澳洲發布國家身分韌性戰略

所謂「身分」(Identity)是「特徵」(characteristics)或「屬性」(attributes)的組合,可讓個人在特定環境中與其他人區分開來,以證明自己的身分,例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長,線上身分驗證比實體身分驗證更為頻繁,促使犯罪人竊取和濫用身分資訊與資格證明(credentials),使得越來越多人面臨網路犯罪和詐欺的風險,澳洲在2021年時更因為身分竊盜事件橫行,造成超過18億美元的經濟損失。

為此,澳洲資料和數位部長會議(Data and Digital Ministers Meeting, DDMM)於2023年6月23日發布「國家身分韌性戰略」(National Strategy for Identity Resilience),以取代2012年國家身分安全戰略(National Identity Security Strategy),宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力,推動澳洲各州、領地(territory)和聯邦(Commonwealth)採用全國一致的身分韌性方法,使得個人身分難以被竊取,縱然不幸遭竊取,受害人亦能夠輕易自身分犯罪中恢復身分。

該戰略由十項原則組成,包含:(1)無縫接軌的聯邦、州和領地數位身分系統;(2)具包容性的身分辨識機制;(3)個人與公私部門都有各自角色;(4)制定國家實體與數位資格證明標準;(5)建立生物辨識和經同意的身分驗證;(6)便利個人跨機構更新身分資訊;(7)更少的資料蒐集與保存;(8)明確的資料分享協議;(9)資格證明的一致撤銷和重新簽發;(10)明確的問責與責任。搭配短、中、長期的實施規畫,循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。

相關連結
你可能會想參加
※ 澳洲發布國家身分韌性戰略, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9053&no=55&tp=1 (最後瀏覽日:2026/07/19)
引註此篇文章
科法觀點
你可能還會想看
日本首相頒布「2017智慧財產推動計畫」,揭示國家推動三大基礎政策面向

  日本首相安倍晉三於2017年5月16日在官邸舉行智慧財產戰略本部(知的財産戦略本部)會議,並正式頒布「2017智慧財產推動計畫(知的財産推進計画2017)」。為因應大數據(ビッグデータ)、人工智慧(人工知能)等相關先進科技議題,透過調整產官學資源,培育地方中小企業智慧財產基礎認知,保護高附加價值農產品品種,振興觀光及影視等文化產業,提昇國家綜合競爭力,構築第4次產業革命(society5.0)之基礎。該會議中,所發表「2017智慧財產推動計畫」之三大基礎政策面向分別為: 一、建構第4次產業革命之智慧財產系統 (一) 充分利用、活用資訊及人工智慧以強化產業競爭力: 制訂資訊利用契約指引(ガイドライン)。 修正不正競爭防止法(資料不當取得禁止等)。 著作權法之修正(對於權利柔軟性限制之規定)。 AI學習模型(AI学習済モデル)專利。 (二)智慧財產系統基礎之準備: 強化證據蒐集程序。 創設ADR制度(Alternative Dispute Resolution、日文:標準必須特許裁定)。 (三)推動引領全球之智慧財產制度及相關標準化: 推動全面化的智慧財產管理制度(賦予智慧財產權之資料及標準等)。 活用國立研究開發法人之標準及其人才之培育。 二、活用智慧財產之潛力,推動區域活絡與發展 (一)積極活用強化農林漁業、食品業等智慧財產: 充實地理標示(GI)或植物品種,於國內外之保護及輔導體系。 制訂國家農林漁業優勢的標準(JAS)。 推動活用資訊之智慧農業。 (二)活用地方中小企業智慧財產,並推廣產學及產業間之互助: 啟發中小企業智慧財產意識,支援智慧財產海外之推廣。 產學攜手之橋接,並支援事業化。 (三)每一位國民都是智慧財產人才,推動智財教育: 充實智慧財產教育之新指導要領。 智慧財產教育振興聯盟課程與教材之開發。 建立地方性聯盟。 三、2020年大放異彩之日本 (一)海外推廣和產業基地之加強: 「酷JAPON官民共同營造平台」、「地方版酷JAP」之基礎建設及相互合作。 人才之育成、教育機構的合作。 (二)振興電影產業: 強化中小企業公司製作之支援及資金調動多樣化,及其海外之發展。 成s立公私部門改善攝影環境之聯絡會議。 (三)構築資料庫:設立跨部門之窗口,在產官學共同協助下活用研究成果、及商業化。   這個推動計畫乃是與「總合科學技術革新會議(総合科学技術・イノベーション会議)」及「IT總合戰略總部(IT総合戦略本部)」等共同合作,並結合「資訊利用促進基本計畫(官民データ活用推進基本計画)」(以「科學技術基本計畫」、「科技創新綜合戰略(科学技術イノベーション総合戦略)」、「資訊利用促進基本法(2016第103號法律)」等為基礎所發展的新計畫),在智慧財產戰略總部的主導下進行推動,積極穩健的落實智慧財產價值之保護、智財潛力活用及地方革新推動、日本文化之集結及向世界傳達日本的新文化價值等三大目標,以達到國家的發展戰略中,智慧財產戰略政策之最大使命。

英國數位文化媒體暨體育部發布數位身分之公眾諮詢,發布法制政策回應並揭示相關原則

  英國數位文化媒體暨體育部(Department for Digital, Culture, Media and Sport, DCMS)2020年9月1日發布「數位身分:政府諮詢回應」(Digital Identity: Call for Evidence Response)文件,以回應過去英國政府曾於2019年7月向各界蒐集如何為成長中的數位經濟社會建立數位身分系統之意見。依據諮詢意見之成果,英國政府計畫調修現行法規,使相關身分識別流程以最大化容許數位身分之使用,並發展有關數位身分之消費者保護立法;立法中將特別規範個人之權利、如何賠償可能產生的侵害,以及設定監督者等相關內容。數位身分策略委員會(Digital Identity Strategy Board)並提出六項原則,以加強英國之數位身分布建與政策: 隱私:當個人資料被使用時,應確保具備相關措施以保障其保密性與隱私; 透明性:當個人身分資訊於使用數位身分產品而被利用時,必須確保使用者可了解其個資被誰、因何原因,以及在何時被利用; 包容性:當人們希望或需要數位身分時即可取得。例如不備有護照或駕照等紙本文件時,對於其取得數位身分不應產生障礙; 互通性(interoperability):應設定英國之技術與運作標準,使國際與國內之使用上可互通; 比例性:使用者需求與其他因素(如隱私與安全)之考量應可平衡,使數位身分之使用可被信賴; 良好監理:數位身分標準將與政府政策與法令連結,未來之相關規範將更加明確、一致並可配合政府對於數位管制之整體策略。

馬來西亞通過修正《個人資料保護法》

馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。

歐盟會員國要求分享DNA資料庫

  歐盟十五個會員國為強化對抗恐怖攻擊、跨邊境犯罪及非法遷徙之國際合作,於2007年3月28日提出有關資料分享的立法草案,以期歐盟能夠建立一套資料分享的機制與架構。立法草案明確規範了各成員國就資料保護所應給予的等級,其必須保證個人資料保護必須達到與1980年歐洲理事會(Council of Europe)通過的「保護自動化處理個人資料公約(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)」及其於2001年通過的附加議定書相同等級。   該立法草案係根據「Prüm條約」而來,其條約簽署背景為2004年馬德里的恐怖組織炸彈攻擊事件,有鑑打擊恐怖攻擊及跨國犯罪之國際合作,歐盟七個會員國於2005年5月27日在德國、比利時及盧森堡邊境的城市Prüm,簽訂了該條約。條約中規定,簽署國之警察及刑事追訴機關執法於恐怖攻擊及跨邊境犯罪時,得向他簽署國處理相關資料之單位請求有關DNA之分析資料、指紋及相關車籍資料。   目前,歐盟資料保護監督機構(European Data Protection Supervisor)已背書支持建立該機制與架構,並且聲明表示,該架構之建立,仍應注意資料保護的相關事項,在追求資料分享更為便利的同時,應給予人民更為足夠的保護,再者,資料處理的權責單位對於不同的資料類型,也應以不同的方式處理之,越敏感性的資料越應限制其使用目的,並且讓越少人得以接觸。

TOP