澳洲發布國家身分韌性戰略
所謂「身分」(Identity)是「特徵」(characteristics)或「屬性」(attributes)的組合,可讓個人在特定環境中與其他人區分開來,以證明自己的身分,例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長,線上身分驗證比實體身分驗證更為頻繁,促使犯罪人竊取和濫用身分資訊與資格證明(credentials),使得越來越多人面臨網路犯罪和詐欺的風險,澳洲在2021年時更因為身分竊盜事件橫行,造成超過18億美元的經濟損失。
為此,澳洲資料和數位部長會議(Data and Digital Ministers Meeting, DDMM)於2023年6月23日發布「國家身分韌性戰略」(National Strategy for Identity Resilience),以取代2012年國家身分安全戰略(National Identity Security Strategy),宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力,推動澳洲各州、領地(territory)和聯邦(Commonwealth)採用全國一致的身分韌性方法,使得個人身分難以被竊取,縱然不幸遭竊取,受害人亦能夠輕易自身分犯罪中恢復身分。
該戰略由十項原則組成,包含:(1)無縫接軌的聯邦、州和領地數位身分系統;(2)具包容性的身分辨識機制;(3)個人與公私部門都有各自角色;(4)制定國家實體與數位資格證明標準;(5)建立生物辨識和經同意的身分驗證;(6)便利個人跨機構更新身分資訊;(7)更少的資料蒐集與保存;(8)明確的資料分享協議;(9)資格證明的一致撤銷和重新簽發;(10)明確的問責與責任。搭配短、中、長期的實施規畫,循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。
阮韻蒨
副法律研究員 編譯整理
Australian Government, National Strategy for Identity Resilience(2023), https://www.homeaffairs.gov.au/criminal-justice/files/national-strategy-for-identity-resilience.pdf (last visited Aug. 22, 2023).
蔡芷茵,〈紐西蘭通過數位身分服務信任框架,如經簽署將於2024年施行〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9022&no=64(最後瀏覽日:2023/09/18)。
林秉澤,〈越南公布關於電子身份識別和驗證的新法令草案〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8845&no=64(最後瀏覽日:2023/09/18)。
阮韻蒨,〈歐盟數位身分框架政策之相關推動措施概要〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8721&no=64(最後瀏覽日:2023/09/18)。
科法觀點
微軟在美國政府索要用戶郵件的一起官司中獲得勝訴。美國政府第二巡迴上訴法院裁決,如果資料是儲存在美國境外伺服器,則不為美國聯邦政府的令狀效力所及。 這件訴訟案源於2013年的一起涉外毒品案件中,紐約區法院發布了一項搜查令,要求微軟提供公司一名用戶的郵件和相關訊息。然而因為有些資料是存放在微軟公司在愛爾蘭的伺服器,因此微軟爭辯說郵件本身是儲存在愛爾蘭的,因此不應受到美國政府令狀效力所及。2014年聯邦地方法院再次要求微軟提供郵件內容——但微軟上訴到了聯邦第二巡迴法院。 美國聯邦第二巡迴法院在判決中,認定基於《儲存通訊記錄法》(Stored Communications Act:SCA/下稱SCA)規定美國政府得以令狀要求連結網路使用者資料的規定並不適用於境外。法院所持理由為: 1. SCA規定搜索票/扣押票之核發應符合美國聯邦刑事訴訟法之相關規定,而美國聯邦刑事訴訟法第41條即規定搜索票/扣押票應由搜索/扣押標的物所在地之法院核發並交由該地或國內他地執法人員執行。 2. 法院曾於2010年之MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.案判決理由中指明,如國會立法時認為某法規可能或必須有域外效力,應以明文定之,而SCA條文中並無任何規定寫明該法可於境外適用之。 3. SCA在第2703條所使用之搜索票/扣押票(warrant)一字,源自美國憲法增修條文第四條,即規定美國政府對其國內人民為搜索扣押時應以搜索票/扣押票(warrant)為之,且SCA更刻意以不同條款及不同強度區分搜索票/扣押票(warrant)與傳票(Subpoena),立法者之用意顯然是希望能以前者提供使用者更高度的隱私保護。 這是美國首例企業對獲取境外資料的政府搜查令提起上訴的案件,審判結果影響著美國法律界對於執法機關是否能就存放在世界上其他國家的美國用戶資料,進行合法調查。
日、美、歐家電業界團體,聯名反對「私人錄音補償金制度」日本「電子資訊技術產業協會」 (Japan Electronics and Information Technology Industries Association , JEITA) 、美國「家電協會」 (Consumer Electronics Association , CEA) 及歐洲「資訊通信技術產業協會」 (European Information & Communications Technology Industry Association,EICTA) 等家電業界團體,本月 13 日在布魯塞爾召開的國際會議上,聯名反對各國為對抗著作權侵害而採取的私人錄音補償金制度,其表示該制度在今日已經是個過時的制度。目前在日本沸沸揚揚的「 iPod 應否徵收補償金」議題,也受到了製造業一方的強烈反對。 所謂的「私人錄音補償金制度」,係指對 MD 、 DVD 及光碟等錄音、儲存設備,課徵其售價 1% ~ 3% ,以該筆金錢補償著作權人因錄音設備銷售而造成的潛在損失。憂心數位時代來臨可能造成盜版行為的日益猖獗,主要國家紛紛導入了私人錄音補償金制度;但隨著版權管理 (DRM) 技術的精進,已大幅增加違法複製的困難度,立論於錄音設備可能助長盜版的私人錄音補償金制度,所受到的質疑也愈來愈強烈。 日本文部省轄下的「文化審議會著作權小組」,針對 iPod 等播放設備應否徵收補償金,在製造商及消費者代表的反彈下,迄今仍無定論。在 13 日跨國製造業聯合聲明出現後,更強化了反對一方的聲浪。
BS 10012:2017個人資訊管理系統新版標準已發布BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。 2017新版架構由原本的6章變為為10章,新架構如下: 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 新標準主要修改內容如下: 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用: (1)蒐集前須先告知當事人並取得其同意。 (2)蒐集應有必要性且最小化。 (3)兒童個資蒐集、利用須先經監護人同意。 (4)若個資利用目的為開放資料(Open data)須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。
美國有限合夥發展於我國之借鏡