當個人隱私遇上公共利益--從個資法角度談市長候選人病歷外洩事件

　　美國財政部外國資產控制辦公室（The US Department of the Treasury’s Office of Foreign Assets Control, OFAC）於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告（Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險，期待企業可以採取相關之主動措施以減輕風險，此類相關之主動措施即緩減風險之因素（mitigating factors）。 　　該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為，故若企業對勒索軟體支付，或代替受害企業支付贖金，未來則有受到制裁之潛在風險，OFAC將依據無過失責任（strict liability），發動民事處罰（Civil Penalty制度），例如處以民事罰款（Civil Money Penalty）。 　　OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構，應實施合規之風險管理計畫以減少被制裁之風險，例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體，以及啟用身分驗證協議等；並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構，例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。

　　英國政府於2021年11月24日，提出產品安全及電信基礎設施法案（Product Security and Telecommunications Infrastructure Bill，PSTI法案），要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商，及經銷商符合新網路安全標準，並對未遵守規範者處以巨額罰款。 　　PSTI法案之通過將保護消費者免受資安攻擊，並使政府得以引入更加嚴格的安全標準。該法案之內容包含，禁止數位科技產品之業者使用單一且通用之預設密碼，產品之預設密碼都必須有所不同；供應商應具備漏洞揭露政策，並應向客戶公開公司正採取何種防禦作為，處理該安全漏洞；應公開相關聯繫資訊或建立聯繫平台，使安全研究人員或其他人發現產品缺陷及錯誤時，方便與其聯繫；另外，針對不符合要求之產品或服務，政府亦將有權阻止其於英國境內銷售。 　　在電信基礎設施改革方面，將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判，減少相關冗長的法律爭訟事件，例如，要求電信營運商透過訴訟外紛爭解決機制（Alternative Dispute Resolution，ADR）解決紛爭，無須訴諸法院。亦加快續約之談判流程，讓根據舊有協議安裝基礎設施之營運商，得以按照類似條款進行續約，英國政府希望透過這些措施使95%國土擁有4G網路覆蓋，至2027年大多數人口能使用5G網路。 　　PSTI法案生效後，英國政府將指定監管機構，其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰，或以其在全球之營業總額的4%作為罰款。

2024年德國預計制訂或修正多部法規，以達成2023年8月公布的德國資料戰略《透過資料利用取得進展》（Fortschritt durch Datennutzung）文件中所設定的目標。該戰略由內政部、經濟與氣候行動部、數位與交通部聯合訂定，規劃德國資料政策與法規的工作進程，以期打破資料封閉的現狀、拓展資料應用的範圍。 德國資料戰略目標與重點摘要如下： 1.更多的資料： (1)公部門資料：藉由統整跨部門的資料增加資料的可近用性，並透過新訂法規提升資料近用機會，包括《交通資料法》（Mobilitätsdatengesetz）確保交通資料的品質和使用規則、《聯邦透明度法》（Bundestransparenzgesetz）作為取得政府資料的法源依據、《研究資料法》（Forschungsdatengesetz）簡化科研資料的取得，以及為增加健康資料二次利用起草的《健康資料利用法》。 (2)私部門資料：德國政府將訂定並提供資料共享之契約範本，以降低資料的交易、操作成本，並評估增修公平競爭相關法規來協助企業間的資料合作。另將新訂《員工資料保護法》（Beschäftigtendatenschutzgesetz），重整散於歐洲人權法院及德國國內與員工資料相關之規範。 2.更好的資料：德國將積極參與國際資料標準訂定與遵循，確保資料的品質、互操作性，以及標準化的資料描述。相關工作包括草擬關於業者使用cookie等數位追蹤技術如何取得使用者同意的管理規範，並將依歐盟準則評估是否訂定不法重新識別之刑責；另外預計建立文化、農業等主題資料室用以協助政府決策。 3. 資料利用和資料文化：為使資料可持續地利用與發展，政府機關方面將設置資料專責人員，並在以政府資料訓練大型語言模型技術時由新設的資料諮詢中心協助。公民數位能力方面，將於STEM 2.0教育計畫中規劃培育資料概念，促進未來社會發展出更多樣的資料應用機會。 德國資料戰略涉及政府、企業、研究單位和公民各層面，顯示資料的重要性逐漸成為德國重大的課題，亦是我國在建立資料治理時如何確保資料品質、交換義務與使用規則的參考方向。

　　鑑於ISP對於寬頻服務的廣告速度常與實際提供速度有落差，英國廣告標準管理局（Advertising Standards Authority，ASA）要求廣告事務委員會（Committee for Advertising Practice，CAP）與廣播廣告事務委員會（Broadcast Committee for Advertising Practice，BCAP）針對英國各地區的ISP寬頻廣告進行審查，CAP與BCAP則委託Ofcom進行各ISP實際寬頻服務速度之調查。 　　Ofcom於2010年11月～12月期間，針對ADSL、Cable及光纖等寬頻服務進行各時段的大規模測試。綜合以往的調查，Ofcom研究結果發現，英國寬頻服務平均速度約從 5.2 Mbps（2010年5月）至6.2 Mbps的（2010年11～12月），但不到廣告所宣稱速度之一半（平均寬頻廣告速度為 13.8 Mbps，故僅約45%。） 　　在各種寬頻技術中，ADSL的廣告與實際落差最大，廣告宣稱8Mbps之速度，實際平均僅有2～5Mbps；而Cable的廣告與實際落差最小，實際速度均能達到廣告速度的90%左右；光纖寬頻則約在80%～90%之間。 　　 　　Ofcom並建議將以下原則增訂至英國寬頻速度自律規則（Voluntary Code of Practice on Broadband Speeds）中 • 如果寬頻速度是廣告內容，必須包括一個「典型的速度範圍」（Typical Speed Range，TSR），計算依據為將某一速度之使用者依照實際接取速度分為四等級，去掉最高與最低，取中間50%使用者之平均速度為準； • TSR必須至少與宣稱之速度相當； • 宣稱的速度必須代表相當大比例使用者能夠接受的實際速度； • 任何TSR或宣稱之速度在用於廣告時，必須是基於足夠的分析統計數據，而該數據與方法應經過審議。 　　Ofcom認為ISP的寬頻廣告應反映消費者能接受之實際速度，因此改變廣告規範是必要的，以促使各ISP進行以速度為基礎之競爭，並確保消費者有充分資訊可比較、選擇最有效率之寬頻服務。