今(2021)年10月發布的2021年全球創新指數(GII)報告反映了創新如何塑造和維持世界的運作,最明顯的例子就是COVID-19疫苗的快速發展。此外,數位創新也提供了公部門和私部門應對大流行病浪潮的解決方案,例如接觸者追踪工具、應用程序和診斷方法等。
實際上在2020年9月,也就是COVID-19被宣佈為大流行病的六個月後,第13屆年度GII就預測了未來一年的研發支出將保持強勁。儘管大流行病造成了毀滅性的人員傷亡和經濟衝擊,但研發支出、智慧財產權申請和創業投資(VC)交易都在大流行病前的高峰上持續增長。
在2021年的GII報告中提到,在全球研發支出前2,500名的企業中,約有70%已發布了2020年的研發支出數據,從數據中可發現在2020年整體大約有10%的研發支出增長,且大約60%的企業聲稱其研發支出增加。在智慧財產權方面,向世界智慧財產權組織(WIPO)提交的國際專利申請在2020年創下歷史新高。2020年專利申請在醫療技術、製藥和生物技術呈現明顯增長,與前幾年形成鮮明對比,當時數位通信和電腦技術是增長最快的領域。與健康相關領域的專利活動反映了大流行病期間科學活動的持續增長,且鑑於最近醫療保健與加速數位化的研發突飛猛進,可以預期這些領域的專利申請將在未來幾年繼續強勁增長。
英國公平貿易署(Office of Fair Trading,簡稱OFT)公布於2007年底針對網路商店是否遵守消費者保護相關規範進行調查之結果,該項調查選定超過500家購物網站,就其是否遵守消費者保護法令,例如是否於網站上告知其公司所在地址、是否善盡告知消費者相關權利之義務、以及是否踐行標價透明化之規定等實際運行狀況進行調查統計。結果顯示,近乎有31%的網站並未確實遵守歐洲法律對於遠距交易的全額退費規範;有15%並未告知消費者其享有7天鑑賞期之權利;有14%的網站未告知確切之地址;另有40%的網站並未完全將價錢透明化,尤其並未告知商品於標示價格外必要之附加費用,而係於結帳時方告知,故OFT統計,每年消費者因此繳付的非預期費用總計約達一億英鎊。 於英國,消費者進行網路購物,受到遠距販售與電子商務相關規範之保護,例如2000年通過的消費者保護(遠距販售)規則(The Consumer Protection (Distance Selling)Regulations 2000)即就遠距交易中最重要的消費權利保障事項加以規範,此一法規主要適用於企業對消費者的組織性遠距交易活動,惟並不適用於與不動產買賣、金融服務提供、自動販賣設施、利用公共電話進行之行銷以及拍賣行為。主要規範重點,包括交易完成前必要資訊之提供、猶豫期內隨時解除契約之權限、契約解除權之例外、解約後獲得費用返還之權利、消費者返還貨品之義務、卡片付款受詐欺之解約權利等。
東京大學活用有限合夥組織制度扶植新創東京大學活用有限合夥組織制度扶植新創 資策會科技法律研究所 法律研究員 朱啟文 104年08月28日 為鼓勵創投業挹注資金,扶植科技等新創事業,發展諸如電影、舞台劇等文創產業,經濟部參考英、美、新加坡等國家制度,制定「有限合夥法」,希望吸引國外資金來台投資,健全創新創意環境。立法院於2015年6月5日三讀通過「有限合夥法」草案[1],創投與電影、舞台劇等文創產業,可允許以信用、勞務或其他利益出資,讓「創意」成企業資產一部分,培育更多吳寶春、李安或是科技新創事業。 有限合夥制度採投資者與經營者分離,由普通合夥人與有限合夥人共同組成。普通合夥人提供創意或技術,是實際經營業務者,對有限合夥的債務負無限責任;有限合夥人提供資金,但不實際參與經營,僅就出資額負有限責任。日本關於有限合夥制度已經施行近20年,東京大學亦採用此制度協助新創企業,在初期孵化階段取得種子資金,能夠順利發展逐漸茁壯,其實際如何管理運用有限合夥資金,是未來「有限合夥法」上路後,我國學研機關可以學習參考的方向。 壹、日本「投資事業有限合夥法」 日本於1997年制定了「中小企業投資有限合夥法」(中小企業投資有限責任組合契約に関する法律),並於2004年放寬投資事業之客體,不限於未公開上市之中小企業,同時更名為「投資事業有限合夥法」(投資事業有限責任組合契約に関する法律[2])。而依「投資事業有限合夥法」規定,由普通合夥人及有限合夥人所共同組立之合夥組織即為「投資事業有限合夥」(投資事業有限責任組合)。該法中包括有限合夥人僅以出資為限對合夥債務負清償責任,以及普通合夥人於各事業年度經過後三個月內,必須準備各項財務報表資料供其他合夥人及合夥之債權人查閱等規定,均有效提高了投資事業有限合夥募集資金的效果。 貳、東大尖端創投公司(株式会社東京大学エッジキャピタル) 2004年日本國立大學法人化改革正式開展,除使大學能掌握其產出之研發成果外,更促使大學授權其研發成果來成立衍生新創企業。此改革承續美國拜杜法案的立法精神,將研發成果由政府下放至大學,促使大學積極利用自有之智慧財產權。東京大學在該時空背景下,設置了校內單位產學連攜本部DUCR及東大技轉TODAI TLO、東大尖端創投UTEC二個獨立公司,彼此合作推廣相輔相成,是東大產學合作的黃金三角。東京大學將三個組織辦公室均設在東京大學產學連攜廣場大樓(University Corporate Relation Plaza),集中辦公讓業務上合作更為便利。東京大學另於2007年6月完竣的「企業家廣場孵化室[3]」,則作為提供創業支援、知識產權戰略管理及產學合作計畫協助之場所。 東大尖端創投公司[4](The University of Tokyo Edge Capital Co., Ltd.,以下簡稱「UTEC」)成立於2004年4月1日,係由「一般社團法人東京大學產學合作支援基金」投資所成立之創投公司(資本額1,000萬日元),為獨立於東京大學的私法人機構,其成員目前有5位董事、1位監察人及10名正式員工。2004年起UTEC管理運作的資金計有285億日幣,這些資金主要用來中長期投資與東京大學相關的新創項目,包括人才活用、共同研究、智財運用等,投資目的希望能實現將學術成果及人才還原給社會、提升創新及收益,形成良性的經濟活力循環。 負責營運UTEC 的專業成員[5]包括有創投家、政策制定者及博士等。UTEC優勢在於有東京大學作為其後盾,擁有全日本最頂尖研發技術與人才供其篩選。復以日本願意投資早期階段之創投公司不多,使得UTEC在此領域有傑出績效表現。2007年10月開始UTEC 辦理在校創業家EIR 計畫(Entrepreneur In Residence Program),對東京大學內部產生的商業構想概念實施創業育成輔導工作,提供包括辦公空間(企業家廣場孵化室)、創業資金及聘請專家協助修正營運計畫書(Business Plan)等服務。 UTEC在經營上勇於承擔投資創新技術所可能帶來的風險,也願意在新創公司的早期階段(Seed / Early Stages)投入資金換取公司股份,秉持「日本最先進風險投資公司」的經營理念,希能建立早期支援的風險投資模式,將校園研發成果進行商業化實踐。投資策略上UTEC主動介入投資事業有限合夥所出資的公司,並指派投資經理人與投資公司建立長期承諾,而UTEC 亦會積極參與公司成長後續階段之投資。截至2014年4月止,UTEC已經投資了51家新創企業,其中有9家IPO和7家接受併購(M&A)。 參、「投資事業有限合夥」資金管理模式 UTEC的資金不只來自於東京大學,而是透過另外成立3個[6]「投資事業有限合夥」,接納外部投資家之投資作為基金進行營運。具體架構上,UTEC在「投資事業有限合夥」中扮演普通合夥人[7](業務執行者),而有限合夥中的其他出資者則擔任有限合夥人(投資家)之角色。此架構與國外私募股權基金常見作法雷同[8]。對於東京大學而言,好處在於其可透過UTEC此一有限責任公司擔任普通合夥人方式形成屏障,與其自身現有的資產作風險隔離,避免普通合夥人的無限責任直接影響東京大學本身之財務。 UTEC成立的第一個投資事業有限合夥,是2004年7月1日的「UTEC 1號投資事業有限合夥(ユーテック一号投資事業有限責任組合)」,規模為83億400萬日元存續期間至2014年12月31日止(最多得延展1年);第二個是2009年7月31日成立的「UTEC 2號投資事業有限合夥(UTEC2号投資事業有限責任組合)」,規模為71億4800萬日元,更新投資期間至2014年7月30日,存續期間至2019年6月30日止(最多得延展2年);目前最新成立、金額也最高的是2013年10月15日成立的「UTEC 3號投資事業有限合夥(UTEC3号投資事業有限責任組合)」,規模為145億7400萬日元,更新投資期間至2018年10月14日,存續期間至2023年12月31日止(可得延展)。 肆、評析 在創投資金方面以美國為例,「天使」與「創投」可被視為好的「創業種子」的篩選者,是美國經濟發展的火車頭。經由天使與創投的活動,學研單位的研發成果才有商品化及產業化的契機。依2014年資料,美國每年創投資金大約為新臺幣6千億元,中國大陸於2011年為新臺幣8千億元,但我國目前每年創投資金大約僅有新臺幣20億元[9]。我國的創業天使大多為創業者的親朋好友,專業度往往不足,國際創投對臺灣新創事業的關注也有限,而我國的科研經費在無豐沛的海外資金支援下,我國的新創事業在早期階段經常無法取得成長所需的資金。 對此,今年度我國「有限合夥法」的通過,為新創事業資金不足問題的解決帶來了契機。然而,從前揭東京大學UTEC「投資事業有限合夥」的操作及管理模式觀之,我國若要完整援用此等操作架構,除了「有限合夥法」外,尚有待其他配套法令跟進鬆綁。詳言之,應考慮鬆綁大學出資設立企業的相關限制,開放國立大學可以校務基金捐助成立獨立於學校外部「產學營運中心」,並透過該中心投資成立創投公司擔任普通合夥人角色。如此一來,可在兼顧財務風險下,以更為彈性之獎勵與人才聘僱制度,吸引具有專業經驗投資經理人或相關人才投入校園新創,取得更多國內外資金挹注新創事業之發展。 [1]周志豪,〈有限合夥法三讀 創意將成企業資產〉,聯合新聞網,財經焦點,2015/06/06,http://udn.com/news/story/ (最後瀏覽日:2015/09/10)。 [2]投資事業有限責任組合契約に関する法律(LPS法),http://www.meti.go.jp/policy/economy/keiei_innovation/sangyokinyu/kumiaihou.htm(最後瀏覽日:2015/09/10)。 [3]東京大学アントレプレナープラザ,http://www.ducr.u-tokyo.ac.jp/jp/venture/entre_plaza.html (最後瀏覽日:2015/09/10)。 [4]株式会社東京大学エッジキャピタル,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e8150e4_0/(最後瀏覽日:2015/09/10)。 [5] UTEC チーム & ファーム理念,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e782b5b_0/(最後瀏覽日:2015/09/10)。 [6] UTEC 運営ファンド,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e815110/(最後瀏覽日:2015/09/10)。 [7]「普通合夥人」雖然負責管理執行私募股權基金業務,但實務上幾乎都會另外委任投資經理人來提供投資建議,投資經理人直接對普通合夥人負責。由於普通合夥人對外負無限責任,委任投資經理人能夠把從普通合夥人收取到的報酬隔離於無限責任範圍外,而保留在投資經理人手中。事實上,多數的股權私募基金真正的發起人就是投資經理人,普通合夥人只是投資經理人為了發起私募股權基金另外設立的新實體。 [8]許杏宜,〈有限合夥法最新草案之評析-兼談私募股權基金之運作〉,《全國律師》,第19卷第3期,頁40-51 (2015)。 [9]丁靜雯,〈從實驗室到市場—我國科技創新政策之探討〉,《科技部自行研究計畫成果報告》,頁44 (2014)。
解析雲端運算有關認驗證機制與資安標準發展解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。 在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。 值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。 雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。 在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。 在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。 舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。 二、CSA雲端安全登錄機制 由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。 (一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。 (二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。 資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。 此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。 [10]日本経済産業省,〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉,頁36(2011)年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。 [12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。 [13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).
加拿大隱私專員辦公室針對聯邦廣播與電信修法提出隱私權與個資保護建議加拿大隱私專員辦公室(Office of the Privacy Commissioner of Canada, OPC)於2019年1月11日就其聯邦廣播通訊法(Radiocommunication Act, RA)與電信法(Telecommunications Act, TA)提出隱私權與個資保護建議。現行加拿大聯邦廣播通訊法針對個資保護並無特別立法,而其電信法第七條雖有提及要注重個資隱私,卻無實質責任規範。惟廣播與電信公司蒐集、處理及利用個資時,如何確保當事人之個資隱私受到保護,就此加拿大隱私專員辦公室提出三點修法建議。 一、電信法及廣播通訊法應包含哪些隱私安全與資訊安全之概念? 基於人民將大量敏感個資委託給電信業者,以獲得互聯網、電話及電視通信便利服務。惟個人資訊不但具有龐大商業價值,對於執法機關和情報安全機構也具有相當利益。基於以下因素,加拿大隱私專員辦公室建議制定電信業者更新之安全機制與公共安全義務。 保護措施 現行法規之保護措施應該適用於現代通訊工具,所有設備儲存與傳輸之敏感性個資都應受到保護,而非僅限於被使用之個人資訊。 門檻提升 數據蒐集之法律標準需加強,提升隱私保護。 保存期限要求 除法律特別規定之保存期限外,相關通訊數據保存應於最短時間內刪除,通盤完整保留數據為不必要之風險。 強制協助命令 強制監督 關於電信商既已存在之標準,監視與保留通訊之數據,依據政府要求提供者,政府須解釋其合理性。 透明度 除加拿大電信商提供年度報告,政府單位依據合法授權來請求加拿大客戶數據之情況下,應有相關報告以示公平。 二、政府管理政策與產業治理之有效性衡平 鑑於資訊技術與商業模式蒐集數據為不透明,普通消費者根本無從得知個人資訊是如何被取得及利用分享,當事人較難根據資訊來識別問題,亦難區別是否當事人是否為有效性之同意,故加拿大隱私專員辦公室認為其應該有權審核或檢查電信業者使用技術範圍內之事務,以確保現實情況與隱私法規範保護一致。故應使加拿大隱私專員辦公室能與其他聯邦監管機構(Canadian Radio-television and Telecommunications Commission, CRTC加拿大廣播電視和電信委員會與加拿大競爭局)共享資訊,並授予加拿大隱私專員辦公司發布命令與實施行政罰鍰之權力,且允許其進行積極之合規性審查。 三、立法設計中應包含消費者保護、權利行使及可及性 加拿大人民享受數位經濟帶來之好處,同時希望個人資訊之利用為無疑慮地,人民相信政府及立法機關會做好保護措施。惟目前加拿大之隱私立法仍為相當寬鬆,近期相關數據洩漏事件亦已證實電信公司無法善盡管理負責任,透明度與問責制度皆不足,相關消費者保護與權利行使皆須更完善,並需要更多資金進行改善。 加拿大個人資料保護和電子文件法(Personal Information Protection and Electronic Documents Act, PIPEDA)個資隱私法下,公司或組織於所提供服務相關時,可獲取、使用及共享資訊,但在提供服務之資訊外,尚有許多資訊共享於其他目的。電信公司蒐集日常生活資訊,針對敏感性個資,隱私法規範為明確的,但若個人數據非敏感性,則會帶來許多隱含空間,當事人是否為有意義之同意?加拿大隱私專員辦公室認為他們應該要有更多法律權力,透過執法確保電信數據生態系統之信任,並整合聯邦與省之法規。政府與業者創新使用數據皆能受到監管,於事件未發生時,則有前端監督其合規性,將使市場有明確性,且能向人民進一步保證其關注將獲得解決。