資通安全法律案例宣導彙編 第3輯

美國聯邦貿易委員會（Federal Trade Commission，FTC）根據《健康違規通知規則》（Health Breach Notification Rule，HBNR），於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令（Proposed order）。擬議命令指經由行政機關調查案件後提出的改善建議，且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息；而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明，將妥善保護所蒐集之個資，然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司，用來進行目標式廣告的投放。 FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料，並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外，更要求BetterHelp, Inc.向網站的使用者進行退款，退款總額上限高達780萬美元。FTC在擬議命令中建議：涉及敏感性健康資料的事業負責人，除了需要重新檢視目前持有資料的隱私和安全性外，最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」，這兩個案例中的業者都是違反了自己當初對使用者的承諾，最終才導致被處罰的結果。

澳洲新南威爾斯州（New South Wales）議會於2026年2月12日通過《2026年工作健康與安全（數位工作系統）修正法案》（Work Health and Safety Amendment (Digital Work Systems) Bill 2026，以下簡稱本法案），並於同月18日獲御准（Royal Assent），以防範人工智慧在工作場所中對受雇者可能造成的職業安全危害。本次修正為澳洲州政府首次將數位工作系統納入《工作健康與安全法》規範框架之立法，明確要求雇主妥善管理人工智慧及其他數位工作系統對員工所帶來的安全風險；此次修法草案概述如下： 首先，就規範客體之界定而言，本次修法於第4條新增「數位工作系統」（digital work system）之定義，指演算法、人工智慧、自動化系統或線上平台。 其次，本次修法重點之一為主要注意義務之擴張。新南威爾斯州《工作健康與安全法》第19條第一項原即明定，事業單位對勞工之健康與安全，在合理可行的範圍內負有主要注意義務（primary duty of care）；同條第19條第3項第c款則進一步規定，事業單位應在合理可行的範圍內，為勞工提供並維持安全的作業系統（safe systems of work）。本次修法於前揭基礎上，於母法第19條第3項新增第c1款，要求事業單位在合理可行的範圍內，確保勞工之健康與安全不因該業務或事業單位「使用數位工作系統」而受到危害。再者，新增之第21A條亦明定，凡經營涉及數位工作系統之事業單位，均需在合理可行的範圍內，確保勞工之健康與安全不因該事業單位透過「數位工作系統」進行「工作分配」（the allocation of work）而面臨風險。此項擴張之核心意義，在於將數位系統所衍生之職場危害明文納入法規框架，將原本僅賴概括性規定涵攝之情形予以類型化，使雇主注意義務之射程更為清晰。傳統作業系統與新興「數位工作系統」（digital work systems）均明確落入規範範疇，部分原本遊走於灰色地帶之邊緣案例，亦得據此獲得更明確之法律保護。 進一步就前述之風險態樣類型化而言，修正後之第21A條第2項明定，營運業務或事業之人必須考量使用數位工作系統分配工作，是否會導致以下風險：(一)對業務或事業中的勞工（workers at work in the business or undertaking）造成過度或不合理的工作負荷；(二)採用過度或不合理的指標，對業務或事業中的勞工進行績效評估與追蹤；(三)對業務或事業中的勞工實施過度或不合理的監控或監視；(四)在業務或事業的經營過程中，做成違法的歧視性行為或決策。上開四項風險類型，實已涵蓋當前AI演算法管理（algorithmic management）所衍生之主要爭議。 最後，本次修法後，依第117條及118條規定，持有「工作健康與安全進入許可證」（work health and safety entry permit）之人員有權進入工作場所，就疑似違規情事檢查相關數位工作系統，而相關事業單位對此負有提供合理協助（reasonable assistance）之義務；主管機關則應就上開合理協助之行使訂定並於官方網站公告相關指引，以資遵循。 綜上，新南威爾斯州本次修法之特色，在於同時就「實體義務」、「執法配套」與「規範動態檢討」三個層次，完整建構數位工作系統之職業安全規範框架。新南威爾斯州之立法經驗，就規範客體之類型化、雇主注意義務之具體化，以及與國際規範接軌之機制設計，均可作為我國未來修法及主管機關訂定相關指引時之重要參酌。

　　Cisco於2012年2月發布預測2011至2016年全球行動數據流量將從2011年每月0.6 Exabytes上升至2016年每月10.8 Exabytes，以高達78%的年複合成長率（CAGR, Compound Annual Growth Rate）逐年攀升。根據此數據，新加坡亦預測其國內行動數據流量將以64%的年複合成長率，從2010年3.1Petabytes上升至2015年37 Petabytes。目前新加坡的電信業者為因應與日益龐大的數據流量，已著手嘗試各項商業模式，包含分級訂價（tiered pricing）、流量管理政策（traffic policy management control）、網路最佳化（network optimisation）、既有基礎建設升級（upgrading of existing infrastructure）以及採用如長期演進技術（LTE，Long Term Evolution）等新興技術和行動數據疏導策略（Mobile data offloading strategies）的發展。 　　另外職掌新加坡電信政策的新加坡資訊通信發展管理局（IDA Singapore），於2012年4月亦針對4G通訊系統及服務，提出頻譜重新分配之建議書，並諮詢各界之意見，以因應下階段全球移動數據領域之發展。IDA於建議書中計畫擬定以1800MHz、2.3GHz以及2.5GHz作為未來發展4G技術的主要頻段。為滿足產業所需之頻譜量，IDA預計於1800MHz頻段分別釋出2*70的對稱頻譜（paired spectrum）、於2.3GHz頻段釋出30MHz的非對稱頻譜（Unpaired Spectrum），而於2.5GHz頻段則同時釋出2*60MHz的對稱頻譜與30MHz的非對稱頻譜。除了釋出足夠頻譜外，為考量未來技術實驗以及電信業者發展全國性網路服務可能需求2*20MHz的對稱頻譜或20-30MHz的非對稱頻譜，IDA亦分別於前述三個頻段中預留2*5MHz（1800MHz）、20MHz（2.3MHz）以及於2.5MHz區段中預留2*10的對稱頻譜與20MHz的非對稱頻譜。 　　不過目前受到各國推崇的700MHz頻段卻未被新加坡納為現階段孕育4G技術的主要區域，同時對於900MHz是否於本次拍賣一同釋出以發展4G技術，新加坡政府仍持保留態度。對此，新加坡主要業者包括SingTel與StarHub皆已向iDA提交回覆建議書，表達此舉不符合國際未來發展趨勢並期待IDA能重新作出調整。

　　歐盟法院在2017年3月9日針對其於同日所公布的判決發布新聞稿，指出該院認定公司資料登記中的個人資料於此案中並無被遺忘權之適用。 　　該案件起源於2007年義大利的Manni先生對雷契商業登記處（Lecce Chamber of Commerce）所提之爭訟。在由雷契法院（Tribunal di Lecce）受理的案件中，Manni先生主張其所承接觀光性建案乃因商業登記處之資料清楚顯示其於1992年間擔任負責人的公司倒閉之影響而無法成交。 　　在一審判決中，雷契地方法院命雷契商業登記處將Manni先生與其之前所任職公司後來進入清算程序之聯結匿名化，並應對其為損害賠償。嗣後，雷契商業登記處向義大利最高法院（Corte suprema di cassazione）提起上訴，該院則決定聲請歐盟法院的先訴裁定（preliminary uuling）程序。 　　歐盟法院的判決指出：公司登記資料的公開性質，乃基於確保公司間以及與第三人間之法律安定性，特別是對於有意願入股上市公司或股份有限公司的第三人之利益。考量本案所涉法律權利之範圍，以及這些權利限制資料存取的時間在會員國各有所異，歐盟法院認為本案所涉之事實並不足以正當化系爭資料近用之限制，但其亦不排除未來有不同的可能，但須個案判斷。