歐盟委員會就資料法草案提出修改報告
於2023年2月28日,歐盟議會( European Parliament )工業、研究和能源委員會( Committee on Industry, Research and Energy )就2022年公開之資料法草案( Data Act )提出修正報告,該報告支持資料法草案賦予使用者訪問、使用並共享其資料的權利,以發揮出工業資料的經濟潛力,並就資料法草案內容提出修改之報告(以下簡稱修改草案)。
以下就修改草案對於資料持有者權利之影響摘要說明如下:
1、對資料持有者之營業秘密的保護,資料持有者就其有營業秘密之資料,能要求使用者保護該資料的秘密性,並要求使用者要採取一定之保密措施,若使用者未能執行該保密措施,資料持有者可暫停資料共享;
2、資料持有者提供資料之對象為公司時,可對其請求之合理補償,該合理補償包含產生/處理資料與提供資料等讓資料可用的成本,惟該資料成本若可與其他資料請求分攤,則不應由單一使用者支付全部費用,且對於小/微型企業,不得請求超過提供資料的直接成本;
歐盟為使工業資料可充分發揮其效益,資料法草案旨在推動資料共享並建立相對的遊戲規則,此次修改草案從營業秘密與成本補償的角度切入,以保障資料持有者權利,該修改草案預計於3月中全體會議上進行表決,其規範對象包含有在歐盟提供物聯網/雲端產品或服務之企業,國內企業亦會因網路跨境性質而受影響,可參考資策會科法所所發布之重要數位資料治理暨管理制度規範(EDGS)預做準備。
「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
- European Parliament, REPORT on the proposal for a regulation of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), Feb. 28, 2023
- Kristina Ehle, My Data = Your Data? How the EU Data Act May Influence IoT and Cloud Offerings in the European Union and Beyond, Feb. 27., 2023
- European Parliament, Data Act: MEPs back new rules for fair access and use of industrial data, Feb. 9, 2023
- Luca Bertuzzi, Data Act: EU Council closes in on trade secrets, compensation, Feb. 22, 2023
- Isabelle Roccia, A view from Brussels: The latest on the Data Act, Feb. 16, 2023
莊越程
高級法律研究員 編譯整理
European Parliament, REPORT on the proposal for a regulation of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), Feb. 28, 2023, https://www.europarl.europa.eu/doceo/document/A-9-2023-0031_EN.html (last visited Mar. 08, 2023).
Kristina Ehle, My Data = Your Data? How the EU Data Act May Influence IoT and Cloud Offerings in the European Union and Beyond, Feb. 27., 2023, https://technative.io/how-eu-data-act-influence-iot-cloud/ (last visited Mar. 08, 2023).
European Parliament, Data Act: MEPs back new rules for fair access and use of industrial data, Feb. 9, 2023, https://www.europarl.europa.eu/news/en/press-room/20230206IPR72113/data-act-meps-back-new-rules-for-fair-access-and-use-of-industrial-data (last visited Mar. 08, 2023).
Luca Bertuzzi, Data Act: EU Council closes in on trade secrets, compensation, Feb. 22, 2023, https://www.euractiv.com/section/data-privacy/news/data-act-eu-council-closes-in-on-trade-secrets-compensation/ (last visited Mar. 08, 2023).
Isabelle Roccia, A view from Brussels: The latest on the Data Act, Feb. 16, 2023, https://iapp.org/news/a/a-view-from-brussels-the-latest-on-the-data-act/ (last visited Mar. 08, 2023).
聯邦通訊委員會(Federal Communication Commission, FCC)於2016年11月18日發布一項標題為Robotext Consumer Protection的執法諮詢文件。該文件就自動發送簡訊(Autodialed text messages,又稱robotexts)於電話消費者保護法(Telephone Consumer Protection Act of 1991, TCPA )內的適用予以釐清。 在該執法諮詢文件內,解釋TCPA法條中對於自動撥號系統定義為任何可以儲存或是產出號碼並自動撥打的設備。該法對於自動撥號系統之限制,包含通話(call)、預錄語音(prerecorded calls)及簡訊(texts),除非已取得接收方的明示同意(prior express consent),或符合下列狀況之一,方得以自動撥號系統為之: (1) 基於緊急狀況, (2) 在依循消費者隱私保護的情況下,對終端使用者為免費且獲得FCC的豁免, (3) 單純為回收對聯邦所負擔的債務、或其所保證的債務。 值得注意的是,聯邦通訊委員會針對當下網路科技發展出的訊息傳送模式做出解釋,簡訊apps、以及任何符合TCPA自動撥號定義的「網路至電話之簡訊傳送」(Internet-to-phone text messaging)等兩種情況亦納入TCPA的適用。因此,發送方主張對方已為事前同意者,應負擔舉證責任,並使消費者透過合理方式隨時取消其同意;於其主張不想再收到任何自動發送簡訊後,該發送方應立即發送一封簡訊以確認接收者的「選擇退出」要求(opt-out request)。 再者,對於已移轉的門號進行自動簡訊之發送,不論發送方是否有認知該門號換人持有,在未經該門號持有人同意的情況下,發送方至多只能對該號碼自動發送一封簡訊;如之後再度自動發送簡訊,即判定違反TCPA規範。 FCC此份文件雖從保護消費者的立場出發,但所設條件明顯苛刻,因此引發諸多爭議。此外引人注意的是,此文件發布前的一個月,ACA International v. FCC一案才於10月19日結束言詞答辯,該案爭點主要為FCC是否不當擴張適用TCPA,此案後續可用以追蹤該案聯邦法院是否肯認FCC對於TCPA的適用觀點。
保護、分級與言論(下) 英國發布人工智慧網路資安實務守則英國政府於2025年1月31日發布「人工智慧網路資安實務守則」(Code of Practice for the Cyber Security of AI,以下簡稱「實務守則」),目的是提供人工智慧(AI)系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引,以期降低人工智慧所面臨的網路資安風險,並促使人工智慧系統開發者與供應商落實基本的資安措施,以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同,因此產生新的資安風險,主要包含以下: 1. 資料投毒(Data Poisoning):在AI系統的訓練資料中蓄意加入有害或錯誤的資料,影響模型訓練結果,導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆(Model Obfuscation):攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為,以增加系統漏洞、引發混亂或防礙資安管理,可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令(Indirect Prompt Injection):藉由輸入經精心設計的指令,使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性,實務守則涵蓋了人工智慧生命週期的各階段,並針對相關角色提出指導。角色界定如下: 1. 人工智慧系統開發者(Developers):負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈(Supply chain):涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則,以確保人工智慧系統的安全性與可靠性: 1. 風險評估(Risk Assessment):識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理(Data management):確保AI系統整個資料生命週期中的資料安全及有效利用,並採取完善管理措施。 3. 模型安全(Model Security):在模型訓練、部署和使用階段,均應符合當時的技術安全標準。 4. 供應鏈安全(Supply chain security):確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針,期望各角色能有效落實AI系統安全管控,促進人工智慧技術在網路環境中的安全性與穩健發展。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定英國電子零售業者Carphone Warehouse違反《Data Protection Act 1998》資料保護法英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊,造成逾300萬客戶及1000名員工的資料外洩,外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。 英國資訊委員辦公室(Information Commissioner’s Office,ICO)認為涉及之個人資料嚴重影響個人隱私,使得個人資料有被誤用的風險。ICO進一步調查後並發現,駭客僅是透過有效的登入憑證,就能藉由WordPress軟體存取系統,此事件亦暴露該組織技術安全措施之不足,因受影響系統中使用的軟件的重要元素已過時,且公司未能執行例行的安全測試。ICO認為,像Carphone Warehouse此類規模龐大的公司,應積極評估其資料安全系統,確保系統穩健而避免類似的攻擊。 據此,ICO判定該公司缺乏妥善的安全措施保障使用者資訊,已嚴重違反《Data Protection Act 1998》資料保護法,判罰40萬英鎊。 從今年5月25日起,隨著GDPR的生效,法律將更加嚴格。對此,ICO亦發布了有用的指導,包括GDPR指南,現在採取的12個步驟和工具包。國家網絡安全中心(NCSC)也為組織為保護自己所採取的步驟提供了有用的指導。