WTO歐盟生技產品案解析（上）

　　英國文化、媒體暨體育部（Department for Culture, Media & Sport）於2016年12月21日發佈「網路安全規範與誘因評論」（Cyber Security Regulation and Incentives Review）（下稱本評論），本評論旨在評估新增規範或誘因對於強化整體經濟活動中之網路風險管理的必要性。 本評論的主要結論與建議為： 1.保護公民免於受到犯罪或其它形式的傷害具備明確的公益性，保護個人資料的相關規範亦具有強烈的正當性基礎。 2.有鑑於此，英國政府將藉由施行歐盟「一般資料保護規則」（General Data Protection Regulation,下稱GDPR）來增進整體經濟活動中的網路安全風險管理。英國政府藉由GDPR所課與企業在合理時間內向主管機關通報資料外洩事件之法律義務，以及GDPR在企業違反個資保護義務之罰鍰機制，要求產業界對網路安全的風險管理積極採取行動。 3.英國政府將採取若干措施來增加資料保護與網路安全之間的連結，以強化網路風險的管理。這些措施包括加強資訊委員辦公室（Information Commissioner’s Office），以及國家網路安全中心（National Cyber Security Center）之業務上合作關係、與投資人社群合作來制定網路安全規範，以及經由新的管理者論壇（Regulators’ Forum）與管理者合作，並且彼此分享良好的做法以及網路威脅的資訊等。 4.目前英國政府暫不在GDPR以外訂定其他的一般網路安全規範。

　　針對告知消費者個資使用方式以及確保消費者對個資利用之參與及意見表達，英國通訊傳播管理局（The Office of Communications, Ofcom）於2015年6月17日公布委託德國顧問公司WIK-Consult進行之「個資與隱私」(Personal Data and Privacy)報告。報告指出，雖然法規要求在處理個資前必須獲取相關消費者的告知同意，但事實是消費者並未在線上實際閱讀隱私權政策條款，這個問題則由於智慧聯網大幅促進了裝置間的互聯性與資料的流通而更形嚴重。報告表示，雖然資料流通的本質不變，但僅因互聯裝置數量倍增就足以讓可近用與分析的資料呈等比級數成長，要在線上對這些遍及生活各層面的資料進行追蹤也就難上加難。 　　對於這個起因於智慧聯網興起的問題，報告認為政府可能必須利用更複雜的契約關係加以規範。因為隱私權政策要能透明，必須指出究竟是哪些人會在何時以哪種方式為了何等目的去近用相關資料，但這勢必會讓隱私權政策條款更加冗長，這不但與隱私權政策盡可能應簡潔易懂相違，消費者也更不可能實際去閱讀。此外報告也指出，機台或裝置在智慧聯網下能夠在幾乎沒有人為介入的情況下進行溝通，此將大幅壓縮消費者能夠得知個資蒐集與使用方式的機會，智慧聯網也讓消費者可能根本沒有察覺其正在使用的裝置實際上已經與網路連線。另一方面，隨著互聯複雜性的大幅提高，有意或無意揭露個資也將帶來更多的潛在不利影響。

　　自美國911事件後，世界各國無不重新檢視自己國內現行實施的保安制度，愛爾蘭政府最近宣布將建立一個有限的DNA資料庫的計畫，以協助對抗重大犯罪事件。該資料庫的資料儲存範圍，將包括永久保留被判處超過五年徒刑的任何重大犯罪嫌犯的DNA檔案，以及任何疑似觸及重大犯罪的嫌犯檔案，後者的檔案僅暫時保存，一旦當事人沒有遭到起訴或稍後無罪獲釋，檔案即被移除或銷毀。 　　我國內政部原訂七月一日起換發身分證需強制捺指紋才可領證，其目的之一也是為了要遏止治安不斷惡化的情況，不過遭到人權團體抗議強制捺印指紋為侵犯隱私之行為。大法官會議解釋則認為，內政部以戶籍法第八條規定強制全民捺指紋領身分證，並以此建立指紋資料庫，以及以個人資料保護法作為指紋可用在個案犯罪偵防的根據，兩項做法均不適當，因此以釋字第603號解釋宣告換發身分證需強制捺指紋的作法違憲。 　　愛爾蘭政府若要建立一有限的DNA資料庫，其立法目的與執行、管理都須有周密設計，並符合保障人權的憲法原則，否則該DNA資料庫也將會存有侵犯人權的潛在風險。