政府資訊業務委外涉及個人資料保護法律責任分析及因應建議

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國商務部產業安全局（Bureau of Industry and Security，簡稱BIS）於2024年12月2日發布《外國生產的直接產品規則補充以及先進運算及半導體製造項目管制精進》（Foreign-Produced Direct Product Rule Additions, and Refinements to Controls for Advanced Computing and Semiconductor Manufacturing Items），並於同日（12月2日）生效，部分管制措施的法律遵循延後至2024年12月31日。BIS開放公眾可以就本次管制提出意見。 因中國的半導體戰略旨在進一步推進中國的軍事現代化、大規模殺傷性武器（WMD）的發展，美國政府認為中國的相關政策與措施，將可能侵害美國及其友盟之國家安全。因此，本次管制之目的旨在進一步削弱中國生產先進節點半導體的能力，包括下一個世代的先進武器系統，以及具有重要軍事應用的人工智慧與先進運算。 為達上述目的，本次管制修正具體擴大的管制項目概述如下： 1. 24種半導體製造設備，包括某些蝕刻（etch）、沉積（deposition）、微影（lithography）、離子注入（ion implantation）、退火（annealing）、計量（metrology）和檢驗（inspection）以及清潔（cleaning）工具。 2. 3種用於開發或生產半導體的軟體工具。 3. 管制源自美國的高頻寬記憶體，以及於美國境外生產且美國管制清單中所列之高頻寬記憶體。 4. 新增對電子電腦輔助設計（Electronic Computer Aided Design）與技術電腦輔助設計（Technology Computer Aided Design）軟體及技術的限制。

　　德國聯邦網絡管理局（Bundesnetzagentur，BNetzA其職權類似目前我國之交通部）將於2010年4月12日展開針對800 MHz、1.8 GHz、2 GHz及2.6 GHz四大頻段中的部分頻譜拍賣，以供電信服務無線網路接取之用─特別是供4G技術使用；惟競標者僅有既存的四大電信營運商：Deutsche Telekom、Vodafone、KPN’s E-Plus（該公司成立一百分百控股公司獨立參與投標） 以及Telefónica O2，並無新進業者投標，明顯欠缺多樣性(diversity)。 局長Matthias Kurth表示，曾收到兩家業者有意參與競標的訊息，但其中一家營運商並未符合相關投標資格，而無法參與拍賣；另一家則已表明退出競標拍賣程序。 　　前揭四大頻段原屬軍方或傳統廣播電視業者所使用，屬歐盟所謂之數位紅利(digital dividend)之頻段已清空待價而沽。其中最受矚目者乃電波物理特性極佳的800 MHz頻段，特別適合於4G通訊技術之用，能在偏遠地區與都會遮蔽密度高之地區展現良好的覆蓋率及滲透率。 　　歐美地區皆已陸續進行廣電數位化（DSO）及數位紅利頻譜拍賣或制訂相關使用規則，以提升無線網路接取的便利性與普及性，強化國內資通訊產業競爭力。惟德國電信產業似乎與我國目前情況類似，為既有電信營運商寡占頻譜使用及相關服務市場，與美國700 MHz拍賣結果大異其趣，商業價值是否亦為德國頻譜釋出之重要考量，後續發展頗值得注意。

我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 　　我國關於個資去識別化實務發展，依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡，實務上爭議在於達到合理利用目的之個資處理，參酌法務部103年11月17日法律字第10303513040號函說明「個人資料，運用各種技術予以去識別化，而依其呈現方式已無從直接或間接識別該特定個人者，即非屬個人資料，自非個資法之適用範圍」，在保護個人隱私之前提下，資料於必要時應進行去識別化操作，確保特定個人無論直接或間接皆無從被識別；還得參酌關於衛生福利部健保署資料庫案，健保署將其所保有之個人就醫健保資料，加密後提供予國衛院建立健保研究資料庫，引發當事人重大利益爭議，終審判決（最高行政法院106年判字第54號判決）被告（即今衛福部）勝訴，法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準，該案之資料收受者（本案中即為衛福部）掌握還原資料與主體間連結之能力，與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用，在於確保社會大眾無法從資料內容輕易推知該資料所屬主體，並有提到關於再識別之風險評估，然而應採行何種標準，並未於法院判決明確說明。 　　我國政府為因應巨量資料應用潮流，推動個資合理利用，行政院以推動開放資料為目標，104年7月重大政策推動會議決議，請經濟部標檢局研析相關規範（如CNS 29191），邀請相關政府機關及驗證機構開會討論，確定「個人資料去識別化」驗證標準規範，並由財政部財政資訊中心率先進行去識別化驗證；並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191，同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例，第二波示範案例則由內政部及衛生福利部（105年12月通過）接續辦理。 　　經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術－安全技術－隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication)，轉換為國家標準CNS 29100及CNS 29191，並據此制訂「個人資料去識別化過程驗證要求及控制措施」，提供個資去識別化之隱私框架，使組織、技術及程序等各層面得整體應用隱私權保護，並於標準公報(107年第24期)徵求新標準之意見至今年2月，草案編號為1071013「資訊技術－安全技術－個人可識別資訊去識別化過程管理系統－要求事項」(Management systems of personal identifiable information deidentification processes – Requirements)，主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項，提供維護並改進個人資訊去識別化過程及良好實務作法之框架，並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 　　由於前述說明之草案編號1071013去識別化國家標準仍在審議階段，因此以下以現行「個人資料去識別化過程驗證要求及控制措施」（以下簡稱控制措施）[1]說明。 　　去識別化係以個資整體生命週期為保護基礎，評估資料利用之風險，包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序，分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法（下稱個資法）說明如下：首先，組織應先確定去識別化需求為何，究係對「個資之蒐集或處理」或「為特定目的外之利用」（對應個資法第19條第1項第4、5款）接著，對應重點在於「適當安全維護措施」，依據個資法施行細則第12條第1項規定，公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施；而依據個資法施行細則第12條第2項規定，適當安全維護措施得包括11款事項，並以與所欲達成之個資保護目的間，具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法： 一、隱私權政策 　　涉及PII處理之組織的高階管理階層，應依營運要求及相關法律與法規，建立隱私權政策，提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」，即為涉及個資生命週期為保護基礎之管理程序，從蒐集、處理到利用為原則性規範，以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 　　組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 　　組織蒐集、處理、利用PII應符合之11項原則，包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」，以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 　　組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫，且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義，係指個資以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者，組織於進行去識別化處理時，應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 　　此章節為選驗項目，需具體依據組織去識別化需求，是否需要重新識別而決定是否適用；若選擇適用，則保留重新識別可能性，應回歸個資法規定保護個資。 參、小結 　　國際上目前無個資去識別化驗證標準及驗證作法可資遵循，因此現階段控制措施，係以個資整體生命週期為保護基礎，評估資料利用之風險，使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊進行去識別化之過程，透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項，內化為我國業者因應資料保護與資料去識別化管理制度。 　　控制措施預計於今年下半年發展為國家標準，遵循個資法與施行細則，以及CNS 29100、CNS 29191之國家標準，參照國際上相關指引與實務作法，於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性，業者視需要評估導入，仍建議進行巨量資料應用等資料經濟創新業務，應重視處理個資之適法性，建立當事人得以信賴機制，將有助於產業資料應用之創新，並透過檢視資料利用目的之合理性與必要性，作為資料合理利用之判斷，是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心，個人資料去識別化過程驗證，https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx（最後瀏覽日：2019/6/4） 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容，該網站並未公告「個人資料去識別化過程驗證要求及控制措施」，故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。

韓國國家智慧財產人力培育綜合計畫初探 科技法律研究所 2014年08月05日 壹、事件摘要 　　韓國政府暨2008年4月提出「第一次國家智慧財產人力培育綜合計畫(2008~2012)」[1](以下簡稱第一次綜合計畫)後，於2012年12月提出「第二次國家智慧財產人力培育綜合計畫 (2013~2017)」[2](以下簡稱第二次綜合計畫)，以「創意人才、知識財產之管理與服務所需專門人才的培育」為目標，強化並提升韓國在全球化市場的競爭力。 　　韓國人才培育綜合計畫旨在培育優秀專利人才、智財實務人才，透過質與量的同步增加與水準提升，以期補足智財人力缺口。當中各項措施思維，是否有值得我國借鏡之處，本文將介紹第一次綜合計畫目標及主要成果，並以此為基礎說明第二次綜合計畫在政策說明、預期成果等規劃上的改進作法，進而歸納說明韓國在人才培育相關觀念想法，供國內相關政策發展之參考。 貳、重點說明 一、計畫背景 　　第一次綜合計畫於2008年提出，目的是為因應韓、美FTA締結與生效後，韓國企業將面臨全球化市場競爭，專門領域人才之需求量日益增加，但相對在以智慧財產法學為中心之人力供給與相關職務教育卻尚未成熟。 　　第一次綜合計畫目標有三，首先是擴充優秀之專利創造潛力、再者是增加企業智財實務人力數量及提升水準、最後則是要提高智財法律服務的素質，以期提高智慧財產的競爭力。主要四大政策包括：(一)強化智財研究人力培育；(二)培育企業智財實務人才；(三)培育智財服務領域人力資源；(四)擴充智財人才培育之基礎。 　　在第一次綜合計畫中，以大學生及企業人力為對象之智財教育課程，對於上述對象之能力有顯著幫助、獲得肯定。但除此之外，課程內容不夠多樣化、制度化，以及課程程度未達標準，所提供教育現場之實務界人才以及國際業務之專家亦不足，被認為是第一次綜合計畫不足之處[3]。於是在此背景下，第二次綜合計畫設定兩大計畫目標「以智財經濟為基礎，培育智財人才」、「體現智財之大眾化與智財文化的深層教育」，並以此設定五大政策，本文就其內容以及相關措施為具體說明。 二、政策架構 　　在第二次綜合計畫中，共分為五大政策，分述如下: （一）強化培育商業智財管理人才 　　韓國政府認為，若要強化人才的培育與供給、提升企業競爭力，在政策上第一步必須針對「智財管理人力」進行加強。包括促進企業內部成立智財專責部門，依據不同管理領域[4]給予理論與實務的教育課程、各國智財制度與紛爭解決有關專門教育[5]，乃至於碩士學位課程（如為因應海外智財紛爭應對，韓國企業提供學費百分之50補助，鼓勵在職進修之碩士課程「智慧財產專門學位課程(MIP)」）。同時，加強企業經營者智財經營意識亦屬至關重要之事。透過在大企業以及中堅企業設置專門智財部門及智財最高負責人，並讓各企業間可以針對智財進行合作、資訊共享[6]。或是直接派員前往各地區中小企業聚會，傳達IP經營優秀事例、經營訣竅，皆是韓國強化企業經營者IP經營概念之規劃作法。另外，則是擴大產學研合作與就業市場連結，透過「企業-大學-政府」合作，提供企業所需人才之教育，同時也讓企業透過採用優秀人才強化其智財能量。最後，則是在智財經營、發明、設計等領域，發掘、培育次世代的領導能力，為未來競爭力做準備[7]。 （二）培育全球化智財服務專門人才 　　第二個政策著重於智財服務人力的培育。國際智財紛爭加劇，需要有能夠因應時局改變之專利師養成教育以及考試制度改進。過去在第一次綜合計畫中，先著重於專利師的數量，以供給市場需求。而第二次綜合計畫中，透過「教育-考試-實務研習-多樣化專業課程」的專利師培育政策，期望在電子/通訊、化學/生命、機器/金屬等專業領域能夠提供專業化的服務，並能在法律市場開放的現實環境中，培育[8]可以進入海外法律服務的專利師，同時能夠為韓國企業處理海外智財紛爭。 再者，對於專利師該有的社會責任部分，韓國推動專利師與律師則共同組成「專利家庭醫生(patent home doctor)[9]」制度，透過才能分享(Pro Bono)專家池(pool)[10]，提供中小企業在發生紛爭時可以透過此一制度來諮詢。同時也與各地區智財中心連結，希望各地區都會有一專利師事務所，以深化智財教育。 此外，韓國政府已於今年7月完成專利師考試制度修正案[11]，預計增加實務考題以及改變計分方式。再者，對於律師智財教育部分，則與法學專門大學院[12]合作，提供其研究生智財業務實習的機會，以培育智財紛爭解決之專門人才。 （三）培育融合型智財創造人才 　　第三個政策著重於研究開發人才的智財意識。首先，針對理工科大學生以及研究生等預備人才，依據其領域別開設不同課程，並鼓勵申請輔系，期望培育出兼具技術與智財層面的專業人才。另外，針對一般大學學生則鼓勵主修與智財相關之課程，使大學畢業生兼具專業領域與智財領域的能力，以期提供相關研究機構具備專業與智財能力之研發人才。除部分大學已開設智慧財產專門學位課程(MIP)碩士班、智財課程放入大學正規科目外，學校亦會舉辦校園專利策略校運會(캠퍼스 특허전략 유니버시아드，Campus Patent Strategy Universiade[13])、大學創意發明大會、D2B（Design-to-business）等智財實戰活動。從各種活動中將智財的概念帶進校園，深化校園後，也期待能夠將智財的概念透過校園的傳遞普及於一般民眾，使智慧財產的概念不是遙不可及的專業領域。 （四）扎根基層智財教育 　　第四個政策著重於基層智財教育扎根，包括針對兒童開設各種發明體驗設施[14]、發明文化講座、發明體驗活動，於中小學教育課程中加入發明與智財教育，以深植智財觀念。針對青少年部分，則在高中課程中提供選修智財相關科目，以發掘培養有潛在力之英才[15]。同時結合發明教育與技術教育，培育創造活用之立即可以使用之人才。 （五）智財人才培育之系統化 　　第五個政策著重於人才培育系統，將培育之智財人力與就業市場結合，以提高人力培育之成果。透過智財人力綜合資訊系統(IP Human Network)[16]使新進人力可順利進入職場、既有人力能有效運用發揮。透過智財財產能力考試(IPAT)[17]，進而能開發智財領域國家職務能力標準(IP-NCS)[18]。並商討是否需要制定「智財教育振興法」[19]，使得韓國能在制度法規面上，完整規範智財人力培育的計畫制定、施行以及相關預算。 參、代結論 　　先進國家如美國，透過知識密集產業直接或間接促成4千萬件就業。並利用其高附加價值之特性，使創造出之產值甚至佔美國國內生產毛值(GDP)達35%[20]。故有系統的培育智財專門人力，有助於國家智慧財產領域的競爭力，對於經濟發展與產值提升亦有其正面影響。 　　爰此，韓國在第二次綜合計畫中，便目標設定在5年內(2013~2017)增加2萬名新進人力及其工作機會，累積培育5萬名專門人才，來填補智財專門人力的缺口。其面向則從管理人才、服務人才、研發(創造)人力三方面著手。在管理人才部分，首要著重的是企業如何從現有人力進行培育，提高其智財能力，以及如何透過產學研擴大合作，與就業市場連結來培育下一代管理人才。服務人才部分則是透過考試制度改革積極培育更符合需求之專利師，同時也透過智財教育培育律師的智財紛爭解決能力。針對研發(創造)人才部分，則強調在專業教育的同時，需兼顧智財意識的養成，以期提供相關研究機構具備專業與智財能力之人才。最後，則進一步透過「智財人力綜合資訊系統(IP Human Network)」將培育人才與就業市場連結，促使所培育之智財人才能有效運用。 　　整體而言，在第一次綜合計畫中，是由政府主導、推行智財教育政策，而在第二次綜合計畫中，則期望達到政府與民間合作進行智財教育，甚至形成民間可自行育成智財人力之循環，此等人力發展思維與作法，值得我們持續觀察與參考。 [1] 第一次國家智慧財產人才培育綜合計畫是韓國於2007年1月18日招開之「第21回 科學技術相關長官級會議」中確認之『智慧財產策略體系推動計畫(案)』之後續處理案。國家科學技術委員會，〈국가지식재산 인력양성 종합계획안〉(2008/04/24)。 [2] 專利廳，〈제2차 국가지식재산 인력양성 종합계획안(2013~2017)〉（2012/12/12）。 [3] 同前註 [4] 在職人力教育預計從2013年的4500名，期望於2015年達到6000名、2017年提升至8000名；新進人力教育則是期望可以達到年平均為1500名。 [5] 針對主要紛爭對象國家專門課程，海內外人力一年200名。 [6] 目前三星電子、LG有公司內部智財教育課程，發掘可能事例，並傳授他公司智財相關課程運作的方法。 [7] 每年選拔50名左右派往美國等先進國家進行交流、學習課程。 [8] 包含CLP(國際授權專門資格認證)培育課程等技術價值評價與授權相關課程。 [9] 특허 홈닥터(patent home doctor)，http://pcc.or.kr/pcc/。 [10] 재능나눔 전문가 Pool。才能分享的概念來自於捐款，除了捐助金錢可以幫助他人外，也可以貢獻自己的專業能力於社會，屬於社會服務之一環。http://pcc.or.kr/pcc/。 [11] 專利廳於預定於今年(2014)下半年提出修法，可望於2018年開始實施。專利廳報導資料http://www.kipo.go.kr/kpo/user.tdf?seq=13740&c=1003&a=user.news.press1.BoardApp&board_id=press&catmenu=m03_01_02 [12] 如同美國law school概念，韓國正式的名稱為法學專門大學院，碩士課程。 [13] http://www.patent-universiade.or.kr，Universiade一詞為結合University + Olympiade兩個字而來。 [14] 美國於華盛頓美國史博物館內的「發明體驗設施(Lemelson Center)」 [15] 「發明英才教育研究院」為有天分之學生及其家長提供諮詢，並提供該生未來志願諮商。英才教育，等同我國資優生教育。 [16] IP Human Network，http://www.iphuman.or.kr/ipes2013/front/gate/main/iphuman_main.do [17] IPAT(Intellectual Property Ability Test)於2010年11月6日正式開始，並於每年的5月與11月舉辦 [18] 韓國產業人力公團，http://www.hrdkorea.or.kr/ [19] 參考科學教育振興法、環境教育振興法、英才(資優)教育振興法 [20] 依據美國商務部(Dept. of Commerce)2012年3月，工作機會有4千萬件(全體28%、直接雇用2千7百萬件、相關雇用1千3百萬件)；產品輸出達＄775billion美金(全體61%、IP服務輸出佔全體19%)；創造出的附加價值為＄5.06trillion美金(GDP之35%)