美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令
美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下:
1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。
2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。
3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。
4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。
我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
- Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, THE WHITE HOUSE
- Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Executive Order 14117 of February 28, 2024, FEDERAL REGISTER
- National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Advance notice of proposed rulemaking, FEDERAL REGISTER
- 〈進/出口趨勢〉,台經院產經資料庫
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳政陽
法律研究員 編譯整理
Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/, (last visited Mar. 21, 2024).
Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Executive Order 14117 of February 28, 2024, FEDERAL REGISTER, https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related, (last visited Mar. 21, 2024).
National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Advance notice of proposed rulemaking, FEDERAL REGISTER, https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and, (last visited Mar. 21, 2024).
〈進/出口趨勢〉,台經院產經資料庫,https://tie.tier.org.tw/number_db/twnio/dbmain.aspx,(最後瀏覽日:2024/03/21)。
歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」(EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data),旨在協助決策者更易於進行隱私友善(privacy-friendly)之決策,評估其所擬議之措施是否符合「歐盟基本權利憲章」(Charter of Fundamental Rights of the European Union)關於隱私權和個人資料之保護。 該指引分為三大部分,首先說明指引的目的與如何使用;第二部分為法律說明,依據歐盟基本權利憲章第8條所保護個人資料的基本權利,並非絕對之權利,得於符合憲章第52條(1)之規定下加以限制,因此涉及處理個人資料的任何擬議措施,應進行比例檢驗;指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗: 必要性檢驗(necessity test) (1) 步驟1:初步對於擬議措施與目的為詳細的事實描述(detailed factual description)。 (2) 步驟2:確定擬議措施是否限制隱私保護或其他權利。 (3) 步驟3:定義擬議措施之目的(objective of the measure),評估其必要性。 (4) 步驟4:特定領域的必要性測試,尤其是該措施應有效(effective)且侵害最小(the least intrusive)。 若前述評估認為符合必要性,則接續比例性檢驗,透過以下4步驟評估: 比例性檢驗(proportionality test) (1) 步驟1:評估目的正當性(legitimacy),擬議措施是否滿足並達到該目的。 (2) 步驟2:擬議措施對隱私和資料保護基本權的範圍、程度與強度(scope, extent and intensity)之影響評估。 (3) 步驟3:繼續進行擬議措施之公平對等評估(fair balance evaluation)。 (4) 步驟4:分析有關擬議措施比例之結果。 科技時代的決策者在立法和政策擬定時,面臨的問題愈趨複雜,需要全面性評估,擬議措施限制應符合歐盟法規,且具必要性並合於比例,隱私保護更是關鍵,參酌該指引搭配EDPS於2017年發布之「必要性工具包」(Necessity Toolkit),將使決策者所做出的決策充分保護基本權利。
美國國家安全局發布「軟體記憶體安全須知」美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
日本通過科學技術基本法等修正案,將創新與人文科技發展納為規範對象日本通過科學技術基本法等修正案,將創新與人文科技發展納為規範對象 資訊工業策進會科技法律研究所 2020年12月10日 日本國會於2020年6月24日通過由內閣府提出的「科學技術基本法等修正案」(科学技術基本法等の一部を改正する法律)[1],為整合修正科學技術基本法、科學技術與創新創造活性化法(科学技術・イノベーション創出の活性化に関する法律,下稱科技創新活性化法)等法律之包裹式法案。其旨在新增創新與人文科學相關科技發展目標,將之列入基本法。並因應此一立法目的調整,修正科技創新活性化法,增訂大學、研發法人出資與產業共同研究途徑,同時調整中小企業技術革新制度之補助規範。 壹、背景目的 日本內閣府轄下之整合科學技術與創新會議(総合科学技術・イノベーション会議)於2019年11月公布的「整合提振科學技術與創新目標下之科學技術基本法願景(科学技術・イノベーション創出の総合的な振興に向けた科学技術基本法等の在り方について)」報告書提出,科學技術與創新之議題高度影響人類與社會的願景,而近年聚焦之重點,則在於全球化、數位化、AI與生命科學之發展。該報告書並進一步揭示了科學技術基本法的修訂方向[2]:(1)納入「創新創造」(イノベーション創出)之概念;(2)自相互協力的觀點,併同振興自然學科與人文學科之科學技術發展;(3)允許大學與研發法人以自身收入資助具特定創新需求、或發展新創事業之外部人士或組織;(4)從鼓勵創新創造的角度,調適建構中小企業技術革新制度。 基於該報告書之決議要旨,內閣府於2020年3月10日向國會提出本次法律修正案,並於同年6月24日正式公告修正通過[3]。公告指出,AI、IoT等科學技術與創新活動的急遽發展,造就了人類社會推動願景和科技創新密不可分的現況。因之,本次修法除將人文科學項目納入基本法科學技術振興的範疇內,亦意圖落實同步推動科學技術及創新創造振興之政策構想,建構具整合性且二者並重發展的法制環境。 貳、內容摘要 本包裹式法案主要修正科學技術基本法與科技創新活性化法。首先,本次修正並列創新與科技發展為科學技術基本法規範主軸,因之,將該法更名為「科學技術與創新基本法」(科学技術・イノベーション基本法,下稱科技創新基本法),並修訂科技創新基本法立法目的為「提升科學技術水準」以及「促進創新創造」;同時,參照科技創新活性化法相關規定,明文定義創新創造為「透過科學發現或發明、開發新商品或服務、或其他具創造性的活動,催生新興價值,並使之普及,促成經濟社會大規模變化之行為」。同時,增訂科技與創新創造的振興方針主要包含:(1)考量不同領域的特性;(2)進行跨學科的整合性研究開發;(3)推動時應慮及學術研究與學術以外研究間的衡平性;(4)與國內外的各相關機關建立具靈活性且密切的合作關係;(5)確保科學技術的多元性與公正性;(6)使創新創造之振興與科學技術振興之間建立連動性;(7)有益於全體國民;(8)用於建構社會議題解決方案。此外,亦增訂研究開發法人、大學與民間企業之義務性規範,要求研究開發法人與大學應主動、且有計畫地從事人才養成、研發與成果擴散作為;而民間企業則應致力於和研發法人或大學建立合作關係,進行研發或創新創出活動。最後,基本法內原即有要求政府應定期發布「科學技術基本計畫」,作為未來一定期間內推動科技發展政策的骨幹,本次修正除將之更名為「科學技術與創新基本計畫」(科学技術・イノベーション基本計画),亦額外要求基本計畫應擬定培養研究與新創事業所需人才的施政方針。 另一方面,配合科技創新基本法修訂與政策方向,科技創新活性化法的修正重點則為:(1)新增本法適用範圍,擴及「僅與人文科學相關的科學技術」;(2)明文創設大學或研究開發法人得與民間企業合作進行共同研究的機制,允許大學或研究開發法人出資設立「成果活用等支援法人」,並給予人力與技術支援。其可將大學、研發法人持有之專利授權給企業、與企業共同進行研究或委外研究等,藉以推動研發成果產業化運用,透過計畫的形式,和企業間建立合作關係;(3)為鼓勵與促進中小企業與個人從事新興研發,調整設立「特定新技術補助金」制度,用以補助上述研發行為;每年度內閣府則需與各主管機關協議,就特定新技術補助金的內容與發放目的作成年度方針,經內閣決議後公開。同時,在特定新技術補助金下設「指定補助金」之類型,由國家針對特定待解決之政策或社會議題,設定研發主題,透過指定補助金的發放,鼓勵中小企業參與該些特定主題之研發。 參、簡析 本次科技創新基本法的修正,為日本國內的科技發展方向,作出法律層級的政策性宣示。除將人文學科相關的科技研發正式納入基本法的規範對象內,最主要的意義,在於使創新與科技發展同列為基本法的核心目的之一,顯示其科研政策下,創新與科技的推展實存在密不可分且相輔相成的關係,而有必要整合規劃。而科技創新活性化法一方面拓展大學、研發法人等學術性或公部門色彩較為強烈的機構與民間企業合作研發、成果產業化運用的途徑;另一方面,則延續近期相關政策文件強調創新價值應自社會需求中發掘的構想[4],設置了激勵中小企業投入社會議題解決方案相關研發的補助金類型。 我國立法體例上,同樣存在科學技術基本法的設計,用以從法制層級確立國內科技發展的基礎政策方向。於COVID-19疫情期間,技術研發的創新落地應用,亦已成為我國產出各式疫情應對方案、以及後疫情時期重要政策的關鍵之一。則如何延續我國對抗COVID-19過程中所掌握的協作與成果運用經驗,或可借鏡日本的作法,使創新能量能透過研發補助機制的優化,充分銜接政策與社會需求。 [1]〈科学技術基本法等の一部を改正する法律の公布について〉,日本內閣府,https://www8.cao.go.jp/cstp/cst/kihonhou/kaisei_tuuchi.pdf (最後瀏覽日:2020/12/08)。 [2]〈「科学技術・イノベーション創出の総合的な振興に向けた科学技術基本法等の在り方について」(概要)〉,日本內閣府,https://www8.cao.go.jp/cstp/tyousakai/seidokadai/seidogaiyo.pdf(最後瀏覽日:2020/12/08)。 [3]〈第201回国会(常会)議案情報〉,日本參議院,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/201/meisai/m201080201047.htm(最後瀏覽日:2020/12/08)。 [4]〈中間とりまとめ2020未来ニーズから価値を創造するイノベーション創出に向けて〉,經濟產業省,https://www.meti.go.jp/press/2020/05/20200529009/20200529009-2.pdf(最後瀏覽日:2020/12/10)。