日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》(IoT製品に対するセキュリティ適合性評価制度構築方針),以順應國際IoT產品資安政策趨勢,因應日益嚴重的資安威脅。
本制度為自願性認證制度,由情報處理推進機構(情報処理推進機構,簡稱IPA)擔任認證機構進行監督。以IoT產品為適用對象,制定共通因應資安威脅之最低標準,再依不同產品特性需求,制定不同符合性評鑑等級,依評鑑結果進行認證,授予認證標章。不同評鑑等級差異如下:
1.等級一:為共通因應資安威脅之最低標準,可由供應商進行自我評鑑,並以評鑑結果檢查清單申請認證標章,IPA僅會針對檢查清單進行形式確認。
2.等級二:係考量產品特性後,以等級一為基礎,制定應加強之標準,與等級一相同係由供應商評鑑,自我聲明符合標準,IPA僅會針對檢查清單進行形式確認。
3.等級三:係以政府機關或關鍵基礎設施業者為主要適用對象,須經過獨立第三方機構評鑑,並以IPA為認證機構進行認證,確保產品值得信賴。
本制度可協助採購者及使用者依資安需求,選用合適的IoT產品,亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作,達成相互承認,減輕IoT產品供應商輸出海外之負擔。
中小型公司是生技產業發展的主力,然藥物研究發展模式風險及資金需求甚高,對資金不豐沛的中小型公司來說,無疑是一大負擔,因此,各國政府於促進生技醫藥產業發展之同時,相當重視如何減輕這些生技製藥公司的營運壓力,進而協助其順利茁壯。 現今歐盟境內至少有1500家中小型生技公司,為減輕這類研發導向的中小型製藥公司之財務負擔,並提供一些藥政管理上的專門協助,歐盟於去2005年12月15日通過了〝歐盟醫藥品管理局協助中小型公司發展規則(COMMISSION REGULATION (EC) No 2049/2005 laying down, pursuant to Regulation (EC) No 726/2004 of the European Parliament and of the Council, rules regarding the payment of fees to, and the receipt of administrative assistance from, the European Medicines Agency by micro, small and medium-sized enterprises,以下簡稱本規則)〞。 本規則主要是希望EMA(European Medicines Agency, 即歐盟醫藥品管理局)能透過相關規費之減免及提供科學諮詢的方式,降低中小型公司新藥上市申請費用(一般而言,人類用新藥於歐盟上市需支付14 萬歐元的申請費用),進而促進技術創新及新藥研發。另為協助中小型公司能更快速及方便地利用到這些優惠,本規則特要求EMA應於其內部建立〝中小企業辦公室(SME Office)〞,並製作詳細之使用者手冊(User Guide)供中小型公司參考。 台灣大部分的生技製藥公司亦屬中小型,故政府應思考如何幫助這些公司成長茁壯。雖然我國對生技製藥產業相關已提供投資抵減優惠,但卻無特別針對中小型生技製藥公司的藥政管理法規,歐盟前述立法及其精神值得我國借鏡。
新加坡通過「線上安全(救濟與問責)法案」強化對抗線上傷害新加坡國會於 2025 年 11 月5日三讀通過「線上安全(救濟與問責)法案」(Online Safety (Relief and Accountability) Bill, OSRA),希望透過「賦權受害者」與「強化平臺問責」來對抗日益嚴重的線上傷害事件。OSRA旨在補充個人在面對有害的線上行為(Online Harmful Activity)傷害時的救濟途徑,並設置「線上安全專員(Commissioner of Online Safety)」為處理投訴與發布救濟指令的專責機關。 OSRA明確定義了多種有害的線上行為,包括針對deepfake的「不實內容濫用」(Inauthentic material abuse),以及惡意公開他人隱私的「人肉搜索」(doxxing),而為了讓損害即時受到控制,線上安全專員在接獲國民投訴並調查評估後,可直接發出具法律效力的指令(Directions),要求平臺移除、隱藏特定內容,或限制惡意帳號的互動;若平臺不遵守指令,線上安全專員亦得向電信業者發出阻斷特定服務,或向應用程式商店發出下架特定應用程式的命令(Orders),無正當理由違反指令或命令皆有可能構成刑事責任。 此外,OSRA亦擴張了平臺的民事責任,當受害者依指定方式向平臺發出「線上傷害通知」後,若平臺未能在合理期間內採取行動,受害者得逕向平臺經營者或網站管理者提起民事訴訟要求損害賠償,若平臺無故怠慢,法院得判決加重損害賠償,希望藉此敦促平臺建立更敏捷的線上傷害控制機制。 值得注意的是,OSRA宣告了廣泛的長臂管轄機制,為保障新加坡國民的權益,不僅法院對OSRA規範的民事、刑事事件有管轄權,線上安全專員發布指令與命令的對象亦不限於境內,表現對抗全球線上傷害的強烈企圖。
美國FTC修正廣告使用推薦與見證指南美國聯邦交易委員會(Federal Trade Commission,FTC)於2009年10月5日公佈了新修正的「廣告使用推薦與見證指南(Guides Concerning the Use of Endorsements and Testimonials in Advertising)」,這是該指南自1980年制定以來第一次的更新,並於今年12月1日起生效。此次修訂特別針對商品服務使用心得做出規範,規範亦適用於社交媒體(如Facebook、Twitter及各種類型的部落格等具互動性的媒體)中之心得分享,未來在社交媒體對商品或服務所做出的各種評論,都有可能成為FTC管制的對象。 在社交媒體中所傳遞之商品心得訊息,特別是名人(在該領域分享心得出名者)所分享之訊息,對於網路使用者或消費者之影響力甚大,甚至會改變其是否選擇消費該商品或服務之意願,但其真實性卻未必有相當之保障。有鑑於此,FTC於新修正之指南中即對於心得分享之訊息作出相應規範,重點如下: 1.心得分享者若由商品或服務提供者處受有金錢或相當程度的利益給付,即非單純之心得分享,而有與廣告相同之性質。因此若有虛偽不實陳述的狀況,亦視為是不實廣告。 2.心得分享者必須揭露其與商品或服務提供者的利益關係,使其他消費者明瞭。 3.廣告中若有引用研究結果,而該研究機構為該公司所贊助時,廣告中必須揭露兩者的利益關係。 4.指南同時適用於談話性節目以及社交媒體上所為之心得分享。 而違反上述規定者,可能會依美國聯邦交易委員會法第5條(FTC Act Sec.5)之相關規定每次最高得處以1萬1千美元罰鍰。 此規定之公布引起了部落客(部落格使用者)之質疑,因此FTC廣告實務科(The Division of advertising Practices)之副科長Richard Cleland特別對此做出澄清,其指出:「FTC不會立刻處以罰鍰,也並非所有個案均嚴重至須處以罰鍰。較有可能的作法是,先以警告函警告違規的部落客。且FTC無權對違反FTC法案的行為直接處以罰鍰,若事態嚴重,則FTC會將案件移送地方法院,由法院做出各種處斷,最重可至罰鍰。」 此一指南的約束,固然提供了消費者分辨廣告與心得分享的方式,但是關於更細部的操作,例如何時可認為部落客與商品及服務業者有利益關係,仍有待實務的累積。
自資料流通機制建置擴大資料經濟市場自資料流通機制建置擴大資料經濟市場 資訊工業策進會科技法律研究所 2020年03月25日 壹、事件摘要 過往,我國之資料開放政策著力於「政府資料開放」,並將之提供予民眾及企業運用。推動上,提出主動開放,民生優先、制定開放資料規範、推動共用平台及示範宣導與服務推廣四大策略,整體成效斐然,已獲國際肯認。然而,伴隨網際網路資通訊技術的發展,智慧聯網技術的進步,人工智慧(artificial intelligence, AI)、物聯網(Internet of Things, IoT)、區塊鏈、AR/VR等涉及資料運用之新興科技相繼萌芽,觸發對資料的大量需求。 特別是我國在新興科技領域之新創企業,為扣合「少量、多樣、個人化」的長尾型市場(Long Tail Market)發展趨勢,以形塑可應對少數大量應用、重視產品或服務客製化特性之商業模式[1],資料更是驅動其成長不可或缺的石油。只是勘查我國私部門資料開放現況,首先是《個人資料保護法》等法令遵循事宜,致使企業釋出資料意願較低;次者是跨國大企業資料霸權時代下,新創、中小企業難以在資料獲取上與之競爭;其三則是即便已有資料交易管道,仍尚乏可提升資料交易透明度、信任度及品質之措施可循。是以,亟待相應措施緩解上開問題。 觀測國際間促進私部門資料釋出與流通之作法,一者係透過中介作為決定資料釋出與否之交易模式(如美國之資料仲介);二者係回歸資料自主理念,由個人決定資料是否釋出之形式(如歐盟My Data 、日本情報銀行)。為回應上開問題,本文擇定日本以個人為出發點之資料流通措施為例,研析其促進資料交易流通所採行之制度與服務模式,期能作為我國擬訂資料經濟促進措施時,可攻錯的他山之石。 貳、重點說明 一、日本情報銀行制度建立背景 日本在資料流通與運用所面臨的挑戰,與我國同樣面臨個資法遵、資料交易信任度不足以及難與資料霸權者相競爭的困境。 據研究顯示,單以日本100家主要的線上購物網站為對象調查,即有高達一半比例的業者將用戶資料與外部各方共享而未具體向用戶明示,甚至未提供用戶拒絕提供資料的方式。由於普遍發生個人資料由營運業者蒐集後,進行目的外利用,致使在資料共用及利用上,容易因為業者未充分解釋利用之資料內容及對用戶的好處,而降低用戶同意或協力提供資料之意願[2]。此外,日本也意識到多數資訊被GAFA(Google、Apple、Facebook、Amazon)等大型網路服務業者掌控,從而壓縮日本本土業者的生存空間 [3],為避免未來資料可能會被大型網路服務業者所壟斷,不利未來日本資通訊與數位化社會發展,日本政府認為有必要建立被個人信任的第三方制度協助處理資料,以鞏固國家資料價值發展能量。 為此,日本提出情報銀行概念,並且由總務省與經濟產業省於2017年11月至2018年4月間相繼召開6次「資料信託功能認定機制檢討會」(情報信託機能の認定スキームの在り方に関する検討会),檢討具備資料信託功能之「情報銀行」認定基準及契約建議記載事項[4],期藉此機制形塑有利(個人)資料流通之模式[5]。 二、日本情報銀行制度介紹 (一)情報銀行架構 日本情報銀行架構係建立於其既有的PDS(Personal Data Stores)及資料交易市場平台之上。所謂PDS是由個人管理、儲存資料的機制,並可提供予第三方使用資料,還可分為由個人擁有終端載具,自行管理個人資料的分散型,以及由個人委託營運商(即提供服務之第三方)儲存與管理資料的集中型。至於資料交易市場,則係一種對供需雙方進行仲介,促使雙方通過買賣等方式進行交易之機制。是以,資料交易市場本身具有媒合之功能,但以匿名化資料及非屬個人資料為大宗。由於資料交易市場的仲介性質,須保持中立性,本身不會參與資料之蒐集、保存、處理和交易活動。 情報銀行則是自資料交易市場衍生,同時結合了PDS之特性,因此資料銀行本身會進行資料的蒐集、保存、處理和交易行為,並根據與個人簽訂之契約,利用PDS系統管理個人資料,按個人指示或其預先設定之條件管理個人資料,必要時對資料作匿名化,以提供予第三方使用。 圖 1日本個人資料交易架構 資料來源: 21世紀政策研究所,データ利活用と產業化,2018年5月。 (二)情報銀行功能-資料信託 情報銀行的建立,相當性地將顛覆過往GAFA(Google、Apple、Facebook、Amazon)公司的商業模式。 透過情報銀行機制,過往資料持有業者提供匿名加工、統計資料交易模式下,所無法克服獲取個人同意的難題將可獲得解消。情報銀行基於以個人為中心的資料活用精神,導入「資料信託」作法大幅度提升個人資料利、活用之意願。 資料信託之「信託」,並不一定係指法律上的信託概念,而是類似信託一樣的做法,係屬一種經濟關係,分別由信託人(資料主體)、受託人(資料銀行)及受益人(可能是信託人本人)所組成[6]。具體來說,信託人通過信託行為,預先指定或設定條件將其資料信託予受託人,並由受託人按信託人設定信託之目的,為其管理個人資料,並應善盡管理個人資料之義務。 情報銀行以信託方式進行個人資料管理,可能從事個人資料匿名化、協助談判交易條件、監控資料使用方式、代收和管理使用費以及支付與管理個人利益[7]等五類事項。 (三)情報銀行之驗證系統與運作機制 為確保資料流通基礎的安全性、資料流通情形揭露之透明性以及情報銀行業者之可靠性,總務省在2018年10月偕同日本IT團體聯盟組成「情報銀行推進委員會」,設計「情報信託機能驗證指引」(2018年6月發布第1版;2019年10月提出第2版)作為情報銀行驗證之基礎。只是,該驗證並不具強制性,未取得者仍可進行情報銀行之業務,僅係藉由驗證手段建立社會大眾對情報銀行之信心[8]。而就情報銀行的驗證基準,可分成業者資格、資料安全、資料治理及業務內容,分述如下: 業者資格:能擔保資料安全,具損害賠償能力的法人; 資料安全:須確保資訊安全與隱私受到足夠的保障,並定期更新隱私標章或驗證,以符合個資法與相關法規之要求; 管理體系:建立管理體系以明確管理職責,籌組「資料倫理審查會」,委員包括工程師、安全專家、法律從業者、資料倫理專家、消費者等,情報銀行並須定期向資料倫理審查會報告; 業務內容:情報銀行應明確揭示所開展業務,尤其是涉及個人資料範圍時,應揭示取得方法與使用目的。情報銀行在提供個人資料予第三方時,須明確對第三方的判斷標準、流程與使用目的。 截至2020年2月為止,日本IT團體聯盟進行了三波情報銀行認定,共三井住友信託銀行、FiliCa Pocket Marketing、J.Score、中部電力株式會社等四家業者通過情報銀行認證[9]。 除了推行建立情報銀行驗證系統外,日本總務省考量業者與資料主體間地位的不平等,以及業者在擬定資料信託契約上,或可能需要由政府提供一定程度提示,一併推出資料信託機能定型化契約應記載事項,敘明契約應涵蓋如情報銀行業務範圍、權利義務、損害賠償等內容,以明確情報銀行和個人間就資料利用之目的、範圍以及權責關係。其中,特別的是,由於日本《個人資料保護法》對於個人資料之蒐集、處理及利用係以個人同意為基礎開展,是故,在資料信託機能定型化契約應記載事項中特別就此明示情報銀行應該按照個人事前同意的範圍為個人控制資料。只是,如何解釋事前同意的範圍,整體來說,所同意的範圍必須是個人可以預測的範圍內進行解釋和操作。再者,為了確保個人資料的可控性,針對資料需求者再提供資料予其他第三人情況,強調必須就第三方和使用目的適度獲得個人同意才可為之。 值得一提的是,情報銀行必須設置「資料倫理審查委員會」諮詢體制,就情報銀行業務考量其適當性並提供建議,包含:個人與情報銀行間契約內容、使用情報銀行信託個人資料之目的、將信託資料提供予第三方之條件等[10]。 參、事件評析 一、我國現況 我國自行政院2012年第3322次院務決議推動政府資料開放以來,持續就政府資料開放不斷精進,包含2015年建置資料開放規範與相關環境[11]、2017年討論個人資料運用與政府資料開放政策,提出以民為本的「數位服務個人化(My Data)」,打造「一站式」服務措施[12]。實質上,已隱然含有回歸資料自主理念,由個人決定資料是否釋出之精神。 我國所推行之My Data服務可分為二種,一是按照個人需求,透過平台讓個人可下載自己的個人資料;二是透過線上服務授權,由民眾授權政府或民間業者取得個人資料,如醫療、戶政、教育、金融、勞健保或水電等方面之資料,再由相關領域之業者提供民眾所需的整合式個人化服務[13]。惟目前我國在My Data應用上,仍是以民眾自行下載政府機關所蒐集資料,再由民眾依其意願與需求提供予政府機關或民間企業為主,整體上,相當程度緩解《個人資料保護法》的限制,直接由資料主體釋出資料予資料利用者;藉由個人控制自己資料形式突圍資料霸權現象。但在建立資料交易透明度與信任度上,仍尚乏相應機制;在推行資料流通機制並擴大資料經濟市場之作為上,尚未有如同日本情報銀行機制等資料流通機制做為橋樑,協助弭平私部門資料流通最後一哩路之障礙。 二、我國未來制度設計方向建議 誠如前述,我國My Data機制現階段仍以公部門持有之個人資料為主,較缺乏私部門持有之個人資料。究其原因主要有三,一為業者釋出資料時,有其《個人資料保護法》等法令遵循上之成本及考量;二是社會普遍就個人資料被利用之情況的信任度不足;三則係欠缺誘因鼓勵業者或個人將資料釋出。 是以,或許如同日本情報銀行之作法,藉由可信任之第三方作為資料流通基盤,鼓勵促進個人資料加值再利用,避免私部門運用時囿於法規範而有所侷限。只是,於此必須注意日本情報銀行機制採用之資料信託,倘欲轉化為適於我國現行法規者,或需考量資料本身性質並非財產權之範疇,無法作為信託契約標的情形,而宜採行委任契約作法為妥。此外,在信任度與透明度建立上,日本通過驗證機制和資料倫理委員會的審查制度雙重管控做法,亦值得我國未來設計資料流通機制時引為借鏡。 肆、結語 有鑑於資料逐漸成為影響競爭力的重要因素,且如今大量的個人資料皆掌握在國外大型網路服務商手中,為有效提升我國業者的國際競爭力,政府或可參考日本情報銀行之模式,由民間機構分別負責驗證、擔任情報銀行之角色,並引入資料倫理審查會,透過公正之第三方審查資料流通平台業者是否公允,以促成資料經濟發展與保障個人資料之環境的形成。 [1]趙祖佑、周駿呈、涂家瑋,〈物聯網應用發展趨勢與商機─資料經濟篇〉,頁18-19(2015)。 [2]データ流通環境整備検討会,〈AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめ〉,頁5(2017/3)。 [3]松ヶ枝優佳,〈データ主義時代の新たな銀行「情報銀行」とはなにか〉,Open Innovation Japan,2019/03/11,https://jbpress.ismedia.jp/articles/-/55684?page=4(最後瀏覽日:2020/02/19)。 [4]周晨蕙,〈日本公布資料信託功能認定指引ver1.0並進行相關實驗〉,科技法律研究所,2018/10,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=156&d=8115(最後瀏覽日:2020/02/19)。 [5]情報信託機能の認定スキームの在り方に関する検討会,〈情報信託機能の認定に係る指針ver2.0〉,2019/10,https://www.soumu.go.jp/main_content/000649152.pdf(最後瀏覽日:2020/02/19)。 [6]辰巳 憲一,〈個人情報信託の経済分析~プライバシー情報を保護しながら信託で一元管理する~〉,学習院大学経済論集第48巻第2号,頁98(2011/7)。 [7]同前註。 [8]Jiji, Japan Grants Certification for First Time to ‘Information Banks’, The Japan Times (July 9, 2019), https://www.japantimes.co.jp/news/2019/07/09/business/japan-grants-certification-first-time-information-banks/#.XkymJygzZhE (last visited Feb. 19, 2020). [9]一般社団法人日本IT団体連盟,〈日本IT団体連盟、「情報銀行」認定(第1弾)を決定〉,2019/06/26,https://itrenmei.jp/topics/2019/3646/;一般社団法人日本IT団体連盟,〈日本IT団体連盟、「情報銀行」認定(第2弾)を決定〉,2019/12/25,https://www.itrenmei.jp/topics/2019/3652/;一般社団法人日本IT団体連盟,〈日本IT団体連盟、「情報銀行」認定(第3弾)を決定〉,2020/02/17,https://www.itrenmei.jp/topics/2020/3657/(最後瀏覽日:2020/02/19)。 [10]日本IT團體聯盟,「情報銀行」の推進に向けた取組みについて,2019年9月30日。 [11]國家發展委員會,〈政府資料開放〉,https://www.ndc.gov.tw/Content_List.aspx?n=9B973A5871579AC7(最後瀏覽日:2020/02/20)。 [12]國家發展委員會,〈數位服務個人化(My Data)〉,https://www.ndc.gov.tw/cp.aspx?n=8B6C9C324E6BF233&s=460617D071481C4B(最後瀏覽日:2020/02/20)。 [13]王若樸,〈國發會My Data政策未來怎麼走?學者建議應跨產業推動資料治理〉,iThome,2019/09/12,https://www.ithome.com.tw/news/133002(最後瀏覽日:2020/02/20)。