歐盟EDPB認為防範Cookie疲勞應確保資訊透明及簡化

歐盟資料保護委員會(European Data Protection Board, EDPB)於2023年12月13日回覆歐盟執行委員會(European Commission, EC)有關Cookie協議原則草案(Cookie Draft Pledge Principles)之諮詢。該草案旨在處理「Cookie疲勞」(Cookie fatigue)所造成的隱私權保護不周全之處。

在電子通訊隱私指令(ePrivacy Directive)以及GDPR規範下,由於現行同意機制複雜,造成用戶對Cookie感到疲勞,進而放棄主張隱私偏好。

為了避免「Cookie疲勞」,EDPB提出以下原則和建議,大致可以分為三點:

一、簡化Cookie不必要的資訊
1.基本運作所需之Cookie(essential cookies)無需用戶同意,故不必呈現於同意選項,以減少用戶需閱讀和理解的資訊。
2.關於接受或拒絕Cookie追蹤的後果,應以簡潔、清楚、易於選擇的方式呈現。
3.一旦用戶拒絕Cookie追蹤,一年內不得再次要求同意。

二、確保資訊透明
1.若網站或應用程式的內容涉及廣告時,應在用戶首次訪問時進行說明。
2.不僅是同意追蹤的Cookie,用於選擇廣告模式的Cookie,仍需單獨同意。

三、維持有效同意
1.應同時顯示「接受」和「拒絕」按鈕,提供用戶拒絕Cookie追蹤的選項。
2.在提供Cookie追蹤選項時,除了接受全部的廣告追蹤或付費服務外,應提供用戶另一種較不侵犯隱私的廣告形式。
3.鼓勵應用程式提前記錄用戶的Cookie偏好,但強調在用戶表達同意時必須謹慎處理,預先勾選的「同意」不構成有效同意。

EC表示,該草案目的在於簡化用戶對Cookie和個人化廣告選擇的管理,雖然為了避免Cookie疲勞而簡化資訊,仍應確保用戶對於同意Cookie追蹤,是自願、具體、知情且明確的同意。將於後續參考EDPB之建議,並與利害關係人進行討論後,制定相關法規。

相關連結
你可能會想參加
※ 歐盟EDPB認為防範Cookie疲勞應確保資訊透明及簡化, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9125&no=55&tp=1 (最後瀏覽日:2026/07/15)
引註此篇文章
你可能還會想看
美國公布實施零信任架構相關資安實務指引

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日   美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景   此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。   有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要   考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft))   主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft))   主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft))   主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft))   此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析   美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。   此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。   我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

戰略產業與關鍵技術保護法規修正趨勢分析

戰略產業與關鍵技術保護法規修正趨勢分析 資訊工業策進會科技法律研究所 2022年2月14日   戰略性高科技產業是我國重要的經濟發展基礎,在全球半導體產業鏈中,臺灣更是位居關鍵領先地位。半導體產業作為未來新興科技領域發展根基,內含許多國家核心關鍵技術,若此類技術洩漏至境外,將損及國家安全與整體經濟競爭優勢。 壹、國際產業經濟安全保障法案推動趨勢   參考國際上以產業經濟安全角度出發,且與我國同具技術保護需求之國家,以亞洲的日本及韓國為代表,正在密集推動產業競爭與供應鏈安全及技術保護相關法案。 一、日本《經濟安全保障法》   日本首相官邸於2021年11月19日召開第一次「經濟安全保障推進會議」,強調國家安全概念已迅速擴展到經濟和技術領域,在各國推進和加強支持工業基礎設施、防止敏感技術外流、提升出口管制等經濟安全相關措施下,日本內閣府應加強《經濟安全保障法》草案推動,確保戰略物資與維護重要關鍵技術[1]。   其中《經濟安全保障法》草案著重在四大工作面向:1.供應鏈:透過公私技術合作加強重要材料和原材料的供應,避免對人民生活和工業產生重大影響。2.公私技術合作:透過公共和私營部門合作共享並利用技術資訊,培育和支持尖端重要技術框架。3.核心基礎設施:確保與維護核心基礎設施功能安全性和可靠性。4.私人專利:採取補償措施以要求特定專利私有化,防止敏感發明公開外流,同時促進創新[2]。 二、韓國《國家高科技戰略產業特別法》   韓國產業通商資源部方面,於2022年1月25日舉行的第5次內閣會議上宣布,通過《國家高科技戰略產業特別法》立法議案。該特別法案旨在培育和保護韓國的高科技戰略產業,以維護國家和經濟安全,並取得高科技競爭力,其具體內容包含:1.成立由南韓總理主導的國家高科技戰略產業委員會,制定5年戰略產業培育和保護的基本計畫。2.指定國家關鍵技術,以發展戰略產業和保護國家經濟安全。3.全面支持戰略產業,包括投資、研發、人力資源等方案。4.為振興戰略產業生態系統,提供監管法規修訂和企業合作方向支援。5.對戰略技術的出口和併購採取部分緊縮的保護措施。   韓國產業通商資源部強調,全球各主要國家皆體認到,必須在高科技產業競爭環境中培育知識人才,以及保護國家戰略產業發展的重要性。《國家高科技戰略產業特別法》的制定,將由產業通商資源部採取「無縫接軌的推進措施」,並與相關產業積極溝通,以便及時協助基礎設施能力建構,並在本法案立法程序完成後落實執法[3]。 貳、我國國家核心科技修法走向   我國法務部與陸委會於110年7月公告《國家安全法》與《臺灣地區與大陸地區人民關係條例》部分條文修正草案,二者皆是以經濟安全角度出發,針對「國家核心關鍵技術」保護作法規調整,期能建構跨部會產業技術防堵外洩策略。 一、兩岸條例修正:管制受政府委託補助關鍵技術及人員赴陸   依據陸委會第27次委員會議討論通過「兩岸條例第9條、第91條修正草案」,針對「受政府機關(構)委託或補助達一定標準」,並從事涉及國家核心關鍵技術業務之個人或民間團體、法人、機構成員,進行赴陸管制。其中,因國家核心關鍵技術及一定標準的具體內容,涉及高度專業性,故兩岸條例第9條修正草案授權科技部會商有關機關訂定並進行妥適規範。另外,對於違反赴陸應經許可的特定人員,依據兩岸條例第91條,可處新台幣200萬元以上1,000萬元以下罰鍰。如係違反返台通報義務者,(原)服務機關、委託機關或補助機關得處新台幣2萬元以上10萬元以下罰鍰[4]。 二、國家安全法修正:保護半導體、農業、國防關鍵技術   法務部國安法修正草案第2之2條,明定任何人不得替外國、中港澳、境外敵對勢力或其所實質控制的各類組織,為侵害國家核心關鍵技術的營業秘密行為;且刑度較營業秘密法提高,違者可處3年以上、12年以下徒刑,併科5百萬元以上、1億元以下罰金。至於何項技術列入關鍵技術,則交由科技部檢討,並將攸關台灣經濟、國防優勢的產業列入,包括半導體先進製程、涉及國防技術、台灣關鍵品種農業科技、關鍵生技技術等[5]。 參、法規評析   台灣是全球高科技代工產業的重鎮,半導體技術尤其發達且人才集中。全球晶片短缺之際,台灣也面臨人才帶槍投靠、與關鍵技術外流,危害戰略產業發展危機。未來針對我國國家核心科技認定與管制,可以由以下幾個方向作思考: 一、參考科技部政府資助國家核心科技手冊之作法   為避免我國有太多個不同的核心科技清單,導致法規適用的複雜,未來可能參考現有科技部政府資助國家核心科技手冊之作法,由科技部邀集相關部會自行就主責類別科技項目進行認定。篩選之科技項目(包含企業關鍵技術),經主管機關核定後,提報科技小組,科技小組成立專責審議小組審議是否列入國家核心科技項目。 二、重新建立國家核心科技篩選標準   雖然產業技術保護法規強化是全球趨勢,但若是修正力度過猛或審查過嚴,也同樣可能影響產業投資、干預研發合作,甚至促使台灣關鍵產業出走,連帶失去半導體等關鍵技術研發創新動能,因此重新建立篩選管制標準是我國法規的重要課題。   首先,就製造業關鍵技術,應思考台灣在該產業技術上是否具國際領先地位作為優先考量。其次,就所篩選之產業,評估其對台灣經濟發展是否具核心關鍵性(例如產值高低,或者在全球供應鏈具關鍵地位)。最後,對於國家安全有重要影響之相關產業,應納入作為我國核心關鍵科技。   總歸而言,各國對於戰略產業與國家核心科技認定標準與方式不一,就算技術被歐美及日韓認列為新興科技管制類別,我國是否要列入國家核心科技,仍然必須綜合考量該產業技術在我國產業競爭力與國際領先定位而定。未來,可參採日韓模式,盡速建立國家層級高度的戰略產業與技術保護法規,並且制定明確清單與審查機制流程,使企業能有所預見,事先安排以降低對高科技產業的經濟發展衝擊。 [1] 経済安全保障推進会議,首相官邸,令和3年11月19日,https://www.kantei.go.jp/jp/101_kishida/actions/202111/19keizaianpo.html (最後瀏覽日:2022/1/25)。 [2] 経済安全保障法制に関する有識者会議 提言骨子,内閣官房,令和3年11月26日,https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/index.html (最後瀏覽日:2022/1/25)。 [3] Cabinet passes National High-Tech Strategic Industries Special Act, Ministry of Trade, Industry and Energy, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911(last visited 2022/02/14). [4] 為保護國家核心關鍵技術,本會第27次委員會議通過「兩岸條例第9條及第91條修正草案」,中華民國大陸委員會,110年9月29日,https://www.mac.gov.tw/News_Content.aspx?n=A0A73CF7630B1B26&sms=B69F3267D6C0F22D&s=4C0B2E06FFF6B248 (最後瀏覽日;2022/02/14)。 [5] 法務部公告「國家安全法」部分條文修正草案,法務部法檢字第11004519510號,110年7月21日,https://www.lawbank.com.tw/news/NewsContent.aspx?nid=179044.00 (最後瀏覽日;2022/02/14)。

澳洲政府發布國家區塊鏈路線圖,建立澳洲區塊鏈技術發展策略與目標

  澳洲產業創新科技部(Department of Industry, Innovation and Science)於2020年2月7日發布「國家區塊鏈路線圖:向區塊鏈賦能之未來前進(National Blockchain Roadmap: Progressing towards a blockchain-empowered future)」政策文件。此路線圖為澳洲政府為彰顯其對區塊鏈技術之重視,並認知到區塊鏈與其他科技結合後將可進一步增進工作機會、促進經濟成長、減少商業成本與提升整體生產力,因此提出之區塊鏈發展方向規劃。   本路線圖文件指出,為實現區塊鏈技術,澳洲政府將於三個關鍵領域建立相關策略:一、建立有效且合理的規範與標準;二、建立可驅動創新之技術與能力;以及三、促進國際投資與合作。   路線圖文件並針對2020至2025年之區塊鏈發展進行規劃,相關措施包含: 重新命名國家區塊鏈諮詢委員會為國家區塊鏈路線圖推動委員會,並使其具有監督路線圖推動之職權。 建立由產業、研究團隊以及政府合作之團隊,以分析未來可能之應用案例。 對目前使用案例進行經濟分析與研究可能措施選項。 建立與連結政府端區塊鏈使用者,以促進學習交流與進一步應用。 進行國際研究以辨識出其他國家中適合學習做為政府服務之實際案例。 與區塊鏈服務提供商密切合作進行商業創新研究,以提出可供實際案例運用之解決方案。 確保區塊鏈發展涵蓋於整體國家策略中以促進數位科技能力管理。 使產業與教育機構合作發展關於區塊鏈資格技能之共同框架與課程內容。 為澳洲區塊鏈新創公司提出能力發展協助計畫,使其可向全球擴張並與支持合格企業。 引導外資投資以促進澳洲區塊鏈生態系建立。 引導既有雙邊協議進行區塊鏈前端計畫之合作與發展。 增加政府部門合作以確保澳洲企業可與發展中之新興數位貿易基礎設施進行連結等。   澳洲政府期待透過推動本路線圖與結合先前提出之AI路線圖政策,達成於2030年前成為數位經濟國家之目標。

日、美、歐家電業界團體,聯名反對「私人錄音補償金制度」

日本「電子資訊技術產業協會」 (Japan Electronics and Information Technology Industries Association , JEITA) 、美國「家電協會」 (Consumer Electronics Association , CEA) 及歐洲「資訊通信技術產業協會」 (European Information & Communications Technology Industry Association,EICTA) 等家電業界團體,本月 13 日在布魯塞爾召開的國際會議上,聯名反對各國為對抗著作權侵害而採取的私人錄音補償金制度,其表示該制度在今日已經是個過時的制度。目前在日本沸沸揚揚的「 iPod 應否徵收補償金」議題,也受到了製造業一方的強烈反對。   所謂的「私人錄音補償金制度」,係指對 MD 、 DVD 及光碟等錄音、儲存設備,課徵其售價 1% ~ 3% ,以該筆金錢補償著作權人因錄音設備銷售而造成的潛在損失。憂心數位時代來臨可能造成盜版行為的日益猖獗,主要國家紛紛導入了私人錄音補償金制度;但隨著版權管理 (DRM) 技術的精進,已大幅增加違法複製的困難度,立論於錄音設備可能助長盜版的私人錄音補償金制度,所受到的質疑也愈來愈強烈。   日本文部省轄下的「文化審議會著作權小組」,針對 iPod 等播放設備應否徵收補償金,在製造商及消費者代表的反彈下,迄今仍無定論。在 13 日跨國製造業聯合聲明出現後,更強化了反對一方的聲浪。

TOP