加州針對基因檢測公司通過基因資料隱私法

在加州消費者隱私法(California Consumer Privacy Act , CCPA )之後,加州( California)參議院於今(2020)年8月31日通過「基因資料隱私法( Genetic Information Privacy Act)」,該法尚待加州州長Gavin Newsom簽署。

立法者考量基因體資料(Genomic data)具有高度可區分性,只要有30到80個單核苷酸多型性(single nucleotide polymorphism, SNP)序列即可以唯一得識別一個個體。同時基因體資料非常穩定,其在個人的生命中幾乎沒有變化,因此具有長期價值(long-lived value),與其他具有到期日期的生物特徵資料(biometric data,例如血液檢測)不同。且基因檢測公司在很大程度上不受監管,並且可能暴露個人與基因資料,造成意想不到的後果,因而制定該法。

該法主要規範直接面向消費者的基因檢測公司(Direct-to-consumer genetic testing company),包含直接向消費者銷售(Sells),推銷(markets),解釋(interprets)或以其他方式提供消費者主動接觸( consumer-initiated)的基因檢測產品或服務的組織,或是分析從消費者取得的基因資料的組織,除非該基因資料的分析是由具醫療執照之人基於醫療診斷或治療的情況為之。

該法一旦正式頒佈,將要求前述基因檢測公司遵守比加州消費者隱私法更嚴謹的規範,包含:

1.向消費者提供蒐集、利用、維護和揭露基因資料的清楚且完整的政策和程序資訊,包含通俗易懂的隱私權實施原則(privacy practices)、明顯且易於接觸的隱私權聲明(privacy notice)與如何提出投訴的清楚描述。

2.取得消費者的明確同意,以蒐集、利用與揭露消費者的基因資料,其中至少應包含針對所蒐集基因資料用途(誰有權利用、如何共享基因資料)、每次將基因資料傳輸或揭露給第三方時(包含第三方名稱)與根據基因資料向消費者進行行銷等事項的單獨且明確的同意。同時該法也明文規定,依靠「暗黑模式(Dark pattern)」,即透過使用者介面(user interface, UI)操縱或設計實質影響消費者自主權、決策權或選擇權所獲得的同意並不構成明確同意。

3.提供有效的撤回同意機制,使消費者無須採取任何不必要的步驟,其中應包含公司與消費者聯繫的主要媒介。同時公司於收到消費者撤回同意後的30天內銷毀消費者的生物樣本(biological sample)。

4.實施並維護合理的安全程序與措施以保護消費者的基因資料遭到未經授權的存取、破壞、利用、修改或揭露。

5.制定程序與措施,使消費者能夠輕易得近用其基因資料、刪除消費者帳戶和基因資料、銷毀消費者的生物樣本。

6.不得因消費者行使相關權利而予以差別待遇,包含拒絕提供商品、服務或利益;對商品或服務收取不同價格或費率;向消費者提供不同級別或品質的商品、或利益等情形。

7.除特定情形外,不得將消費者的基因資料揭露給某些組織,例如與作出健康保險、人壽保險、長期照護保險、失能險或就業決策有關的組織。

8.每次違反該法將受到最高1萬美元的民事處罰(civil penalty)。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答


資料保護:當量子計算遇見後量子密碼系統

量子計算(Quantum Computing )可以對科學發展帶來巨大的好處,但研究人員同時也認為,一旦發展起來,將可能破壞現在使用的加密技術,危及對於資料的保護。

什麼是量子計算

量子力學為當今的電腦處理資訊的方法開拓出另外一條道路,傳統電腦以位元儲存與處理資訊,1個位元的狀態可以是1或0,但兩者不會同時存在。而量子計算中所使用的是量子位元(quantum bits, or qubits),由於量子的疊加現象,量子位元可以既是1也是0,也可以是兩者之間的任何值。

舉例來說,在兩個位元情形,傳統電腦上每個位元會儲存1或0,組合起來可以有4個可能值(00、01、10與11),然而1次只能儲存其中一個值。而對於量子位元,每個量子位元可以是1、0或兩者,因此可以同時表示前述4個值。如果有3個量子位元,就可以表示8個值(2的3次方),有4個量子位元就可以表示16個值(2的4次方),以此類推。由於量子計算不僅可以對確定的值進行運算,還可以同時對所有可能的疊加進行運算,所以在特定的任務中,量子計算比傳統2進位計算方式具有效率。

對於資料保護的衝擊

量子計算對於資料保護產生重大衝擊的原因很多,原因之一是破解密碼的能力。量子計算可能會破壞現今許多傳統的加密技術,進而嚴重影響IT的安全性,幾乎所有需要安全性、隱私或信任的系統都會受到影響。

對於非對稱式密碼系統的影響

非對稱式密碼系統(asymmetric encryption),又稱為公開金鑰密碼系統(Public-key cryptography),是透過兩個金鑰(公鑰與私鑰)進行加解密。RSA演算法(Rivest-Sharmir-Adleman algorithm)即是屬於非對稱式密碼系統,通常用於在網路發送敏感資料的情形,RSA演算法允許公鑰和私鑰對資訊進行加密,因此可以確保資訊的機密性與真實性。

由於非對稱式密碼系統是奠基於傳統電腦難以解開的數學難題(例如對極大整數進行質因數分解,想像一下10961是由哪2個質數相乘?),需要透過結合公鑰與私鑰才能順利解開。

以RSA-768為例,其表示如下:1230186684530117755130494958384962720772853569595334792197322452151726400507263657518745202199786469389956474942774063845925192557326303453731548268507917026122142913461670429214311602221240479274737794080665351419597459856902143413
= 33478071698956898786044169848212690817704794983713768568912431388982883793878002287614711652531743087737814467999489×
36746043666799590428244633799627952632279158164343087642676032283815739666511279233373417143396810270092798736308917

然而量子計算強大的計算能力,將可能危及到現在的非對稱式密碼系統,攻擊者可以在不事先知道私鑰的情形下進行解密,進而影響到數位簽章(digital signatures)、線上購物與網路銀行等所必須的網路協定,例如HTTPS (TLS)。以我國為例,自然人憑證即是透過RSA加密來確認使用者身份。

對於對稱式密碼系統的影響

量子計算同時也會對於對稱式密碼系統(symmetric cryptography)造成影響(例如Advanced Encryption Standard, AES),透過Grover演算法(Grover’s algorithm)進行暴力破解,可以將破解難度減少到其平方根,因此AES128的強度將降低到2的64次方,AES256的強度則會降低為2的128次方。

後量子密碼系統

根據美國國家標準暨技術研究院(US National Institute of Standards and Technology, NIST)的報告,量子計算將對現行常用的加密演算法造成重大影響(如下表),因此便需要及早準備一個能夠對抗量子計算的密碼系統。

加密演算法類型目的來自大型量子電腦的衝擊
AES對稱加密需要更大的金鑰長度
SHA-2, SHA-3雜湊函數需要更多的輸出
RSA公鑰簽章,金鑰交換不再安全
ECDSA, ECDH
(橢圓曲線加密, elliptic curve cryptography)
公鑰簽章,金鑰交換不再安全
DSA(Finite Field Cryptography)公鑰簽章,金鑰交換不再安全
量子電腦對常用加密演算法的衝擊

後量子密碼系統(Post-quantum cryptography)是指透過使用量子電腦無法比其他電腦更有效求解的數學運算,達到其安全性不受量子電腦影響的密碼學。然而後量子密碼系統同時也會需要更大的運算資源進行加解密、對數位簽章進行簽名驗證,並且需要更多的網路資源來交換更長的金鑰與憑證。

儘管依目前的理解,在可預測的未來,量子電腦不會立即構成威脅,然而由於這樣的不可預測性,同時也會帶來IT的安全風險。因此NIST便開始徵求、評估與標準化後量子加密的標準,目前已有7個演算法進入決選,未來將從裡面選出對抗量子電腦的方法。

參考資料
1.EUROPEAN DATA PROTECTION SUPERVISOR〔EDPS〕, TechDispatch #2/2020: Quantum Computing and Cryptography, https://edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-22020-quantum-computing-and_en.
2.Microsoft, 〈了解量子計算〉, https://docs.microsoft.com/zh-tw/quantum/overview/understanding-quantum-computing
3.研之有物, 〈量子電腦到底有多霸氣?即將引爆終極密碼戰?!〉, https://research.sinica.edu.tw/chung-kai-min-quantum-computer-cryptography/
4.Lane Wagner, Is AES-256 Quantum Resistant?, https://medium.com/@wagslane/is-aes-256-quantum-resistant-d3f776163672.
5.余至浩, 〈【臺灣資安大會直擊】為對抗量子電腦攻擊手法,後量子加密PQC演算法有望變成未來全球加密與數位簽章新標準〉, iThome, https://www.ithome.com.tw/news/139334
6.NIST, NIST’s Post-Quantum Cryptography Program Enters ‘Selection Round’, https://www.nist.gov/news-events/news/2020/07/nists-post-quantum-cryptography-program-enters-selection-round.
7.Lily Chen (NIST), Stephen Jordan (NIST), Yi-Kai Liu (NIST), Dustin Moody (NIST), Rene Peralta (NIST), Ray Perlner (NIST), Daniel Smith-Tone (NIST), Report on Post-Quantum Cryptography, https://csrc.nist.gov/publications/detail/nistir/8105/final.

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答

從開放銀行到開放金融

作為開放銀行(Open banking)的先驅,英國開始將目光關注於開放金融(Open finance),英國金融業務監理局(Financial Conduct Authority, FCA)於2019年12月17日提出關於開放金融的構想,並徵詢公眾意見

英國FCA表示開放銀行讓消費者與小型企業將其支付帳戶資料存取權提供予第三方服務提供者,以獲取新服務,而開放金融將進一步擴展,使消費者與企業能更好的控制其眾多財務資料,例如存款、保險、抵押、投資、養老金與借貸等。

在開放銀行的浪潮下,加拿大財政部(Department of Finance Canada)亦提出消費者導向的金融(Consumer-directed finance),以促進金融生態系統的活躍與多樣化,並為消費者與小型企業提供有用與創新的服務。澳洲亦透過立法增訂消費者資料權法(Consumer Data Right Act),建立一個可擴充性的消費者資料權框架,逐步由銀行業(即所謂的開放銀行)、能源業與電信業,建構消費者對其資料自主的環境。