從推動體系及法制架構思考我國文化創意產業發展之整合以南韓推動組織與法制架構為例

　　2019年5月3日，來自全球30多國的政府官員與來自歐盟、北大西洋公約組織的代表於捷克布拉格所舉辦的5G資安會議（Prague 5G Security Conference）中，強調各國建構與管理5G基礎建設時應考慮國家安全、經濟與商業發展等因素，特別是供應鏈的安全性，例如易受第三國影響之供應商所帶來的潛在風險，本會議結論經主辦國捷克政府彙整為布拉格提案（The Prague Proposals），作為提供世界各國建構5G基礎建設之資安建議。 　　在這份文件中首先肯認通訊網路在數位化與全球化時代的重要性，而5G網路將是打造未來數位世界的重要基礎，5G資安將與國家安全、經濟安全或其他國家利益，甚至與全球穩定等議題高度相關；因此應理解5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，則為強調確保5G基礎建設的供應鏈安全。 　　因此在布拉格提案中強調各國建構通訊網路基礎建設，應採用國際資安標準評估其資安風險，特別是受第三國影響之供應商背後所潛藏之風險，並應重視5G技術變革例如邊緣運算所產生的新風險態樣；此外對於接受國家補貼之5G供應商，其補貼應符合公平競爭原則等。布拉格提案對於各國並無法律上拘束力，但甫提出即獲得美國的大力肯定與支持。

　　2018年7月27日印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）公告個人資料保護法草案（Protection of Personal Data Bill），若施行將成為印度首部個人資料保護專法。 　　其立法背景主要可追溯2017年8月24日印度最高法院之判決，由於印度政府立法規範名為Aadhaar之全國性身分辨識系統，能夠依法強制蒐集國民之指紋及虹膜等生物辨識，國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料，因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵，進而認為國民有資料自主權，能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害，因此認定Aadhaar專法與相關法律違憲，政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會，研擬個人資料保護法草案。 　　草案全文共112條，分為15章節。主要重點架構說明如下： 設立個資保護專責機構（Data Protection Authority of India, DPAI）：規範於草案第49至68條，隸屬於中央政府並由16名委員所組成之委員會性質，具有獨立調查權以及行政檢查權力。 對於敏感個人資料（Sensitive personal data）[1]之特別保護：草案在第4章與第5章兩章節，規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前，必須獲得資料主體者（Data principal）之明確同意（Explicit consent）。而明確同意是指，取得資料主體者同意前，應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式，以及可能對資料主體者產生之影響。 明確資料主體者之權利：規範於草案第24至28條，原則上資料主體者擁有確認與近用權（Right to confirmation and access）、更正權（Right to correction）、資料可攜權（Right to data portability）及被遺忘權（Right to be forgotten）等權利。 導入隱私保護設計（Privacy by design）概念：規範於草案第29條，資料保有者（Data fiduciary）應採取措施，確保處理個人資料所用之技術符合商業認可或認證標準，從蒐集到刪除資料過程皆應透明並保護隱私，同時所有組織管理、業務執行與設備技術等設計皆是可預測，以避免對資料主體者造成損害等。 指派（Appoint）資料保護專員（Data protection officer）：散見於草案第36條等，處理個人資料為主之機構、組織皆須指派資料保護專員，負責進行資料保護影響評估（Data Protection Impact Assessment, DPIA），洩漏通知以及監控資料處理等作業。 資料保存之限制（Data storage limitation）：規範於草案第10條與第40條等，資料保有者只能在合理期間內保存個人資料，同時應確保個人資料只能保存於本國內，即資料在地化限制。 違反草案規定處高額罰金與刑罰：規範於草案第69條以下，資料保有者若違反相關規定，依情節會處以5億至15億盧比（INR）或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義，草案第3-35條規定，包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分（transgender status）、雙性人身分（intersex status）、種族、宗教或政治信仰，以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料（health data）。

　　近年，全球普遍掀起以永續經營為科技創新研發指導方針的構想，世界各國無不竭盡心力思考各種可行的實踐方式，以求國家科技研究發展的同時，亦能達成與自然和諧共存的目標。為落實可再生能源(renewable energy)的使用，挪威和瑞典兩國已於2009年秋天針對綠色認證(green certificates)進行相關的討論，並於2010年12月8日簽署合作議定書。 　　綠色認證是針對使用可再生能源（如風力、太陽能、和水力發電等）所生之特定電力認證。因其目的乃為強調再生能源的使用，故相關環保團體期待藉由此種認證方式來提升再生資源的使用率。早在2003年5月1日開始，瑞典即已有綠色認證市場的存在，而該跨國合作議定書之簽署，對於瑞典而言，不僅能擴張其既有之相關市場版圖外，兩國更能藉此進行跨國合作，提高能源生產量並提升與其他競爭國家之市場競爭力。更重要的是，雙方皆期待能提供其國民更穩定的能源價格。 　　目前，挪威和瑞典皆同時傾向以風力發電為該合作議定書未來發展的主要方向。不過，在考量兩國自身的環境條件後，挪威會輔以水力發電為其發展方向，而瑞典則會著重在以生物面向為發電基礎的方式為其第二發展方向。該綠色認證系統預計於2012年1月1日正式啟動，並且為期至2020年止。未來，此綠色認證系統上路後，對於挪威和瑞典兩國之可再生能源發展和永續經營的落實，究竟會產生何種火花，值得持續關注。

　　美國環保署(Environmental Protection Agency of the United States，以下簡稱EPA)於2011年3月16日首度對於國內發電廠有毒氣體的排放提出國家管制標準草案，並預定於2011年11月完成立法，此項立法措施被譽為近20年來美國空氣污染防治史上的重要里程碑。 　　美國對於發電廠所排放的有害氣體管制，最早源於美國清淨空氣法案(The Clean Air Act)在1990年要求EPA加強對於發電廠排放之汞（mercury）等有毒氣體之管制，而國會亦要求其須於2004年底以前提出國家管制標準。然而EPA於2005年正式公告「清靜空氣除汞管制規則（the Clean Air Mercury Rule，以下簡稱CAMR規則）」時，卻將燃煤電廠排放汞排除於管制名單外，引發紐澤西等14個州政府與相關環保團體的抗議，並對EPA提起聯邦訴訟。2008年2月8日聯邦上訴法院作出判決，除指出EPA對於發電廠空污之認定前後矛盾外，更認定其在未發現有新事證下擅自將發電廠所排放之空氣污染自CAMR管制名單中移除(delist)，已違背反清靜空氣法案之程序要求，故推翻CAMR規則之有效性。 　　此後，經過密集的聽證會與討論，EPA最終於2011年3月16日正式提出「限制發電廠有毒氣體排放」的國家管制標準，對於發電廠所排放的汞、砷（arsenic）、鉻（chromium）、鎳（nickel）及其他酸性或有毒氣體加以管制，並要求電廠必須採用污染控制技術以減少製造量。 　　後京都議定書時代中，各國無不致力於新興能源替代方案之提出，惟於新興能源研發應用前的過渡期間仍需仰賴傳統發電技術，美國為解決傳統火力發電對於環境及人體健康所造成的傷害，提出首部國家管制標準草案，其後續對於該國能源結構可能產生何種影響，值得注意。