歐洲議會於2022年初通過數位服務法(DSA)
歐洲議會(European Parliament)於2022年1月20日通過數位服務法(Digital Services Act),該法旨在監管線上服務提供者(online service providers),為線上服務接受者提供更安全線上空間,包含要求線上平臺應(1)打擊線上非法服務或內容;(2)提供通知並刪除/下架(notice and action)機制,不得有差別性或任意性對待;(3)提供無廣告追蹤(tracking-free ad)選項,和禁止將未成年人資料用於定向廣告(targeting advertising);(4)對於線上平臺課以行政責任,如:超大型線上平臺(very large online platforms, VLOP)若故意或過失違反義務,最高罰鍰可被處以前一會計年度總營業額6%,或按日連續處罰最高可處前一會計年度平均每日營業額5%。若可能致危害生命或人身安全,主管機關亦可勒令其停止提供服務;(5)強制性風險評估和提高演算法透明度,以打擊有害內容(harmful content)和虛假資訊。
數位服務法所規範的服務主要有四種類型,四種服務提供者負擔累計義務(cumulative obligation),其中VLOP被賦予最多責任,因其對於散布非法內容並造成社會危害具有特殊風險,須具備風險減緩、獨立稽核等機制。相關服務定義如下:
(1)中介服務提供(Intermediary Service):提供網路基礎建設服務。
(2)託管服務提供(hosting service):由服務接受者提供資訊並應其要求提供資訊儲存服務,例如:雲端儲存服務、網站主機代管等服務。
(3)線上平臺(online platform):包含類型線上市集、應用程式商店、以及社群媒體平台。
(4)VLOP:每月平均歐盟境內活躍用戶達4500萬以上或人口10%之線上平臺。例如:Google、Facebook及YouTube。
此數位服務法草案最早在2019年年底提出,歐洲議會於今年投票通過後,尚待歐盟理事會(Council of the European Union)審查同意後,此法即正式發布施行。歐洲議會於審查所提出之修正建議,除針對前述五大重點外,還特別強調對於微中小型企業(MSMES)相關義務的免除,以及禁止線上平臺使用欺瞞(deceiving)或助推(nudging)方法影響消費者購物選擇。
- Digital Services Act: regulating platforms for a safer online space for users
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC, COM/2020/825 final
- REPORT on the proposal for a regulation of the European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC
- 歐盟新提出之《數位服務法》將針對科技巨擘實施更加嚴格之規定
李姿瑩
組長 編譯整理
Digital Services Act: regulating platforms for a safer online space for users, European Parliament, press room, 20/01/2022, 16:21, https://www.europarl.europa.eu/news/en/press-room/20220114IPR21017/digital-services-act-regulating-platforms-for-a-safer-online-space-for-users (last visited Jan. 24, 2022).
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC, COM/2020/825 final, https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A825%3AFIN(last visited Jan. 24, 2022).
REPORT on the proposal for a regulation of the European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC, https://www.europarl.europa.eu/doceo/document/A-9-2021-0356_EN.html?redirect (last visited Jan. 24, 2022).
蘇偉綸,歐盟新提出之《數位服務法》將針對科技巨擘實施更加嚴格之規定,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8563 (最後瀏覽日:2022年2月14日)。
國家新聞出版廣電總局繼2011年底頒布《音像電子出版物專用書號管理辦法》後,歷經3年整備,去(2014)年底終完成「音像電子出版物專用書號實名申領資訊系統」開發,並於今(2015)年一月上線運行。預計透過此資訊系統,將能簡化書號申領、核發許可程序,落實「中國標準書號」(簡稱中國ISBN)及其配套之「書號實名制」推動。 同時,為配合系統運作,亦修訂《音像電子出版物專用書號管理辦法》,明文要求出版單位應安排、訓練專人從事相關書號的申請管理,及賦與出版單位對於申報內容、出版物品質及出版活動嚴格的自審責任。對於違規使用ISBN者,新法亦明文宣示主管部門可以按相關法規給予處罰,除採取警告發出責令改正的行政罰外,並有罰金的適用。 可以預期的是,在音像電子出版物專用書號實名系統的推動執行下,中國大陸關於電子出版物行政管理過程中的統計、查找、選擇、獲取等將建立統一性更透明的單一標準。正面而言,將促成電子書有秩序的發展環境,改善過去一號多書、買賣書號等亂象。另一方面而言,也表示電子書之出版,將趨於嚴格、減少模糊空間。
不畏經濟衰退,歐盟企業增加研發經費根據歐盟執委會(European Commission)之聯合研究中心(Joint Research Centre, JRC)於今(2012)年初針對歐盟境內之1000間企業所做的「歐盟產業研發投資趨勢調查」(The EU Survey on R&D Investment Business Trends)結果指出,目前歐盟境內之頂尖企業期待自2012年至2014年止,以每年平均4%的成長率投注資源於研究發展領域。 儘管目前全球經濟局勢仍不明朗,多數的歐盟企業依舊認為,投注研究發展乃為企業追求未來成長和繁榮的重要關鍵要素。而該現象主要於軟體和電腦服務產業最為明顯。除了企業自身投注研發資源以進行創新研發、市場調查、和新產品的推行等相關活動外,多數的企業亦認為藉由國家補助經費、成立公私部門夥伴合作模式,此類外部激勵方式對於企業創新活動的進行,具有相當之助益。此外,透過簽署各項合作協議,企業與學研機構間得以相互授權合作,進而促進知識分享,此皆目前強調開放式創新(open innovation)概念的具體實踐之例,實值得肯認。然而,歐盟企業亦普遍認為,現行歐盟智慧財產權機制仍有智慧財產權保護申請時程過長,以及申請智慧財產權保護所需費用過於昂貴等不足之處,而該不足之處乃為目前歐盟企業進行創新研發活動時的絆腳石。 如何促進企業之創新研發能力,乃為目前全球各國於規劃推動各項相關策略時之主要討論標的之一。儘管當前歐盟智慧財產機制仍有待改善之處,然就歐盟企業所肯認之跨機關構合作模式、合作協議之簽署、國家經費之補助等措施,仍值得進行進一步的探討與觀察。
美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。 本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定Uber違反《Data Protection Act 1998》資料保護法英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料,故處以罰款385,000英鎊。 ICO調查發現Uber的諸多過失,包含系統存有一系列原可避免的數據安全漏洞,使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統,下載大約270萬筆英國客戶個人資料,例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄,如旅程詳情及支付金額。然而,受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的,Uber反而向攻擊者妥協並支付了10萬美元,以銷毀被盜取的數據。 ICO認為,這不僅為Uber資料安全之問題,且當時未採取任何措施通知可能受影響的人,或對其提供任何協助,已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默,亦非對於網路攻擊之適當反應,Uber未完善的數據保護措施,以及隨後的決策與行為,反將可能會加劇受害者權益的受損。 因此,ICO認為該事件已嚴重違反了英國1988年資料保護法(Data Protection Act 1998, DPA)第7條的原則,有可能使受影響的客戶和司機面臨更高的詐欺風險,故從嚴判處Uber高達385,000英鎊罰款。