歐盟根據資料治理法及實施規則,透過通用標章管理資料中介服務提供者及資料利他主義組織
歐洲執委會(European Commission)根據2022年6月23日生效的資料治理法(Data Governance Act, DGA)第11條及第17條,於2023年8月9日公布資料治理法及實施規則(Commission Implementing Regulation (EU) 2023/1622 of 9 August 2023),該規則明定可用於識別「受認證的歐盟資料中介服務提供者(data intermediation services providers)及資料利他主義組織(data altruism organisations)」的通用標章(Common logos)之細節,且該通用標章已申請商標註冊,以保護其免於遭受不當利用。
經歐盟認證的「資料中介服務提供者」向服務利用者提供服務時,應確保服務利用者(個人及公司)可以有效的控制自己的資料,包含共享資料的對象及時間、可在不同裝置間共享資料等。經歐盟認證的「資料利他主義組織」則應以全歐盟通用之統一格式的歐洲利他主義同意書(data altruism consent form)在各成員國之間蒐集資料,並應確保資料主體(data subject)可以隨時撤回其同意。
識別受認證的「資料中介服務提供者」及「資料利他主義組織」是實施資料治理法的一環。受認證的「資料中介服務提供者」及「資料利他主義組織」選擇使用通用標章時,不僅須將通用標章清楚標示在所有線上的出版品上,亦須將通用標章清楚標示在所有線下的出版品。經歐盟認證的「資料利他主義組織」在標示通用標章時須附上可連結到「歐盟認證的『資料利他主義組織』之公開登記資料庫(public register of data-altruism organisations)」的QR code,歐盟將於2023年9月24日開始提供該公開登記資料庫。在歐盟層面,這些通用標章的利用可以易於識別被認證的「資料中介服務提供者」及「資料利他主義組織」與其他未經認證的服務提供者,有助於提高整體資料市場的透明度。
由於數位資料具有易於竄改、複製等特性,因此需要透過「可信任工具」來證明其來源正確、內容真實等,歐盟即以「通用標章」來識別「資料中介服務提供者」及「資料利他主義組織」。我國法務部、司法院、高等檢察署、法務部調查局和內政部警政署等機關共同推動司法聯盟鏈,並於2022年推出「b-JADE證明標章」,透過認證機制確保鏈下之數位資料於上鏈前具有可信任性。通過驗證並取得「b-JADE證明標章」的機關、機構或團體等組織,對外可證明其具備資料治理暨管理能力及保護數位資料之能力,且可取得申請加入「司法聯盟鏈」之機會。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
- EUROPEAN COMMISSION[EC], Data Governance Act: common logos to easily identify trusted EU data intermediaries and data altruism organisations to re-use data, Aug. 9, 2023
- EUROPEAN COMMISSION[EC], Data Governance Act: Common logo issued for easy identification of data intermediation services and data altruism organisations that are recognised at EU level, Aug. 9, 2023
- Data Governance Act explained, EUROPEAN COMMISSION[EC]
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
王柏元
副法律研究員 編譯整理
EUROPEAN COMMISSION[EC], Data Governance Act: common logos to easily identify trusted EU data intermediaries and data altruism organisations to re-use data, Aug. 9, 2023, https://digital-strategy.ec.europa.eu/en/news/data-governance-act-common-logos-easily-identify-trusted-eu-data-intermediaries-and-data-altruism?fbclid=IwAR0py9NYyiQIc2tcV5GVJiwZZ6zNtPep-MiNeAkMh44VhpfgDZRPpl1soTU (last visited Aug. 24, 2023).
EUROPEAN COMMISSION[EC], Data Governance Act: Common logo issued for easy identification of data intermediation services and data altruism organisations that are recognised at EU level, Aug. 9, 2023, https://cyprus.representation.ec.europa.eu/news/data-governance-act-common-logo-issued-easy-identification-data-intermediation-services-and-data-2023-08-09_en (last visited Aug. 24, 2023).
Data Governance Act explained, EUROPEAN COMMISSION[EC], https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained#ecl-inpage-l4ihlqt9 (last visited Aug. 24, 2023).
歐洲專利局(European Patent Office, 下稱EPO)於2018年11月1日發佈新版專利審查指南已正式生效。此次新版的焦點為Part G, Chapter II, 3.3.1關於人工智慧(Artificial Intelligence, AI)與機器學習(Machine Learning, ML)的可專利性審查細則。 在新版審查指南Part G, Chapter II, 3.3中指出數學方法本身為法定不予專利事項,然而人工智慧和機器學習是利用運算模型和演算法來進行分類、聚類、迴歸、降維等發明,例如:神經網路、遺傳演算法、支援向量機(Support Vector Machines, SVM)、K-Means演算法、核迴歸和判別分析,不論它們是否能夠藉由數據加以訓練,此類運算模型和演算法本身,因具有抽象的數學性質而不具專利適格性。 其中,EPO亦針對人工智慧和機器學習相關應用舉例下列特殊情形,說明可否具備發明技術特徵: (一)可能具技術性 在心臟監測儀器運用神經網路辨別異常心跳,此種技術為具有技術貢獻。 基於低階特徵(例如:影像邊緣、像素數值)的數位影像、影片、音頻或語言訊號分類,屬於分類演算法的技術應用。 (二)可能不具技術性 根據文字內容進行分類,本身不具技術目的,而僅是語言學的目的(T 1358/09) 對抽象數據或電信網路數據紀錄進行分類,但未說明所產生分類的技術用途,亦被認定本身不具技術目的,即使該分類演算法的數據價值高(例如:穩健性)(T 1784/06)。 在新版審查指南中亦指出,當分類方法用於技術目的,其產生之訓練集(training set)和訓練分類器(training the classifier)的步驟,則能被視為發明的技術特徵。 近年來,人工智慧技術的應用分佈在我們的生活中,無論是自駕車、新藥開發、語音辨識、醫療診斷等,隨著人工智慧和機器學習技術快速發展,新版的審查指南將為此技術訂定可專利性標準,EPO未來要如何評判人工智慧和機器學習相關技術,將可透過申請案之審查結果持續進行關注。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
加州法院判決刪除公司電腦之個人資訊非屬犯罪行為美國加州北區聯邦地方法院,於去年(2017年)12月5日做出關於雇員刪除其由公司提供電腦中與公務無關資料是否屬電腦犯罪之判決(United States v. Zeng, 4:16-cr-00172(District Court, N.D. California. 2017).)。 該案情為曾(Zeng)氏為避免其竊取自家公司商業機密行為被揭發,而逕自刪除其在公司提供筆記型電腦內之相關資料。而嗣後仍然被公司發現並報案,於此偵查單位FBI則以曾氏違反電腦詐欺及濫用法案(Computer Fraud and Abuse Act,下稱CFAA)中「未經授權而毀損他人電腦(18 U.S.C. § 1030(1984).).」以美國政府名義(下稱控方)起訴曾氏刪除其犯罪證據之行為。 對於該控訴,被告曾氏以被刪除之電子紀錄與其業務無關,非為公司所有財產為由作為抗辯。此外曾氏同時以其他判決主張毀損電腦之定義應係指由外部傳輸行為所致(如駭客行為),電腦使用者自己刪除行為應不包含之,以及控方未舉證其刪除行為將導致公司有不可回復或無法替代之損害作為抗辯。於此,控方則以刪除行為不應以內容而有所區分作為回應。 在審理期間,承審法官多納托(Donato)氏除參酌控辯雙方證詞外,並特別詢問控方律師指控內容是否會對一般大眾造成其在公用電腦中刪除同類資訊上之顧慮。而控方則以曾氏行為屬特殊情況作為答辯。最後,多納托氏則以控方主張將造成社會恐慌以及控方未提出被告刪除資料行為究竟對公司有何實際損害,判決被告無罪。
美國加密法案隨潮流再起緣起於2016年的加密法案(ENCRYPT Act),由於今年發生了臉書劍橋分析事件,以及歐盟GDPR的影響,本此法案再提的聲勢如浪潮襲來,不僅眾多議員附和,連企業(如:電子前線基金會Electronic Frontier Foundation,EFF)都予以支持。 加密法案的主要內容係以兩方面進行加密應用之保護, 各州州政府不得授權或要求產品或服務的製造商、開發商、銷售商或供應商,(A)設計或更改產品或服務中的安全功能,以供其進行監視或允許其進行實體搜索;(B)使其有能力解密或便於理解加密應用後的內容。 各州州政府不得禁止加密或類似安全功能的產品或服務,進行製造、銷售或租賃、提供銷售或租賃, 或向公眾提供覆蓋的產品或服務。此外,法案亦針對相關服務或產品的定義作了明確的說明。 本法案的主要提案者美國眾議員Ted Lieu指出,與加密或資料存取相關的問題,皆應在聯邦政府的層級進行討論,而就其本身電腦科學的專業,指出在各州間保有不同的加密應用執法標準,對資安、消費者、創新,以及執法本身都是不利的,引此本法案的推動旨在強化州際商業和經濟安全,以及網路安全問題,希望能對加密應用議題作全國性的討論,而不會損害使用者在過程中的安全性。
歐盟數位身分框架政策之相關推動措施概要歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 歐盟執委會(European Commission)於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity)[1],規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 為落實歐盟「2030數位羅盤」(2030 Digital Compass)政策,實現「公共服務數位化」之核心願景,歐盟推行數位身分框架,規劃於2030年前歐盟全境須有80%民眾使用電子身分證,以強化歐盟境內所有民眾(包括身心障礙人士)公共服務之近用權(right of access)。執委會於2021年6月3日公布的數位身分框架修正案,主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」(簡稱eIDAS規則[2]),依據該規則第49條,對其運作情形進行評估(An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation),同步考量技術、市場發展,針對當中不合時宜之規定為增修,並於2020年7月24日至10月2日進行公眾意見徵詢。 根據修正案內容,會員國必須提供公民和企業數位身分錢包(Digital Identity Wallet),此可透過會員國認可的公務機關或私人企業提供,錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便近用線上服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 eIDAS規則作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的法律基礎架構[4],此次修正案旨在使各會員國的數位身分(eID)計畫於歐盟境內具互操作性(interoperable),以促進近用線上服務。重點內容如下: 一、會員國所發行歐洲數位身分錢包,須通過歐洲網路安全認證框架內的強制性合規評估(compulsory compliance assessment)和自願認證(voluntary certification)。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用,使用者得以利用數位身分作為識別與驗證其身分之有效工具,以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度,意即得以自主決定是否與第三方分享特定個人資料,並可追蹤其資料之後續利用。 三、賦予個人電子身分證明(electronic attestations of attributes),如醫療證書或專業資格等電子證書的法律效力,並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證,以防止欺詐。 四、擴大跨境eID計畫的相互承認,降低各會員國於電子身分識別服務的差距;並加強信賴服務提供的整體監管框架,針對信賴服務提供商(trust service providers),新增為管理遠端電子簽章和封條(seal)產製設備(creation devices)所建立的新合格信賴服務(Qualified Trust Service, QTS)類型。 五、新增電子帳本(electronic ledgers)的信賴服務框架;電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡(audit trail),能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions)、將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。 六、於數位服務法案(Digital Services Act)中所定義的超大型線上平台(very large online platforms),將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 歐盟數位身分框架修正案,旨在解決 eIDAS 規則部分瑕疵,以順應市場動態和技術發展,包含承認電子身分證明、電子帳本之法律效力,擴增新合格信賴服務類型等,並作為歐盟建立數位身分認證政策的基礎規範,確保使用者於近用私人或公共服務時,可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會(European Parliament)內已送交產業、研究暨能源委員會(Industry, Research and Energy Committee, ITRE)進行審議[5],值得持續追蹤其未來發展。 近來受新冠肺炎(COVID-19)保持社交距離影響,推動企業朝數位轉型發展;執行遠距辦公政策,亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範,自2002年4月1日起正式施行後至今未為修訂,實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類,並對於數位簽章之技術有一定規範,惟未賦予相異之法律效力,使得其區分不具太大效益。建議可參酌eIDAS規則中,對於信賴服務提供者區分為不同層級規範,並給予經主管機關審核通過之合格信賴服務提供者,所提供的信賴服務具有更高的法律效力。 此外,我國欲推行數位身分證(New eID)政策,提供我國人民網路上身分識別之證明,連結政府骨幹網路(T-Road)串接各類電子政府服務,提升民眾近用公共服務的便利性,惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案,考量因應科技革新、商業模式創新等要素,對於身分識別相關規範進行修正與更新,以促進電子化政府及電子商務之發展,提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663 (last visited Aug. 24, 2021). [4] 李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月);謝明均,簡介〈歐盟提供合格信任服務者依循標準建議〉,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687(最後瀏覽日:2021/08/24)。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID), EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid (last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉,行政院新聞傳播處,2021/01/21,https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a (最後瀏覽日:2021/08/24)。