英國資訊委員會(ICO):企業應用巨量資料技術時可能得以合法權益為由處理個人資料
英國資訊委員會(Information Commissioner’s Office, 以下簡稱ICO)最近對於2014年「巨量資料與個資隱私保護報告」(Big Data and Data Protection)進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提,才得以進行巨量資料統計分析技術應用;且未充分認知當資料控制者(企業或組織)具合法權益(legitimate interest)時,可能得以處理個人資料的可能。意者並進一步建議當資料控制者(企業或組織)符合合法權益時,應可將個人資料用於新用途,強調這種依據合法權益所進行之資料處理,應著重於該資料控制者(企業或組織)對於個人資料的責任(accountability),而非各別取得資料當事人的同意。
對此,ICO回覆,認為巨量資料統計分析技術的應用,應在資料控制者(企業或組織)的合法權益、與資料當事人的權利、自由與合法權益間,取得平衡。依據歐盟資料保護指令(Data Protection Directive)與英國資料保護法(Data Protection Act)的規定,資料控制者(企業或組織)得於具法定依據時,處理個人資料,例如取得個資當事人的同意處理其個人資料,或資料控制者(企業或組織)具法定義務處理個人資料(例如法院命令)。除此之外,企業或組織還可以主張於其對於個人資料具合法權益(legitimate interest),主張進一步處理個人資料(新用途),除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗(unduly prejudice)的損害。ICO亦同意,資料的應用應著重監督資料控制者(企業或組織)與加強其責任(accountability)。
ICO除再度闡明在「巨量資料與個資隱私保護報告」,資料控制者(企業或組織)必須公平且通透(transparent)地處理個人資料,對於當資料控制者(企業或組織)發現個人資料的新用途時,亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。
ICO建議,資料控制者(企業或組織)應當先行檢視資料當事人是否確實同意其個人資料的處理,或該資料控制者具處理個人資料之其法定依據。再者,如果不具上述二者之一,資料控制者(企業或組織)若需將使用個人資料於新用途,則必須另行取得資料當事人的同意,始得為之。此時,必須同時評估為了新用途所為之個人資料處理,是否與資料蒐集之特定目的相容(compatible)。
至於,判斷新用途是否與個人資料蒐集與處理之特定目的相容,部分取決於個人資料處理是否公平(fair)。這意味著資料控制者(企業或組織)必須對於為新用途所為之個資處理,提出對於資料當事人隱私影響之評估,以及該個資的使用與處理,是否仍合於資料當事人的合理期待。
本文為「經濟部產業技術司科技專案成果」
根據歐盟執委會(European Commission)之聯合研究中心(Joint Research Centre, JRC)於今(2012)年初針對歐盟境內之1000間企業所做的「歐盟產業研發投資趨勢調查」(The EU Survey on R&D Investment Business Trends)結果指出,目前歐盟境內之頂尖企業期待自2012年至2014年止,以每年平均4%的成長率投注資源於研究發展領域。 儘管目前全球經濟局勢仍不明朗,多數的歐盟企業依舊認為,投注研究發展乃為企業追求未來成長和繁榮的重要關鍵要素。而該現象主要於軟體和電腦服務產業最為明顯。除了企業自身投注研發資源以進行創新研發、市場調查、和新產品的推行等相關活動外,多數的企業亦認為藉由國家補助經費、成立公私部門夥伴合作模式,此類外部激勵方式對於企業創新活動的進行,具有相當之助益。此外,透過簽署各項合作協議,企業與學研機構間得以相互授權合作,進而促進知識分享,此皆目前強調開放式創新(open innovation)概念的具體實踐之例,實值得肯認。然而,歐盟企業亦普遍認為,現行歐盟智慧財產權機制仍有智慧財產權保護申請時程過長,以及申請智慧財產權保護所需費用過於昂貴等不足之處,而該不足之處乃為目前歐盟企業進行創新研發活動時的絆腳石。 如何促進企業之創新研發能力,乃為目前全球各國於規劃推動各項相關策略時之主要討論標的之一。儘管當前歐盟智慧財產機制仍有待改善之處,然就歐盟企業所肯認之跨機關構合作模式、合作協議之簽署、國家經費之補助等措施,仍值得進行進一步的探討與觀察。
芬蘭電子化政府服務法制發展簡介 日本總務省公布「2006年版資訊通信白皮書」日本資訊通信領域主管機關「總務省」 7 月 4 日 公布「 2006 年版資訊通信白皮書」。本年度白皮書除按照慣例闡述資訊通信政策之實施現況(第 2 章)以及今後推動方向(第 3 章)外,更本諸過去數年「 u 化社會」( ubiquitous network society )願景之研析成果與發展脈絡,將 u 化社會之願景與現實生活的技術或應用發展趨勢兩相比較,指出於逐步邁向該等願景的同時,社會整體經濟結構的特性也開始有所變化。 基於前開變化主係肇因於技術變遷、應用普及、逐步邁向 u 化社會願景之故,本年度白皮書第 1 章乃將之稱為「 u 化經濟」( ubiquitous economy ),並認為自宏觀角度而言,資通產業對於國家經濟實力之貢獻有增無減;另自微觀角度而言,個別用戶的重要性將會更加凸顯,資訊的流通傳遞也會更有效率,而本諸知識迅速累積分享的結果,生產力同樣可望大幅提昇。今後亦當本諸此等認知,規劃能令個別用戶放心使用之安全環境,弭平基礎建設未能完全普及之數位落差現象,預先具體指明可能發生之爭議課題,妥善探究適合 u 化社會願景實現之因應對策,以利全體國民均能充分享用 u 化社會所能帶來的福祉。
華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。 此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。