第三章 隱私保護標準組織發展與挑戰
第二節 隱私保護相關標準組織
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
波瀾,在行動應用軟體相關隱私保護規範尚未完備之際,同時透過國 際標準組織、區域組織和產業組織等自律發展,形成隱私保護標準,
透過標準推動、產業自律併行,可彌補相關法令規範未及之處。
第二節 隱私保護相關標準組織
本節整理國際上隱私保護相關民間標準組織,包括:BSI、IETF、
ISO、ITU-T、OASIS、W3C、PCI SSC、TCG、GSMA、MEF 等,並 特別介紹幾個知名國際標準組織之標準制定程序,例如 ISO 之提案、
籌備、審查、徵詢同意、批准實施等,以及後續推動作法等。
第一項 BSI59
BSI 集團於 1901 年以工程標準委員會的身份成立以來,至今 已發展成為全球頂尖之獨立專業服務企業。BSI 在歐洲和中亞 27 個國家、亞洲 12 個國家、拉丁美洲等 19 個國家和 20 個非洲和中 東國家提供客戶服務。目前集團主要分為三個事業群,負責全球的 營運:BSI 英國標準、BSI 管理系統、BSI 產品服務。BSI 為管理 系統與產品提供驗證服務,提供產品測試服務,開發個別、國家及 國際性的標準,提供標準與國際貿易的訓練與資訊,以及提供績效 管理軟體解決方案。
屬於英國國家標準體系的 BSI 英國標準,擁有全球認可之獨 立、公正與創新聲譽,為結合最佳實務之標準制定機構。BSI 制定 與銷售符合企業與社會需求的標準,與標準化解決方案。BSI 管理 系統提供獨立的第三方管理系統驗證服務。同時藉由其開發之 Entropy 軟體服務,可協助企業改善環境、社會與經濟等方面的績 效。BSI 產品服務則提供產品認證之服務。BSI 產品服務具有測試 多樣工業與消費性產品的能力,例如營建、消防、電器、電子、工 程產品與醫療設備等,並能為全世界大多數的國家提供技術需求鑑 定、產品測試及驗證方案等服務。BSI 針對標準、管理系統、企業 提升、法規許可及國際貿易等專業項目,提供訓練、會議、資訊和 知識的頂尖服務。其中,並包括協助客戶,瞭解如何將標準融入日 常生活作業的指導服務。
BSI 的標準是透過合作和協議的過程產生。當組織代表對某一 項議題有興趣時,將會形成一個技術委員會以起草標準,交由 BSI
59 參考 http://www.bsigroup.tw/以及 http://www.bsigroup.com (last visited 2013/4/1)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
的工作人員協助標準發展與審查。技術委員是由產業團體代表、研 究和測試組織、地方和中央政府、標準使用者等所組成。BSI 的百 年標準形成經驗,引領專家群順利達成共識,標準制定之程序是相 當嚴格且透明化的。BSI 公布起草 BS(British Standards)標準的 標準原則(A standard for standards – Principles of standardization)
和 PAS(Publicly Available Specification)的標準原則(Principles of PAS standardization)。PAS 在很多方面是類似 BS,然而,它是回應 提供資源外部贊助者的委員會,可快速的發展和公告以滿足企業立 即的需求。除 BS 和 PAS 之外,另有預期的標準(bespoke standard)。
多數 BS 標準是國際性的,透過與 ISO 和 IEC 等國際性組織,
或透過歐洲的 CEN、CENELEC 和 ETSI 等合作發展。BSI 密切參 與這些組織之各層級,包括技術委員會,也經常提名會員參與國際 標準發展。BSI 有義務採納 CEN、CENELEC 和 ETSI 發展之歐洲 標準,一旦 BS 與之衝突時即須撤銷,但此不適用於國際標準。BSI 標準開發時間,一般需要 12 至 15 個月,如果是屬於歐盟等國際標 準,可能花費三年,視議題的複雜性和參與的利害關係人而訂,國 際標準通常比當地標準需花費更長的時間,因此 BSI 也會發展非屬 於國際性的英國境內標準。
BSI 標準產生之主要流程包括:
• 委員會 – 由組織提名之專家團體,對標準應用和內容有興趣 者;
• 顧問 – 制定草案提供有興趣者審查和評論;
• 共識 – 通常儘可能由多數委員會成員同意而決定標準內 容,而非採取多數決。
目前有 1,350 個 BSI 委員會,共約 10,000 個委員,每年集會數 次。委員會成員是自願性加入,無給職的。委員會主席在標準工作 上被賦予關鍵性的位置,帶領委員會達成共識,確保立基於歐盟和 國際標準議題上發展標準,並透過合適的論壇和有效措施達成,提 出策略性規劃等。當有爭議時,如顯然標準化工作不能在合理時間 範圍內成功,營運總監即會被撤換。
BSI 的六大類型標準為:
• 規格 – 訂定滿足產品、材料、過程、服務或是系統,並檢查 符合性,詳細的程序要件。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
• 方法 – 提供應如何執行活動之完整說明,和如何按照目標達 成結論。
• 指南 – 有關議題之一般和廣泛性資訊,並在適當時提供背景 資料。
• 標準詞彙 – 列出用在特定部門、領域或紀律上之定義名詞
• 施行規範 – 包括被接受的良好施行建議,可帶來實際經驗和 獲得需要的知識,以利於存取和使用資訊。
• 分類 – 包括不同等級產品的指定和說明,依階層順序辨識 和安排資料。
BSI 標準發展階段包括:新工作提案、認可計畫、草案、公開 評論期、核可、公告出版、維護和審查。BSI 提供線上審查草案系 統(http://drafts.bsigroup.com)。標準的核定是透過委員們的共識達 成的,並經過委員會主席和秘書處背書簽核後,發布標準。總監會 確保所有通過的 BSI 標準,皆符合所有程序。BSI 會透過 BSI 網站 和 Update Standards 雜誌發布出版品。國際標準和歐洲標準每隔一 至五年審查一次,BSI 相關技術委員會將確認,是否需要更動、些 微更新、重大更新、撤銷或是宣告過時。
第二項 IETF
幾乎所有的網際網路技術標準都是由網際網路協會(Internet Society, ISOC)發展訂定的。在ISOC負責主導運作的單位包括:
IAB、IESG(Internet Engineering Steering Group)、IETF(The Internet Engineering Task Force)、IESG(the Internet Engineering Steering Group)、IRSG(the Internet Research Steering Group)、IRTF(the Internet Research Task Force)以及RFC編輯,但在技術工作上ISOC 賦予高度獨立性60。
IETF 正式成立於 1989 年,是一個開放且獨立的網際網路標準 國際組織,由網際網路協會(Internet Society, ISOC)所支援成立。
IETF 是主要的網際網路發展論壇,其主要工作議題範疇包括:網 際網路應用有關的所有協定(protocol)、程序、慣例(convention)。
如 TCP/IP 傳輸協定即是 IETF 發展的知名網際網路標準。
60 參考 Alex Simonelis, A Concise Guide to the Major Internet Bodies, Magazine Ubiquity, Feburary 2005, http://ubiquity.acm.org.autorpa.lib.nccu.edu.tw/article.cfm?id=1071915 (last visited
2013/4/16);參考財團法人台灣網路資訊中心,2011 年 IETF 第 82 次台北會議活動說明書,
http://www.ietf82.tw/2011_IETF82_Taipei-final-chn.pdf,2011 年,最後上網日期 2013/4/14。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
IETF 開放給全球關心網際網路技術發展的網際網路設計者、
業者、使用者、研究人員及獨立人士參與,以各領域之「工作群組」
(working group)形式完成技術性工作研擬。為了便於運作和管 理,IETF 工作群組劃編為數個領域(area),每個領域各有其發展 方向,但這並不是固定領域,而是視需要隨時機動改變。各領域總 監與 IETF 主席組成 IESG,負責 IETF 整體運作,並接受 IAB 的監 督。
IETF 最主要功能是制定網際網路技術標準規範,平時相關討 論及意見交換是透過電子郵件群組(mailing lists)來完成,每年定 期召開三次會議,讓網際網路世界得以有共同的標準規範遵循,藉 以達到網路互連互通。
IETF定期於每年 3 月、7 月及 11 月召開三次會議,並公開徵 求每年度三次會議之主辦單位。在近十年會議中,每次至少有來自 全球近 60 餘國,1,000~1,500 位參與之規模,包含網路業界高階技 術主管、研發單位人員及工程師等與會者61。
目前 IETF 分為幾個技術領域,包含:應用層領域(Applications Area);網際網路領域(Internet Area);一般領域(General Area);
營運和管理領域(Operations and Management Area);即時應用和 基礎架構領域(Real-time Applications and Infrastructure Area);路 由領域(Routing Area);安全領域(Security Area);傳輸層領域
(Transport Area)。
各技術領域總監(Area Directors, ADs)主導各工作組(Working Group, WG),同時是 IESG 委員。IAB 提供架構性洞見,依據 ISOC 章程,如果有任何異議在 IESG 未獲解決時,IAB 可裁定申覆
(appeal)。
IETF標準程序訂定於RFC 2026(BCP 9),過去曾修訂過幾個 版本,現已將智慧財產權規定分開來,另外規定在RFC 5378(BCP 78)(貢獻方面的權益)和RFC 3979(BCP 79)(技術方面權利)。 單獨提交RFC編輯的程序,規定於RFC 3932(BCP 92)。制定過程 之綜覽可參見IETF流程:非正式指南(The IETF Process: An Informal Guide)。網際網路標準的程序目標為:技術優越;要求事 前導入和測試;清楚、簡潔、易於了解的文件;公開且公平;合時
61 財團法人台灣網路資訊中心,同前註
。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
宜62。
IETF網際網路標準程序會產生四個標註狀態(standards labels):網際網路文件草案(Internet Draft, ID) - 無官方立場、
流動性工作文件;標準提案(Proposed Standard, PS)- 穩定的規格、
無已知的錯誤、可能已有導入;標準草案(Draft Standard, DS)- 多 元的導入、所有功能性互通測試;網際網路標準(Internet Standard)
- 具領域經驗以及清楚的社群認同63。
新的標準產生,賦予新編號後,舊標準就進入功成身退狀態。
依據標準途徑成熟度等級(Standards Track Maturity Levels),PS 是 屬於入門等級成熟度(entry-level maturity);DS 是經過工作組主席 確認後交 AD,通常被認為是最後的規格,只有在遇到特定問題時 才會做更動;網際網路標準,或單稱為標準,具備高度技術成熟度。
但也有規格不欲成為網際網路標準,或欲最終成為標準,但只要尚 未準備妥、暫不進入標準途徑程序者,即是非標準途徑成熟度等級
(Non-Standards Track Maturity Levels)。
非經由標準途徑者之成熟度等級分為:實驗性的
(Experimental)、資訊性的(Informational)、歷史性的(Historic)。
實驗性的規格可能是組織的研究產出,如IRTF的某個研究組,IETF 的工作組,或者可能是個人的貢獻。對網際網路社群公告之一般資 訊,資訊性的規格並不能代表網際網路社群共識或建議。實驗性 的、資訊性的規格都是直接送交RFC編輯(RFC Editor),RFC編輯 會等公告後二周收集回覆意見後,編號或分組成為ID。規格如果被 取代或因為某種原因被視為過時,就歸為歷史性的等級64。
實驗性的規格可能是組織的研究產出,如IRTF的某個研究組,IETF 的工作組,或者可能是個人的貢獻。對網際網路社群公告之一般資 訊,資訊性的規格並不能代表網際網路社群共識或建議。實驗性 的、資訊性的規格都是直接送交RFC編輯(RFC Editor),RFC編輯 會等公告後二周收集回覆意見後,編號或分組成為ID。規格如果被 取代或因為某種原因被視為過時,就歸為歷史性的等級64。