英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護
英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport, DCMS)於2022年12月9日公布「應用程式商店經營者與開發者實踐準則」(Code of practice for app store operators and app developers),並規劃在未來九個月內要求Apple、華為、Microsoft等公司採行,以加強對消費者的隱私與資安保護。
根據該實踐準則之內容,APP商店經營者和開發者須滿足以下要求:
(1)以友善使用者的方式與消費者共享資安和隱私資訊,如APP何時將無法在商店中取得、APP最近一次更新的時間、APP儲存與處理使用者資料的位置等。
(2)即便消費者禁用部分可選的功能與權限(如不允許APP使用麥克風或追蹤使用者位置),該APP仍可正常執行。
(3)制定穩定且具透明性的APP審查程序,以確保滿足實踐準則中資安與隱私最低要求的APP方能在商店內上架。
(4)當APP因資安或隱私原因無法於商店內上架時,向開發者提供明確的反饋。
(5)制定妥適的弱點揭露程序如聯絡表單(contact form),使軟體缺陷可在非公開(避免受駭客利用)的情況下被報告及解決。
(6)確保開發者即時更新其APP,以減少APP中的安全弱點數量。
總體而言,實踐準則要求APP必須具備相關程序,使安全專家能夠向開發者報告軟體弱點、確保安全性更新對消費者足夠醒目,以及將資安與隱私資訊透過明確易懂的方式提供給消費者。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
New rules for apps to boost consumer security and privacy, GOV.UK, https://www.gov.uk/government/news/new-rules-for-apps-to-boost-consumer-security-and-privacy (last visited Dec. 10, 2022).
Code of practice for app store operators and app developers, GOV.UK, https://www.gov.uk/government/publications/code-of-practice-for-app-store-operators-and-app-developers/code-of-practice-for-app-store-operators-and-app-developers (last visited Dec. 10, 2022).
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2022/12/10)。
在今(2007)年1月底召開的生物多樣性公約技術專家小組會議(Technical Expert Group of the Convention on Biological Diversity),秘魯提出透過核發一種類似來源地證明的“基因護照”(genetic passports; passport for genetic resources),簡化基因資源的跨境交換(cross-border exchanges)手續,以便協助更多國家得以靈活利用各國基因資訊。由於透過基因護照的核發,一國對其基因資源的掌控得以超出其國境之外,因此秘魯此項提案受到許多專家背書支持。 根據1992簽署的生物安全議定書(Convention on Biological Diversity, CBD),各國對源自於其國境內之基因資源擁有主權。基因資源為生技研究所仰賴的重要研究資源,基因資源的豐富與否取決於生物多樣性。由於具備豐富生物多樣性的國家多集中在開發中的「南方」國家,長久以來,這些國家境內的基因資源被來自於已開發國家的機構以「研究」、「學術交流」等各種名目帶出,卻無法享受其研究成果,導致目前對基因資源已立法管理的國家(多為開發中國家),法令內容主要偏向阻擋不法利用,而非鼓勵多元利用,無形中使國際間基因資源之使用逐漸形成壁壘。 秘魯最近所提出的提案即是為了解決上述問題,根據秘魯的提案,每一種資源的“基因護照”將發給CBD會員國負責主管基因資源管理事務的政府主管機關。“基因護照”將涵蓋所有的基因資源,包括動物、植物及微生物;護照中將會註明此等物質之來源地、特性及負責單位。透過基因護照的核發,國與國之間得以建構基因資源流動及運送的國際共識。由於此項提案受到生物多樣性公約技術專家小組會議二十五國代表的全體同意,CBD秘書處希望該提案能在今(民國96)年10月將在加拿大召開的第九屆大會中通過。
日本用老鼠複製人類腎臟日本慈惠醫科大學研究人員用人類幹細胞,植入實驗鼠胚胎中,培育出具有人基因的複製腎,能過濾尿液。 研究人員先把生成腎臟的神經營養因子基因植入骨髓含有的幹細胞,然後在實驗鼠胚胎未生成腎臟前,將幹細胞注入胚胎中可生成腎臟的部位。隨後,研究人員摘出胚胎中相當於腎臟的部分。經過六天的培養,這部分組織長出了讓腎臟發揮功能的腎單位及其周圍的腎間質。基因檢查結果確認該腎臟是由人的骨髓幹細胞生成。研究人員再將這一"複製腎"移植到其他實驗鼠的腹部,約二周時間後,"複製腎"生長到一百五十毫克。 利用骨髓幹細胞進行再生醫療,生成皮膚和軟骨等已經進入實用階段,但利用動物再生人類器官還沒有先例。參加研究的橫尾隆認為,從理論上說,用這種方法生成的器官不會發生排異反應。除腎臟外,這種方法還可用來生成胰腺和肝臟。
中國大陸將展開為期一年關於科技成果使用、處置和收益管理的試點工作根據中國大陸國務院於2014年7月2日召開國務院常務會議後的決定,未來大陸地區將在其國家自主創新示範區和自主創新綜合試驗區內,選擇部分中央級事業單位,展開為期一年關於科技成果使用、處置和收益管理的試點工作。 以鼓勵科研創新作為驅動經濟發展的策略,已是最新一屆大陸地區中央領導人施政的重點。早在2007年其政府修訂之《科學技術進步法》,已對申請項目的承擔者(類似我國執行單位或計畫主持人)依法取得發明專利權等知識產權有所規範。然目前大陸地區對於整體科技成果之無形資產的使用權、處置權和收益權等,並無一致性的作法。 惟為加速科技成果移轉(大陸地區稱為「轉化」)和事業化,進一步提升研發創新,中國大陸財政部曾於2011年在北京中關村的國家自主創新示範區,展開中央級事業單位科技成果處置權和收益權的管理改革,簡化800萬以下的科技成果處置流程(註:關於此部分發展趨勢可另參考近期國務院法制辦公室對外公告之「關於《促進科技成果轉化法(修訂草案送審稿)》公開徵求意見通知」等相關內容)。 本次中國大陸國務院常務會議進一步決定,允許更多的試點單位可以採取轉讓、許可、作價入股等方式移轉科技成果,將所得收入全部留歸試點單位自主分配。相信這樣的方式有助於激勵對科技成果創造做出重要貢獻的機構和人員,因本次試點工作為期一年,其具體執行成果將持續觀察、瞭解。
馬來西亞通過修正《個人資料保護法》馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。