美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令
美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下:
1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。
2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。
3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。
4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。
我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
- Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, THE WHITE HOUSE
- Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Executive Order 14117 of February 28, 2024, FEDERAL REGISTER
- National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Advance notice of proposed rulemaking, FEDERAL REGISTER
- 〈進/出口趨勢〉,台經院產經資料庫
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳政陽
法律研究員 編譯整理
Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/, (last visited Mar. 21, 2024).
Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, Executive Order 14117 of February 28, 2024, FEDERAL REGISTER, https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related, (last visited Mar. 21, 2024).
National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Advance notice of proposed rulemaking, FEDERAL REGISTER, https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and, (last visited Mar. 21, 2024).
〈進/出口趨勢〉,台經院產經資料庫,https://tie.tier.org.tw/number_db/twnio/dbmain.aspx,(最後瀏覽日:2024/03/21)。
美國聯邦上訴法院哥倫比亞巡迴分院(US Court of Appeals for the District of Columbia Circuit)於2010年1月12日,針對網路中立議題召開口頭辯論聽證會。該案上訴人為美國目前電視及網路服務市佔率最高的Comcast所提出,系爭案由為聯邦通信委員會(Federal Communication Commission, FCC)於2008年禁止網路服務提供者(Internet Services Provider, ISP)限制其用戶使用BitTorrent。 BitTorrent為一種常見的點對點傳輸程式,多用以線上檔案分享。該公司認為,FCC並沒有足夠的權力要求其不分用戶等級,全部提供毫無限制的服務;而FCC卻從保護消費者及網路應開放自由進入的角度辯述,從而使FCC是否有權力規範網路中立(Internet Neutrality)之議題邁入更激烈的討論。 所謂「網路中立」,意指網路服務提供者不得因傳送或下載資訊種類差異而提供不平等的流量服務。早在2005年,FCC即有一套管制網路服務提供者侵害網路中立的審查標準,但該標準並非為一體適用的法律位階,而FCC是否得依職權制定網路中立的規範,一直以來亦有所爭議,是故此次其與Comcast對簿公堂,FCC最終目的即是在尋求法院之見解,希冀獲得聯邦法院的支持而使其立法行動名正言順。 對此,聯邦最高法院原則上認同FCC以往對於「資訊服務」的見解,亦即,由於傳統電信服務往往與重大基礎建設相關,尤其是網路開放接取的相關規定,FCC應提高其管制密度;而屬低度管制的資訊服務(Lightly Regulated Information Service)則不應與電信服務有相同的對待;是故Comcast據認在網路中立尚未有明確權責規劃前,FCC實無權插手管控Comcast所提供之資訊服務。此外,該公司亦提出,類似BitTorrent的點對點傳輸應用程式往往用於大量檔案的交換,無限制地提供所有用戶使用,不但造成整體網路服務效能下降,由於傳輸的內容往往為影音檔案,亦間接侵害了Comcast本身的電視業務。 對此,雙方目前仍各執一詞,由於案件目前尚在上訴法院審理,FCC此次投石問路的策略是否成功還在未定之天,但可以確定的是,不論法院的見解為何,網路中立的爭議恐將持續發酵,並對後續網路服務提供之發展產生一定影響。
德國向歐盟提交《人工智慧白皮書-歐洲卓越與信任概念》及《人工智慧,物聯網和機器人技術對安全和責任之影響報告》意見德國聯邦政府於2020年6月29日,針對歐盟執委會於2020年2月19日公布的《人工智慧白皮書-歐洲卓越與信任概念》(Weißbuch zur Künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen)及《人工智慧,物聯網和機器人技術對安全和責任之影響報告》(Bericht über die Auswirkungen künstlicher Intelligenz, des Internets der Dinge und der Robotik in Hinblick auf Sicherheit und Haftung) 提交意見,期能促進以負責任、公益導向、以人為本的人工智慧開發及使用行為,並同時提升歐盟的競爭力及創新能力。 歐盟執委會所發布的人工智慧的白皮書及人工智慧對安全和責任的影響報告,一方面可促進人工智慧使用,另一方面則藉此提醒相關風險。本次意見主要集結德國聯邦經濟與能源部、教育與研究部、勞動與社會事務部、內政、建築及社區部以及司法與消費者保護部之意見。德國政府表示,投資人工智慧為重要計畫之一,可確保未來的創新和競爭力,以及應對諸如COVID-19疫情等危機。最重要的是,可透過人工智慧的應用扶持中小型公司。然而在進行監管時,必須注意應促進技術發展而非抑制創新。 在《人工智會白皮書-歐洲卓越與信任概念》中指出,人工智慧發展應在充分尊重歐盟公民的價值觀和權利的前提下,實現AI的可信賴性和安全發展之政策抉擇,並於整體價值鏈中實現「卓越生態系統」(Ökosystem für Exzellenz),並建立適當獎勵機制,以加速採用AI技術為基礎之解決方案。未來歐洲AI監管框架將創建一個獨特的「信任生態系統」(Ökosystem für Vertrauen),並確保其能遵守歐盟法規,包括保護基本權利和消費者權益,尤其對於在歐盟營運且具有高風險的AI系統更應嚴格遵守。此外,應使公民有信心接受AI,並提供公司和公共組織使用AI進行創新之法律確定性。歐盟執委會將大力支持建立以人為本之AI開發方法,並考慮將AI專家小組制定的道德準則投入試行階段。德國政府指出,除了要制定並遵守歐洲AI的監管政策外,應特別注重保護人民之基本權,例如個人資料與隱私、消費者安全、資料自決權、職業自由、平等待遇等,並呼籲國際間應密切合作,運用人工智慧技術克服疫情、社會和生態永續性等挑戰。另外,德國政府亦支持將人工智慧測試中心與真實實驗室(監理沙盒場域)相結合,以助於加速企業實際運用,也將帶頭促進AI在公部門之運用。 在《人工智慧,物聯網和機器人技術對安全和責任之影響報告》中則指出,歐洲希望成為AI、IoT和機器人技術的領導者,將需要清楚、可預測的法律框架來應對技術的挑戰,包括明確的安全和責任框架,以確保消費者保護及企業合法性。AI、IoT和機器人技術等新數位技術的出現,將對產品安全性和責任方面出現新挑戰,而在當前的產品安全法規上,缺乏相關規範,特別是在一般產品的安全指令,機械指令,無線電設備指令等,未來將以一致地在各框架內針對不同法律進行調修。在責任方面,雖然原則上現有法令尚仍可應對新興技術,但人工智慧規模的的不斷變化和綜合影響,將可能增加對受害者提供賠償的困難度,導致不公平或效率低下的情形產生,為改善此一潛在不確定性,可考慮在歐盟層級調修產品責任指令和國家責任制度,以顧及不同AI應用所帶來的不同風險。德國政府除了支持歐盟作法,在創新與監管取得平衡,更強調應不斷檢視產品安全和產品責任法是否可滿足技術發展,尤其是對重要特定產業的要求,甚至修改舉證責任。並可透過標準化制定,加速人工智慧相關產品與服務的開發。另外,應依照風險高低擬定分類方法,並建議創建高風險AI系統之註冊與事故報告義務,以及相關數據保存、記錄及資料提供之義務,針對低風險AI應用則採自願認證制度。
英國推動農場資料認證計畫,首重資料生成、保護與維護管理英國Farm Data Principles組織(下稱FDP,前身為英國農場資料委員會(The British Farm Data Council)),在2024年2月26日英國農業科學技術跨黨派小組(All Party Parliamentary Group for Science & Technology in Agriculture)於西敏寺辦理的會議,正式宣告農場資料認證計畫,FDP強調因目前欠缺資料治理原則,導致缺乏信任等資料使用障礙,並指出若未事先約定資料如何使用等,將致無法明確保護資料。截至目前為止,已經有7個組織取得完全(Full)或臨時(Provisional)認證。 農場資料認證計畫包含四大核心要求,分別為: 1.「您的資料是您的資料(YOUR DATA IS YOUR DATA)」:如強調應由資料生成者擁有及管控資料,且未經其許可,不得接觸、儲存、共享或銷售資料,以及應明確說明參與資料處理的對象等。 2.「通過認證的組織清楚資料共享的價值和好處(CERTIFIED ORGANISATIONS ARE CLEAR ABOUT THE VALUE AND BENEFIT OF DATA SHARING)」:如應針對資料使用範圍及方式,提供明確說明,以及必須解釋如何整合資料及其衍生的價值等。 3.「通過認證的組織須確保資料安全(CERTIFIED ORGANISATIONS KEEP YOUR DATA SAFE)」:如為維護資料安全,應採取適當的資料安全標準及規劃資料外洩處理流程等。 4.「通過認證的組織須努力使資料變得簡單(CERTIFIED ORGANISATIONS STRIVE TO MAKE DATA EASY)」:如提供資料相關教育訓練,以及確保組織能夠回應請求或投訴等。 為因應農業資料於研發過程中的資料應用風險,資策會科法所創意智財中心協助農業部研擬「智慧農業科技研發資料源頭查檢說明手冊」,並於2024年3月14日正式發布,相關手冊所附之資料管理查檢表,可協助智農科技研發者針對資料取得、使用及管理,事先進行整體性規劃,並與不同的資料提供者及合作對象就資料權利義務約定清楚。其中針對資料管理,更依照資料生成、保護及維護的標準化作業流程,設計各階段相應的管控要項,確保農業資料持續處於有效管理的狀態,以降低資料潛在風險,促進資料流通應用。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
中國大陸加入國際工業設計保護的海牙體系世界智慧財產權組織(World Intellectual Property Organization,簡稱WIPO)宣布中國大陸於2022年2月5日提交了加入《海牙協定》1999 年日內瓦文本的文件,加入國際工業設計註冊的海牙體系(Hague System),該協定將於2022年5月5日在中國大陸生效。隨著中國大陸的加入,海牙體系涵蓋的國家總數將達到 94 個,其中包含根據世界銀行排名十大經濟市場中的九個。 工業設計形成物品的裝飾,其可由三維特徵(例如物品的形狀)或二維特徵(例如圖案、線條或顏色)組成,圖形用戶界面或虛擬世界物品則成為最近流行的設計形式。海牙體系為工業設計提供國際保護的解決方案,申請人不需要在各個國家或地區分別提交多次申請,只要透過海牙體系提交一份國際申請,就可在90多個國家/地區註冊多達100項設計。 據統計,2020 年中國大陸居民共提交了795,504件設計,約佔全球總數的 55%。中國大陸加入海牙體系將使其居民可更容易地在海外取得工業設計保護並推廣市場,外國設計師也將能夠更容易地進入中國大陸市場。 我國企業或設計師如有工業設計保護需求,亦可評估運用海牙體系提交國際工業設計申請,在多個國家取得設計註冊。