英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護
英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport, DCMS)於2022年12月9日公布「應用程式商店經營者與開發者實踐準則」(Code of practice for app store operators and app developers),並規劃在未來九個月內要求Apple、華為、Microsoft等公司採行,以加強對消費者的隱私與資安保護。
根據該實踐準則之內容,APP商店經營者和開發者須滿足以下要求:
(1)以友善使用者的方式與消費者共享資安和隱私資訊,如APP何時將無法在商店中取得、APP最近一次更新的時間、APP儲存與處理使用者資料的位置等。
(2)即便消費者禁用部分可選的功能與權限(如不允許APP使用麥克風或追蹤使用者位置),該APP仍可正常執行。
(3)制定穩定且具透明性的APP審查程序,以確保滿足實踐準則中資安與隱私最低要求的APP方能在商店內上架。
(4)當APP因資安或隱私原因無法於商店內上架時,向開發者提供明確的反饋。
(5)制定妥適的弱點揭露程序如聯絡表單(contact form),使軟體缺陷可在非公開(避免受駭客利用)的情況下被報告及解決。
(6)確保開發者即時更新其APP,以減少APP中的安全弱點數量。
總體而言,實踐準則要求APP必須具備相關程序,使安全專家能夠向開發者報告軟體弱點、確保安全性更新對消費者足夠醒目,以及將資安與隱私資訊透過明確易懂的方式提供給消費者。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
New rules for apps to boost consumer security and privacy, GOV.UK, https://www.gov.uk/government/news/new-rules-for-apps-to-boost-consumer-security-and-privacy (last visited Dec. 10, 2022).
Code of practice for app store operators and app developers, GOV.UK, https://www.gov.uk/government/publications/code-of-practice-for-app-store-operators-and-app-developers/code-of-practice-for-app-store-operators-and-app-developers (last visited Dec. 10, 2022).
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2022/12/10)。
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面: 一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且: 1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務: 1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。 2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。 3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
簡析德國自動駕駛與車聯網發展策略 加拿大參議院交通與通訊委員會提出自駕與聯網車輛政策發展報告與建議2018年1月加拿大參議院交通與通訊委員會(Standing Senate Committee on Transport and Communications)向加拿大交通部提出「駕駛改革:技術與自駕車的未來(Driving Change : Technology And The Future Of The Automated Vehicle)」報告。 報告指出加拿大面臨自駕車可能遭遇之挑戰,並列出提供交通部發展自駕車策略之政策建議。 其中包含:建議加拿大應成立跨部會單位以整合全國自駕車政策、並整合各地方政府與傳統領域政府透過發展地區模型策略;交通部並應與美國合作,來確保自駕車輛於兩國間運行無障礙;交通部應發展自駕聯網車輛設計的車輛安全指南,指南中應指明製造商於發展、測試與布建自駕車的車輛應有的設計需求,該指南並應持續隨科技發展而更新。 加拿大政府並應立法授權隱私委員會主動調查與促使製造者遵循「個人資訊保護與電子文件法(Personal Information Protection and Electronic Documents Act)」的權力,並應持續評估聯網車輛的隱私相關規範之需求。 並應整合利益關係人發展聯網車輛管制框架,特別應包括隱私保護;並應監督自駕與聯網車輛技術競爭之影響,以確保車輛出租公司與其他的延伸市場可持續取得相關營業所需資訊;並應注重加拿大自駕車之測試與發展等對於就業之影響等。
美國專利商標局發布「發明AI」分析報告,由美國專利申請趨勢分析AI技術普及情形美國專利商標局(USPTO)於2020年10月27日發布「發明AI:由美國專利觀察AI普及情形」(Inventing AI: Tracing the diffusion of artificial intelligence with U.S. patents)智財資料分析報告,本報告分析2002年至2018年共16年間美國AI專利之申請資料,發現在AI專利申請數量由3萬件成長至6萬件,成長幅度為100%,而在全體專利當中AI相關專利所占比率,也由原本的9%成長至接近16%,顯示在AI技術研發創新與普及率的顯著成長。 報告指出,自1950年圖靈(Alan Turing)提出「機器能否思考?」問題以來,現今AI技術的發展已經達到連圖靈也會讚嘆的水準,AI技術在發明領域的重要性益發提升,活躍於AI領域的發明人占全體專利權人的比率也從1976年的1%提升到2018年的25%,在組織的發明專利上也呈現相同的趨勢;除了美國銀行(Bank of America)、波音公司(Boeing)以及奇異電子(General Electric)之外,前30大頂尖的AI公司都來自資通訊領域,其中佔據首位者為擁有46,752項專利的IBM,其次為擁有22,076項專利的微軟以及10,928項專利的Google,而AI技術的應用領域也更加多元,並且與在地產業做結合,例如應用在奧勒岡州的健身訓練與設備以及北達科他州的農業上。 USPTO指出,經由專利資料分析顯示AI技術的發展不僅有顯著的成長,並逐漸與在地產業結合、落實在不同產業領域的多元應用,AI對於產業的影響力將不亞於電力或半導體,隨著AI領域發明人的顯著成長,未來將有更多AI技術在各領域的應用出現,而擴大AI影響力的關鍵在於發明者與公司能否成功將AI納入現有或新產品的功能、流程或服務之中。