德國電信服務法下訊息儲存服務提供者之法律責任

　　德國聯邦政府目標擬定於2020年實現高度自動化駕駛，為達成自動駕駛目標，車聯網（Connected driving）及智慧交通系統（Intelligent transport systems）技術成為必要發展工作項目。車聯網即透過無線通訊技術，使車輛間（Vehicle-to-Vehicle, V2V）或車輛對基礎設施 （Vehicle-to-Infrastructure, V2I）等彼此交換訊息，或是將行車資訊傳輸到伺服器，並透過資訊網路平臺將資料整合利用，並依不同功能需求進行有效監控管理和提供綜合服務。未來，可預見道路使用者的個別交通資訊的質與量將大幅提升，無論是部份自動駕駛或高度自動駕駛，將產生龐大資料量，故系統需要即時迅速的運算能力。例如，前方一旦發生車禍事故，必須通知後方自動模式駕駛車輛即時減緩速度，並適時轉由駕駛人員介入操控。 　　自動化及車聯網駕駛發展係為跨領域之問題，聯邦政府即針對五大領域問題：基礎設施、法規、創新研發、聯網化、資訊安全及資料保護，提出一連串作法及措施，確保德國汽車產業能保持領先地位。 　　我國資通訊及汽車零件產業具備技術相對優勢，然應就適合我國車聯網之實際需求發展，促進相關產業創新應用，並利用我國產業優勢與國際接軌，讓台灣在車聯網的發展中取得先機。

　　德國聯邦資料保護暨資訊自由官（Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI）Ulrich Kelber教授於2020年8月19日指出，2020年7月3日甫由德國議會通過的病人資料保護法（Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG），恐違反歐盟一般資料保護規則（GDPR）。 　　該法規定自2021年起，健康保險業者必須向被保險人（病人），提供電子病歷（ePA）。而自2022年起，病人有權要求醫生將病人相關資料記錄於電子病歷，包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等，而被保險人更換健康保險業者時，可要求移轉其電子病歷至新的健保公司。另外，2021年起將可透過手機，下載電子處方並至藥局領取處方藥。2022年1月1日起，將全面強制使用電子處方，病人將可透過智慧手機或平板電腦，決定他人對於電子病歷之近用權限。病人若無手機，可至健保公司查看電子病歷。依照規劃，目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料，以及誰可以近用該文件。自2023年起，被保險人可自願提供電子病歷資料作為研究用途，而因上述研究可處理病人資料之醫師、診所和藥劑師等，有義務確保其資料安全。 　　BfDI於立法過程中多次強調，在導入電子病歷使用時，病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備，例如智慧手機或平板電腦，設定其電子病歷之存取權限，此意謂著將有一段空窗期，病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中，可否僅開放部分資料供瀏覽或存取，亦受到聯邦資料保護暨資訊自由官質疑。另外，對於無法或不想在手機或平板電腦上使用上述功能的人，本法並未進一步規定，亦即2022年起，上述病人為了能夠檢查或接受醫療，必須強迫病人控制其相關資料，但目前顯然尚缺乏相關配套。此外，以資料保護角度而言，目前電子病歷之認證程序有安全疑慮，尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹，因此命令相關單位應於2021年5月前完成改善。 　　電子病歷是對醫療保健改善的重要一步，因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視，惟當前病人資料保護法恐無法完全保護病人資料安全。因此，BfDI將透過監管手段，確保健康保險公司不會因提供電子病歷而違反GDPR。

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

　　伴隨著歐洲食品安全局公開一項經高度謹慎評估關於複製動物在食品安全、動物健康和環境等方面關聯性之科學意見後；歐洲議會隨即於2008年9月3日邀集委員會召開討論會議，並於該會議中遞交出有關於禁止將複製動物作為食品之建議案。透過表決，在622票贊成、25票棄權與32票反對之壓倒性決議下，議會通過了該項建議案。 　　該項禁令建議案要求歐盟境內各會員國應禁止：(1)以複製動物作為食物之來源、(2)為糧食供應目的而進行畜養之複製動物或其繁殖之子代、(3)於市場上販售經由複製動物或其經繁殖之子代所衍生之食用肉品與乳製品；以及(4)禁止以食用為目的自境外進口複製動物與其經繁殖之子代(包括精子或卵子細胞)等行為。 　　而EFSA也發現：「不太可能達成全面性食品安全之評估工作」，故對於缺乏可靠數據資料而需進行評估之主體而言，在進行風險評估時，其仍將會不斷地被不確定性問題所困擾；同時，EFSA在該報告中還強調：透過比對複製動物與經傳統育種繁衍之動物後，其也將面臨「於動物健康及福利方面等重要爭議問題」。另外，歐洲議會成員指出：將透過歐盟農場動物保護指令中，有關禁止任何可能引起痛苦或傷害之自然或人為育種繁殖過程之規定，作為該項禁令之法律授權依據。 　　截至目前為止，尚未有任何由複製動物所衍生之產品在歐洲或者世界其它地方被銷售；不過，由於美國食品藥物管理局(FDA)早在2008(今)年1月份時即做出結論，認為：由複製牛、豬、山羊與其子代所產生之肉品與牛奶，其安全性與食用從傳統育種動物所衍生之食品並無二致。因此，專家們咸信，此類產品將會於2010年時正式進入市場販售；而在歐洲方面則更進一步認為，日後在處理複製動物食用之問題上，應要兼顧到動物福利之保護與獲得廣大消費者之信賴。