"Pay or OK" : A law and business study on Meta's business model

Petersdotter, Loovis, Eriksson Höglund, Julina

January 2024

This study examines the business model of Meta called “Pay or OK”, a subscription modelthat offers users the choice to either consent to the use of Meta’s services and be subjected totargeted advertising or to use the service without personalized advertising for a fee. In the eraof digital transformation, where data has become a significant competitive advantage forlarge online platforms, the introduction of regulations like GDPR and DMA has beeninstrumental in protecting personal integrity and ensuring fair competition. This study utilizesqualitative and EU legal methods to analyze the “Pay or OK” business model from a legalperspective and also analyze if data could create competitive advantage for Meta,incorporating theories such as the resource-based view and the VRIO framework. The resultsof this study bring to the forefront the intriguing and contrasting opinions on the value ofpersonal data and the profound impact of regulations on the business landscape.

“Pay or OK”

GDPR

personal data

consent

DMA

resource-based view

VRIO

gatekeepers

consumer data

big data

competitive advantage

targeted advertising

Law

Juridik

Business Administration

Företagsekonomi

Wireless privacy and personalized location-based services: the challenge of translating the legal framework into business practices

Gratton, Eloïse

08 1900

L'avancement des communications sans-fil permet l'obtention de nouveaux services bases sur l'habileté des fournisseurs de services sans-fil à déterminer avec précision, et avec l'utilisation de technologies de pistage, la localisation et position géographiquement d'appareils sans-fil Cette habileté permet d'offrir aux utilisateurs de sans-fil de nouveaux services bases sur la localisation et la position géographique de leur appareil. Le développement des services basés sur la localisation des utilisateurs de sans-fil soulevé certains problèmes relatifs à la protection de la vie privée qui doivent être considérés. En effet, l'appareil sans-fil qui suit et enregistre les mouvements de I 'utilisateur permet un système qui enregistre et entrepose tous les mouvements et activités d'un tel utilisateur ou encore qui permet l'envoi de messages non anticipes à ce dernier. Pour ce motif et afin de protéger la vie privée des utilisateurs de sans-fil, une compagnie désirant développer ou déployer une technologie permettant d'offrir ce genre de services personnalisés devra analyser l'encadrement légal touchant la protection des données personnelles--lequel est dans certains cas vague et non approprié à ce nouveau contexte--ainsi que la position de l'industrie dans ce domaine, et ce, afin d'être en mesure de traduire cet encadrement en pratiques commerciales. Cette analyse permettra d'éclairer le fournisseur de ces services sur la façon d'établir son modèle d'affaires et sur le type de technologie à développer afin d'être en mesure de remédier aux nouveaux problèmes touchant la vie privée tout en offrant ces nouveaux services aux utilisateurs de sans-fil. / The proliferation of mobile communications is leading to new services based on the ability of service providers to determine, with increasing precision and through the use of location determination technologies, the geographic location of wireless devices and allow their users to receive services based on such location. The development of location-based services introduces new privacy risks for consumers that must be addressed. The portability of wireless devices coupled with their ability to pinpoint the location of wireless users and reveal it to others could produce a system where the everyday activities and movements of these users are tracked and recorded, and where wireless users receive unanticipated messages on their device. For this reason and in order to preserve the privacy of wireless users, a company looking to deploy a technology related to the providing of personalized location-based services ("LBS Provider") will have to analyze the privacy legal framework, coming either from legal sources--that may be in some case vague and not specific to this new context--or from the industry, and translate such framework into business practices. Such analysis may help in establishing what kind of business model and technology should be adopted and developed by LBS Providers in order to ensure the privacy of wireless users while providing this new type of service.

Sans-fil

Mobile

Localisation

Vie privée

Donnée(s) personnelle(s)

Personnalisation

Profilage

Services basés sur la localisation

Données de localisation

Technologie de pistage

Pratiques commerciales

Wireless

Mobile

Location

Privacy

Personal data

Personalization

Profiling

Location-based services

Location data

Tracking technology

Business Practices

Principe de finalité, protection des renseignements personnels et secteur public : étude sur la gouvernance des structures en réseau

Duaso Calés, Rosario

09 1900

Thèse réalisée en cotutelle avec l'Université de Montréal et l'Université Panthéon-Assas Paris II / La question de la protection des renseignements personnels présente des enjeux majeurs dans le contexte des réseaux. Les premières lois en la matière au Canada et en Europe avaient pour base une série de principes qui sont encore aujourd’hui d’actualité. Toutefois, l’arrivée d’Internet et des structures en réseau permettant l’échange d’un nombre infini d’informations entre organismes et personnes ont changé la donne et induisent de nouveaux risques informationnels. Le principe de finalité, pierre angulaire des systèmes de protection des renseignements personnels, postule le caractère adéquat, pertinent et non excessif des informations collectées par rapport à l’objet du traitement et exige qu’elles soient uniquement utilisées à des fins compatibles avec la finalité initiale. Nous retracerons l’historique de ce principe et analyserons la manière dont la doctrine, la jurisprudence et les décisions du CPVPC comme de la CNIL ont contribué à délimiter ses contours. Nous étudierons comment ce principe se manifeste dans la structure en réseau de l’administration électronique ou du gouvernement électronique et nous relèverons les nouveautés majeures que présente l’État en réseau par rapport au modèle d’État en silo, ainsi que la nécessité d’une gouvernance adaptée à cette structure. Nous examinerons également la présence de standards juridiques et de notions à contenus variable dans le domaine de la protection des renseignements personnels et nous tenterons de montrer comment la finalité, en tant que principe ou standard, a les capacités de s’adapter aux exigences de proportionnalité, d’ajustement et de mutation continuelle qui sont aujourd’hui au cœur des défis de la gouvernance des réseaux. Finalement, il sera question de présenter quelques pistes pour l’adoption de mécanismes d’adaptation « réseautique » pour la protection des renseignements personnels et de montrer dans quelle mesure ce droit, capable de créer un cadre de protection adéquat, est également un « droit en réseau » qui possède tous les attributs du « droit post-moderne », attributs qui vont rendre possible une adaptation propre à protéger effectivement les renseignements personnels dans les structures, toujours changeantes, où circulent aujourd’hui les informations. / Personal data protection poses significant challenges in the context of networks. The first laws on this matter both in Canada and in Europe were based on a series of principles that remain valid today. Nevertheless, Internet and the development of network-based structures that enable infinite exchange of information between institutions and individuals are changing the priorities and, at the same time, present new risks related to data protection. The purpose principle, which is the personal data protection systems cornerstone, stresses the relevance and adequate yet not excessive nature of the collected information vis à vis the objective of data collection. The purpose principle also requires that the information shall not further be processed in a way incompatible with the initial purpose. We will describe the origins and evolution of this principle, as well as its present relevance and scope analysing the doctrine, jurisprudence and decisions of the Office of the Privacy Commissioner in Canada and of the Commission nationale de l’informatique et des libertés (CNIL) in France. We will also examine how this principle is reflected in the network structure of the digital administration and of the electronic government. We will also underline the differences between a network-based State and a « silo-based » State, each needing its structure of governance. Within the context of personal data protection, we will explore the presence of legal standards and of concepts with a changing nature. An effort will be made to highlight how purpose, be it as a principle or as a standard, has the capacity to adapt to the requirements of the core principles of the current network governance, such as proportionality, adjustment and continuous mutation. Finally, the objective is to reflect on some personal data protection network adaptation mechanisms, and to demonstrate how personal data protection can work in a network that includes all « post-modern law » elements that allow for true adaptation for effective personal data protection within the ever changing structures where data is being exchanged.

Protection des renseignements personnels

Vie privée

Gouvernement électronique

Internet

Standard juridique

Principe de finalité

Réseau

Gouvernance

Personal data protection

Electronic government

Privacy

Internet

Legal standard

Purpose principle

Network

Governance

La protection des données personnelles sur l’internet.- Analyse des discours et des enjeux sociopolitiques. / "Protection of personal data on internet. Discourses and sociopolitical issues analysis"

Walczak, Nathalie

04 July 2014

Cette thèse, dans le cadre des Sciences de l'Information et de la Communication, aborde la question de la protection des données personnelles sur l’internet à travers l’étude des discours de quatre acteurs concernés par ce sujet : les entreprises de l’internet, les instances régulatrices, la population française et la presse nationale. L’objectif est de comprendre comment, à travers les discours de chacun de ces acteurs, se dessinent la question du brouillage des sphères privée et publique sur l’internet. C’est une question qui prend de l’ampleur avec le développement de l’internet, notamment avec la multiplication des réseaux socionumériques, qui offrent aux internautes différentes possibilités pour afficher leur extimité. La multiplication des dispositifs de mise en relation interpersonnelle s'accompagne alors d'une nouvelle dialectique contemporaine entre le privé et le public, pas toujours maîtrisée par les personnes concernées.Cette interaction entre le public et le privé induit un déplacement de la frontière qui sépare les deux sphères et peut entraîner certaines dérives de la part des entreprises spécialisées, telles Google ou Facebook, par rapport à l'agrégation des données personnelles des internautes. En effet, les bases de données sont au cœur du système économique de ces entreprises et ont acquis une valeur marchande liée à des enjeux essentiels par rapport à leur fonctionnement. Or, l’utilisation commerciale des ces données n’est pas nécessairement connue par l’utilisateur et peut être réalisée sans son accord, du moins de manière explicite. Ce double questionnement lié au brouillage des sphères privée et publique, c'est-à-dire, premièrement, l’aspect individuel où l’internaute est incité à dévoiler de plus en plus d’éléments personnels, et, deuxièmement, l’aspect lié à la marchandisation des données par les entreprises de l’internet, engendre alors la question de la confidentialité des données et des libertés individuelles. Les instances régulatrices, que ce soit à l’échelle de la France ou de l’Union Européenne, tentent d’apporter des réponses afin de protéger l’internaute en mettant en place des actions concernant le droit à l’oubli ou en poursuivant juridiquement Google, par exemple, lorsque l’entreprise ne se conforme pas aux lois en vigueur sur le territoire concerné.Les différents angles d’approche ainsi que la diversité des acteurs étudiés ont nécessité la constitution d’un corpus multidimentionnel afin d’avoir une approche comparative des différents représentations. Ce corpus comprend à la fois des textes inscrits comme les discours politiques, les discours des instances régulatrices, les discours des entreprises de l’internet, plus spécifiquement Google et Facebook ou les discours de presse qui occupent une position méta-discursive puisqu’ils se font l’écho des discours des acteurs précédemment énoncés. Il comprend aussi des discours oraux constitués d’entretiens spécialement réalisés dans le cadre de cette recherche auprès d’individus pris au hasard de la population française. Une analyse quantitative des discours entre 2010 et 2013, période contemporaine à la thèse, a permis d’effectuer un premier tri et de ne sélectionner que les discours les plus pertinents par rapport à nos hypothèses. L’analyse qualitative qui a suivi a été basée sur le cadre théorique précédemment élaboré afin de croiser les représentations des acteurs à propos des données personnelles et mettre en évidence les différentes visions inhérentes à cette question. / This thesis, in Communication and Information Sciences, raises the question of the internet personal data protection through the discourses analysis of four actors concerned with this subject: internet companies, authorities regulating, French population and national press. The objective is to understand how, through the discourses of each one of these actors, the question of the jamming of the spheres private and public about the Internet takes shape. It is a question which increases with the development of the Internet, in particular with the multiplication of the social digital network, which gives to the Internet users various opportunities to display their privacy. The multiplication of the interpersonal relationship devices connection is then accompanied by a contemporary dialectical between private and public spheres, not always controlled by concerned people.This interaction between private and public leads to a transfert of the border wich separates the two spheres and can involves some drifts on behalf of specialized companies, such Google and Facebook, toward the aggregation of personal data contents. Indeed, databases are central in the economic system of these companies and gained a commercial value. However, the commercial use as of these data is not necessarily known by the user and can be realized without its agreement, at least in an explicit way. This double questioning related to the jamming of the private and public spheres, i.e., firstly, the individual aspect where the Internet user is incited to reveal personal elements more and more, and, secondly, the related aspect with the selling of the data by the Internet companies, then generates the question of the individual freedom and data confidentiality. The regulating authorities, in France or in European Union, try to provide answers in order to protect the Internet users by setting up actions relating to the right to be forgotten or by prosecuting Google, for example, when the company does not conform to the laws in force on the territory concerned. The various angles of incidence as well as the diversity of the studied actors required the constitution of a multidimentional corpus in order to have a comparative approach of the different representations. This corpus includes texts registered like political discourses, regulating authorities speeches, companies of the Internet speeches, specifically Google and Facebook, or press speeches which occupy a meta-discursive position since they repeat speeches of the actors previously stated. It includes also oral speeches made up of talks especially recorded for this research with some persons taken randomly in the French population. A quantitative analysis of the discourses between 2010 and 2013, contemporary period with the thesis, permit to carry out a first sorting and to select only the most relevant speeches compared to our hypothesis. The qualitative analysis which followed was based on the theoretical framework previously elaborate in order to cross the representations of the actors in connection with the personal data and to highlight the various visions about this question.

Big data

Données personnelles

Droit à l’oubli

Espace public

Extimité

Facebook

Google

Identité numérique

Internet

Marchandisation

Moteur de recherche

Réseaux socionumériques

Big data

Digital identity

Facebook

Google

Internet

Personal data

Privacy

Public sphere

Right to be forgotten

Selling data

Social network

La circulation de la donnée à caractère personnel relative à la santé : disponibilité de l’information et protection des droits de la personne / Free movement of personal health data : Information availability and rights of data subject

Brasselet, Renato

03 December 2018

La e santé, la m-santé et la quantification de soi connectent le corps et bousculent le modèle traditionnel du soin. Ils le font glisser d’une médecine curative et monopolistique à une médecine préventive et adoptant une approche de la santé telle que définie par l’OMS. Par ce truchement, la personne n’est plus simplement placée au centre du dispositif de soin elle en devient l’un des acteurs y compris dans l’intimité de sa vie privée. Par ailleurs, sans cesse à la recherche de la réalisation d’économie mais aussi de qualité, le système de santé, a muté, sous l’effet du déploiement de l’e-santé. Il en résulte qu’il est désormais substantiellement décloisonné et ne peut plus être synthétisé dans la dichotomie classique entre le sanitaire et le médico-social. Le vecteur et la résultante de ce phénomène consiste dans la circulation de l’information de santé. Désormais majoritairement numérisée elle est devenue indispensable au soin ainsi qu’au fonctionnement du système de santé. Le soin est désormais conçu autour de l’échange et du partage catégoriel et inter-catégoriel, voire même homme-machine ou machine-machine et non plus sur une médecine fondée sur le secret. L’Homme devenu homo numericus n’en est pas pour autant dépourvu de tout droits et de toute intimité. Le droit et la techno-droit s’inscrivent dans ce jeu savant dont la moindre réforme inconséquente pourrait en bouleverser l’équilibre précaire / Health, m-health and self quantification connect the body and disrupt the traditional model of care. They are moving it from curative and monopoly medicine to preventive medicine and taking a WHO-defined approach to health. By this means, the person is no longer simply placed at the center of the care device he becomes one of the actors including in the intimacy of his privacy.On the other hand, in search of the realization of economy but also of quality, the health system, has mutated, under the effect of the deployment of e-health. As a result, it is now substantially landscaped and can no longer be synthesized into the classic dichotomy between health and social medicine. The vector and resultant of this phenomenon consists in the circulation of health information. From now on, it has become largely digital and essential for the care and functioning of the healthcare system. The care is now conceived around categorical and inter-categorical exchange and sharing, even man-machine or machine-machine and no longer on a medicine based on secrecy. The Man who has become a homo Numericus is not without all rights and privacy. Law and techno-law are part of this scholarly game, the slightest inconsistent reform of which could upset its precarious balance

Secret professionnel

Secret partagé

Système national des données de santé

Santé personnalisée

Données à caractère personnel

Données de santé

Professional secrecy

Shared secret

Ational health data system, research

Personalized health

Personal data

Health data

344.04

Essays in Market Design and Industrial Organization

Dimakopoulos, Philipp Dimitrios

27 April 2018

Diese Dissertation besteht aus drei unabhängigen Kapiteln in den Bereichen Matching Market Design, Industrieökonomie und Wettbewerbspolitik. Kapitel 1 behandelt den Matching-Markt für juristische Referendariatsstellen in Deutschland. Wegen übermäßiger Nachfrage müssen Anwälte oft warten, bevor sie zugewiesen werden. Der aktuell verwendete Algorithmus berücksichtigt nicht die Zeitpräferenzen der Anwälte. Daher werden viele wünschenswerte Eigenschaften nicht erfüllt. Basierend auf dem matching with contracts Modell schlage ich dann einen neuen Mechanismus vor, der die Wartezeit als Vertragsterm verwendet, so dass die Mängel des gegenwärtigen Mechanismus überwunden werden können. In Kapitel 2 analysiere ich den Wettbewerb von zweiseitigen Online-Plattformen, wie sozialen Netzwerken oder Suchmaschinen. Werbetreibende zahlen Geld, um ihre Anzeigen zu platzieren, während Nutzer mit ihren privaten Daten "bezahlen", um Zugang zu der Plattform zu erhalten. Ich zeige, dass das Gleichgewichtsniveau der Datenerhebung verzerrt ist, abhängig von der Intensität des Wettbewerbs und den Targeting-Vorteilen. Weniger Wettbewerb auf jeder Marktseite führt zu mehr Datensammeln. Wenn jedoch Plattformen Geldzahlungen auf beiden Marktseiten verwenden, wird die effiziente Menge an Daten gesammelt. Kapitel 3 untersucht die dynamische Preissetzung auf Märkten für Flug- oder Reisebuchungen, auf denen Wettbewerb während einer endlichen Verkaufszeit mit einer Frist stattfindet. Unter Berücksichtigung der intertemporalen Probleme von Firmen und vorausschauenden Konsumenten hängen die Gleichgewichtspreispfade von der Anzahl der nicht verkauften Kapazitäten und der verbleibenden Verkaufszeit ab. Ich ermittle, dass mehr Voraussicht der Konsumenten die Konsumentenrente erhöht, aber die Effizienz reduziert. Ferner ist Wettbewerbspolitik besonders wertvoll, wenn die Marktkapazitäten zu hoch sind. Des Weiteren kann die ex-ante Produktion von Kapazitäten ineffizient niedrig sein. / This thesis consists of three independent chapters in the fields of matching market design, industrial organization and competition policy. Chapter 1 covers the matching market for lawyer trainee-ship positions in Germany. Because of excess demand lawyers often must wait before being allocated. The currently used algorithm does not take lawyers’ time-preferences into account. Hence, many desirable properties are not satisfied. Then, based on the matching with contacts model, I propose a new mechanism using waiting time as the contractual term, so that the shortcomings of the current mechanism can be overcome. In Chapter 2 I analyze competition of two-sided online platforms, such as social networks or search engines. Advertisers pay money to place their ads, while users “pay” with their private data to gain access to the platform. I show that the equilibrium level of data collection is distorted, depending on the competition intensity and targeting benefits. Less competition on either market side leads to more data collection. However, if platforms use monetary payments on both market sides, data collection would be efficient. Chapter 3 studies dynamic pricing as in markets for airline or travel bookings, where competition takes place throughout a finite selling time with a deadline. Considering the inter-temporal problems of firms and forward-looking consumers, the equilibrium price paths depend on the number of unsold capacities and remaining selling time. I find that more consumer foresight increases consumer surplus yet reduces efficiency. Further, competition policy is especially valuable when market capacities are excessive. Moreover, ex-ante capacity production can be inefficiently low.

Matching mit Verträgen

Matching mit Wartezeiten

zweiseitiger Plattformwettbewerb

personenbezogene Daten

dynamische Preissetzung

vorausschauende Konsumenten

matching with contracts

matching with waiting times

two-sided platform competition

personal data

dynamic pricing

forward-looking consumers

330 Wirtschaft

QB 910

ddc:330

Transferring Big Data to the United States in the Post Snowden Era : Can the Fundamental Rights of EU citizens laid down in Articles 7,8 and 47 of the Charter be guaranteed?

Tenhovaara, Taru

January 2018

No description available.

data transfers

personal data

standard contractual clauses

privacy shield

binding corporate rules

fundamental rights

Snowden

big data

data mining

mass surveillance

general data protection regulation

GDPR

privacy

Social Sciences

Samhällsvetenskap

Law

Juridik

Nouvelles technologies et droit des relations de travail : essai sur une évolution des relations de travail / Technologies and employment relationship

Démoulain, Matthieu

07 July 2012

De Kheops à Internet, des nanotechnologies à la téléportation, les nouvelles technologies rythment la vie des hommes. Fruits de leur intelligence, outils de grands travaux, moteurs de diffusion des savoirs, elles sont cause et effet des progrès de l’humanité. Innervant les relations de travail subordonnées comme tous les compartiments de la société, elles retiennent l’attention du juriste tant elles sont susceptibles de remodeler l’organisation de l’entreprise, de provoquer l’exclusion de la communauté de travail (au moins autant que de rapprocher ceux qui la composent), de provoquer l’entremêlement des vies personnelle et professionnelle. Nul compartiment du droit des relations de travail n’échappe à la pression des nouvelles technologies : au recrutement des salariés elles peuvent donner un nouveau visage ; à la conclusion du contrat de travail elles peuvent offrir instantanéité et dématérialisation ; au temps de son exécution elles imposent normes de sécurité (pour que, de chacun, le corps soit préservé) et normes de vie (pour que, de chacun, l’âme et l’esprit demeurent hors du champ de lecture de l’employeur). Et que dire du jeu de relations collectives remodelées à coup de communications syndicales dématérialisées, de vote électronique, de réunions virtuelles d’instance de représentation du personnel ? Le paysage se transforme. Le corpus normatif, parfois, peine à suivre. Le temps des diseurs de droit n’est pas celui de la science. Mais la science ne peut aller sans que le législateur et le juge, un jour, s’en saisissent. D’intérêts contradictoires où s’entremêlent impératif d’évolution (de l’entreprise) et de protection (du salarié), il leur appartient d’assurer la conciliation. / Over the centuries, from Cheops to the Internet and from nanotechnology to teleportation, new technologies have constantly been at the centre of individuals’ lives. Produced by human intelligence, they appear to be a key to innovation, a tool for the dissemination of knowledge and they enable the progress and evolution of mankind. These new technologies obviously drew lawyers’ attention as they have a direct impact on society as a whole, but also more specifically on the relationship between employers and employees. Moreover, they tend to reshape the organisation of corporations and lead to the entanglement of professional and private life. As a matter of fact, labour law is under pressure: recruitment procedures can be altered by new technologies, the conclusion of employment contracts is nowadays electronic and instantaneous, and security and privacy rules have been established (not to mention electronic trade union communications, e-voting or e-meetings for staff representative bodies). In short, the whole framework is changing. Unfortunately, lawmakers are usually overtaken by events as science and law evolve at a very different pace. However, sooner or later, legal boundaries are set. Currently, courts’ main challenge is to try to make technological progress and protection of employees compatible.

Relation de travail

Télétravail

CNIL

Biométrie

Courrier électronique

Vidéosurveillance

Alerte professionnelle

Données à caractère professionnel

Vote électronique

Vie privée

Nouvelles technologies

Employment relationship

Telework

CNIL

Biometry

E-mail

Videosurveillance

Whistleblowing

Personal data

Electronic voting

Private life

New technologies

Gestion des risques appliquée aux systèmes d’information distribués / Risk management to distributed information systems

Lalanne, Vincent

19 December 2013

Dans cette thèse nous abordons la gestion des risques appliquée aux systèmes d’information distribués. Nous traitons des problèmes d’interopérabilité et de sécurisation des échanges dans les systèmes DRM et nous proposons la mise en place de ce système pour l’entreprise: il doit nous permettre de distribuer des contenus auto-protégés. Ensuite nous présentons la participation à la création d’une entreprise innovante qui met en avant la sécurité de l’information, avec en particulier la gestion des risques au travers de la norme ISO/IEC 27005:2011. Nous présentons les risques liés à l’utilisation de services avec un accent tout particulier sur les risques autres que les risques technologiques; nous abordons les risques inhérents au cloud (défaillance d’un provider, etc...) mais également les aspects plus sournois d’espionnage et d’intrusion dans les données personnelles (Affaire PRISM en juin 2013). Dans la dernière partie nous présentons un concept de DRM d’Entreprise qui utilise les métadonnées pour déployer des contextes dans les modèles de contrôle d’usage. Nous proposons une ébauche de formalisation des métadonnées nécessaires à la mise en œuvre de la politique de sécurité et nous garantissons le respect de la réglementation et de la loi en vigueur. / In this thesis we discuss the application of risk management to distributed information systems. We handle problems of interoperability and securisation of the exchanges within DRM systems and we propose the implementation of this system for the company: it needs to permit the distribution of self-protected contents. We then present the (our) participation in the creation of an innovative company which emphasizes on the security of information, in particular the management of risks through the ISO/IEC 27005:2011 standard. We present risks related to the use of services, highlighting in particular the ones which are not technological: we approach inheritent risks in clouds (provider failure, etc ...) but also the more insidious aspects of espionage and intrusion in personal data (Case PRISM in June 2013). In the last section, we present a concept of a DRM company which uses metadata to deploy settings in usage control models. We propose a draft formalization of metadata necessary for the implementation of a security policy and guarantee respect of regulations and legislation.

ISO/IEC 27005:2011

Web Services

WS security

SOA

Cloud

Métadonnées

Données personnelles

Sécurité de l’information

Entreprise innovante

Investigation numérique

ISO / IEC 27005:2011

Web Services

WS security

SOA

Cloud

Metadata

Personal data

Information security

Innovative company

Digital forensics

我國與美國聯邦對身分竊用法律之比較研究 / A comparative study on the identity theft related laws and practices of Taiwan (R.O.C.) and U.S.A

徐子文, Hsu, Tzu Wen Daniel

Unknown Date

因為資通訊科技之普及發達，提升經濟、社會活動的便捷性並豐富人們的生活品質，但一面兩刃，它同時也蘊藏了新興犯罪的機會，對經濟、社會活動之正常運作帶來威脅。其中，身分資料偷竊及身分冒用（以下簡稱「身分竊用」），已然成為資訊社會時代嚴重的新興犯罪之一。「身分竊用」一般俗稱為「身分竊盜」，其係由英文原文identity theft直譯而來。其實身分無從竊盜起，英文原文的identity theft其實也是簡稱，完整的意義是identity theft and assumption，係指行為人未經授權擅用他人用已表彰其身分的證明或資訊，從而冒用他人之身分，遂行各式活動。本研究為求接近其實際文意內涵，在本研究中將其譯為「身分竊用」。 同為自由開放和高度科技化之社會，美國法律制度和社會機制環境雖與我多有不同，但其面對相同問題時的所受之影響和相對處理方式，或可為我國在處理同類問題時之參考。美國在身分竊用之相關法律，自從1970年代以降，至少制定20件以上的相關法律。先是從個人金融隱私權的保護著手，如在1970年制定《公平信用報告法》(FCRA)、1974年所制定的《隱私權法》(Privacy Act)。1998年則進一步制定通過《身分竊用嚇阻法》(Identity Theft and Assumption Deterrence Act)，明文規範「身分竊用」為刑事犯罪行為。《身分竊用嚇阻法》最重要價值是確認了身分被竊用的人也是犯罪被害者，相較於之前只有因犯罪者使用身分竊用手法而被詐騙失去財務的人才被認為是受害者 ，有了很大的進步。而之後的法律制定和實務處理即朝向個人資料保護、身分竊用預防和損害抑制，以及執法訴追等方向前進。 本研究以身分識別理論為起點，探討身分竊用在現代資訊社會中之角色和因身分識別資料被竊取冒用所發生之行為對個人社會和經濟的影響，蒐集美國聯邦自1970代迄今所制定和處理身分竊用相關之法律並予以摘錄分類，最後比較兩國對身分竊用問題處理之異同，並嘗試提出借鏡調和應用的建議。本研究蒐集整理，並將其群組為四種類型。分別是：（一）身分竊用罪法群；（二）個人身分證之相關法群；（三）消費者信用報告法群，以及（四）個人資料保護法群。 本研究發現，我國和美國雖然均面臨到身分竊用的問題，但因為國情和制度的不同，所受到的影響程度和所採取對應問題的方式也因此不同。例如：我國和美國在對個人識別號碼的態度和處理不同，美國是盡量打破個人利用單一獨特(unique)號碼進行識別的機制，而我國則是大量的使用。在個人身分證明文件上，我國較為統一，美國則較為分散，迄今尚未有全國統一性的身分識別證。在個人識別資料庫的建置和運用上，我國相對集中，美國重分散。我國對個人資料的保護是遵循歐盟模式，採取從上而下立法的方式。相反的，美國在個人資料保護作為上比較傾向建置一個結合法規、命令和自我管理的架構，而非由政府制訂的單一法規，係採由下而上模式。我國現在使用的國民身分證和身分證號在實體世界所建構的通用身分識別體系，因為個人資料庫雖分散但可集中連線查詢管理的特性，其在身分竊用防制機制的優勢因此建立。美國在對抗身分竊用問題所採取的方式雖因為國情和歷史的不同而和我國有相當程度的差異，但其在犯罪嚇阻控制上特別注意建立執法機關的查緝能力、訴追工具和司法機關量刑裁判的嚇阻效益，仍值得我國學習。本研究對於「美國聯邦量刑委員會」在其《量刑基準》上針對身分竊用罪的量刑考量及該委員會如此設計之源由稍有描述，或可為後續研究或實務參考之用。 / Identity theft is a form of stealing someone's identity in which someone pretends to be someone else by assuming that person's identity, typically in order to access resources or obtain credit and other benefits in that person's name. The first victim of identity theft is the person whose identity has been assumed by the identity thief and this person can suffer adverse consequences if they are held accountable for the perpetrator's actions. The other victims are those who were defrauded by identity theft tactics. Along with the prevalence of information and communication technology, identity theft is becoming a great threat to common people and even to national security. This study has collected more than 20 pieces of U.S.A. federal acts and statutes that related to combating identity theft problems. This study then categorizes then into 4 groups, namely 1) identity theft criminalization; 2) national personal identification system; 3) consumer credit report; and 4) personal data protection. In the mean time, this study also collected related laws and Taiwan (R.O.C.) for comparison. The government organization structures and legal systems between U.S.A. and Taiwan (R.O.C.) are very different, though the common goal of fighting identity theft is the same; the measures are quite different as well. In short, in terms of laws and personal identification system, the U.S.A. is more decentralized while in Taiwan (R.O.C.) it is more centralized. Taiwan (R.O.C.) has a national-wide and unified personal identification system that put it in a better position to respond and mitigate to identity theft impacts. On the other hand, from the law enforceability aspect, the study finds the U.S.A. provides better tools to law enforcement agencies and prosecutors to bring the offenders to justice in court and the judges have relatively more clear guidelines for case consideration and sentence.

身分竊用

身分竊盜

身分詐欺

冒用身分

個人資料保護

電腦犯罪

Identity Theft

Identity Fraud

Privacy

Personal Data Protection

Cyber Crime