OECD發布《數位化推進資料治理以促進增長和福祉》、《資料治理政策制定之數位化指南》報告
2023年5、6月經濟合作暨發展組織(Organisation for Economic Cooperation and Development, OECD)在邁向數位化計畫(Going digital Project)下陸續公布53個國家地區科學技術創新政策(science, technology and innovation policy)指標。OECD另一方面也提供許多政策工具供各政府參考,如2022年12月發布《數位化推進資料治理以促進增長和福祉》(Going Digital to Advance Data Governance for Growth and Well-being),並出版《資料治理政策制定之數位化指南》(Going Digital Guide to Data Governance Policy Making),協助應對轉型為數位治理時的潛在益處與風險。
《數位化推進資料治理以促進增長和福祉》指出,數位工具發展使資料蒐集、處理的效能大幅增加,邊際成本快速下降,為經濟、社會注入新驅動力。OECD觀察到COVID-19疫情危機中,各國政府藉多樣的資料有效追蹤疾病並做出相應對策;然而,也出現資料治理不當案例,如有勞動中介機構不慎在資料應用時加深性別勞動的不平等。因此,資料成為治理的戰略資產同時也需詳加了解資料多樣化的特性,在資料跨領域產製、流通與利用的過程中一併考量其益處與風險。
《資料治理政策制定之數位化指南》則點出三個發現,並提供相應策略做為各國政府治理參考。第一,關切資料開放同步產生的益處與風險,建議應確立風險管理的文化並建置透明且開放的資料生態系,以增加使用者的能動性,俾利人們自覺主動利用資料。其次,治理框架應平衡生態系中利害交疊的人民、企業團體、政府各部門等,藉契約範本、行為準則等機制確保決策各環節中利害關係人的參與機會和框架的一致性。第三,資料的邊際成本雖一再降低,然而進入門檻、後續管理的負擔仍重,政府應持續激勵資料的基礎建設投資,促進市場競爭並解決後進者的阻礙。
溫志強
副法律研究員 編譯整理
Your hub for data-driven STI policy analysis and advice, OECD, https://stip.oecd.org/stip/ (last visited Jul. 11, 2023).
Going Digital Project, OECD, https://www.oecd.org/digital/going-digital-project/ (last visited Jul. 11, 2023).
OECD, Going Digital to Advance Data Governance for Growth and Well-being (2022), https://www.oecd-ilibrary.org/sites/e3d783b0-en/index.html?itemId=/content/publication/e3d783b0-en (last visited Jul. 11, 2023).
OECD, Going Digital Guide to Data Governance Policy Making, (2022), https://www.oecd-ilibrary.org/sites/40d53904-en/index.html?itemId=/content/publication/40d53904-en (last visited Jul. 11, 2023).
美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
美國《雲端法》(CLOUD Act)美國《雲端法》(CLOUD Act),全名為《釐清境外合法利用資料法》(Clarifying Lawful Overseas Use of Data Act),於2018年3月23日頒布生效,該法更新《1986年儲存通訊紀錄法》(Stored Communications Act of 1986),並釐清海外資料合法取得:無論資料儲存地在美國境內或境外,美國執法機構均可合法請求通訊紀錄的保存或揭露。 《雲端法》有兩大重點:首先,《雲端法》授權美國與其他值得信賴的國家進行雙邊協議,以取得重大犯罪之電子證據。其他國家必須擁有相應的完善法規、隱私、公民權利之保護,方具備與美國簽署雙邊協議的資格。透過雙邊協議,締約雙方可憑對方國家的搜索票等法律文件,直接對通訊服務提供者強制執行。其二,《雲端法》闡明美國與相當多國家長久以來的原則─假設一間公司在特定國家的司法管轄權範圍內,則其所產生的資料應接受該國的管制,資料儲存地為何,在所不問。 《雲端法》的立法背景可以追溯到2013年美國聯邦調查局(Federal Bureau of Investigation, FBI)進行緝毒受阻。當時,涉案美國公民的電子郵件存於微軟境外伺服器,FBI持有搜索令,但是微軟以《1986年儲存通訊紀錄法》管轄範圍不及於美國境外為由,拒絕提供系爭電子郵件。2016年聯邦第二巡迴上訴法院於Microsoft Corp. v. United States判決微軟勝訴─美國政府不得強制取得境外伺服器資料。然而,此訴訟存在相當多爭議,復有2018年《雲端法》之制定,微軟亦對《雲端法》表示支持。《雲端法》通過時,最高法院尚未做出判決;最終,最高法院於2018年4月17日撤銷Microsoft Corp. v. United States。2019年4月10日,美國司法部發布雲端法白皮書,匯集刑事和國家安全專業的律師之意見,並回答常見的問題,希望提升全球的公共安全、隱私及法治。
韓國法務部宣布自2012年開始,將要求外國人入境韓國時須登錄指紋韓國法務部於2009年9月21日宣布將於2009年10月向韓國國會提交入出境管理法修正案,要求任何超過17歲之外國人於入境韓國時,必須提供食指指紋及個人臉部照片;如不提供,則不許其入境。而如該外國人欲滯留韓國境內超過3個月時,則必須登錄其所有手指的指紋。通過該方式所取得之指紋及照片,將依韓國個人資料保護法統一存放於「外國人生理資訊資料庫」(database of physical information on foreigners)。 據韓國法務部官員表示,之所以提出此法律修正案,是因為近來韓國已面臨嚴重的非法入境、移民犯罪、外國人犯罪以及恐怖主義之威脅,因此重新實施指紋及生理資訊登錄制度顯然刻不容緩。 不過,值得注意的是:原先韓國入出境管理法要求滯留韓國境內超過1年之外國人需提供所有指紋的規定,已於2004因被認為有侵害個人隱私之嫌疑而遭韓國國會廢止。然而此次不僅捲土重來,而且還擴大到短期滯留旅客亦須提供指紋及照片。相關立法措施是否真能順利通過,似乎仍有待進一步觀察。
墨西哥聯邦資料保護法生效墨西哥的聯邦資料保護法在二0一0年四月經墨西哥國會通過後,已於同年七月六日生效。這個新法旨在保護個人的隱私權並強化個人對自身資訊的掌控。與我國新近通過的個人資料保護法相同,墨西哥的這個新法所規範的範圍也包括了私部門對個人資料的蒐集、處理與利用。 在新法通過之後,原本的聯邦公共資訊近用機構(Federal Institute for Access to Public Information),亦擴張執掌並更名為聯邦公共資料近用及資料保護機構(Federal Institute of Access to Information and Data Protection)。在新制下,該機構將在原有負責事務外,另肩負起監督私部門就個人資料保護的相關事務。 此外,該法設計了一個雙重的監督機制:當資料的蒐集、處理或利用人,也就是所謂的資料控制者(Data Controller)出現可能違反聯邦資料保護法的狀況,將先由各相關部門的主管機關,例如主管經濟事務的機關或主管交通事務的機關來介入處理,而非由聯邦公共資料近用及資料保護機構立刻介入。