性,以及資安稽核與驗證機制不足。英國政府與CRI亦強調,雖然網路保險可作為風險管理工具之一,但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業,顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構,以強化全球數位經濟的整體韌性,降低勒索軟體攻擊帶來的系統性風險。