吃的安心　基改農產品安全性測試系統上路

　　華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉，其旨趣，在於統一美國各州不同個資外洩通報法，並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 　　Pryor法案曾於2007年提出，惟當時未能通過，其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容，在要求處理及儲存消費者私人資訊，諸如「社會安全碼」〈social security numbers〉之企業，一旦發生資料外洩事件，需對國家提出通報，如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險，則應於發現個資外洩六十日內通知受影響之消費者。 　　Pryor法案之適用對象甚廣，故有認為，該法一旦通過，其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act，簡稱GLBA〉後的模範法典，其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉，但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 　　惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度，因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報，但對「損害門檻」並無明確定義。此外，受影響之企業似無實行適當風險評估之誘因，除需耗費大量成本評估外洩事件是否超過損害門檻外，尚需面臨企業名譽受損與客戶不滿之損失，在個資外洩要素風險指導原則付之闕如之情形下，企業恐無法客觀地評估自身個資外洩之風險。故有建議，解決之道，應明定損害門檻，並聘請外部專家或使用市場新工具，訂定客觀的指導原則，使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 　　就資訊安全部分，此法案揭櫫於其通過一年內，美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定，要求擁有或處理含有個人資料或契約之企業，必須建立並執行蒐集、使用、出售，及其他傳播、維持個人資訊之資訊安全政策，以達保護個人資料之目的。

　　歐洲資料保護委員會（European Data Protection Board, EDPD）於2020年4月24日公布COVID-19疫情期間使用位置資料和接觸追蹤工具指引文件(Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak)，就針對COVID-19疫情期間，歐盟成員國利用定位技術和接觸追蹤工具所引發的隱私問題提供相關指導。 　　EDPD強調，資料保護法規框架於設計時即具備一定彈性，因此，在控制疫情和限制基本人權與自由方面可取得衡平。在面對COVID-19疫情而需要處理個人資料時，應提升社會接受度，並確保有效實施個資保護措施。然而資料和技術雖可成為此次防疫重要的工具，但此次的資料利用鬆綁應僅限用於公共衛生措施。歐盟應指導成員國或相關機構，採取COVID-19相關應變措施時，若涉及處理個人資料，應遵守有效性、必要性、符合比例等原則。本次指引針對利用位置資料和接觸追蹤工具的特定兩種情況，闡明其利用條件和原則。情況一是使用位置資料建立病毒傳播模型，並進一步評估及研擬整體有效的限制措施;情況二是針對有接觸史病患進行追踪，目的是為通知確診病人或疑似個案以進行隔離，以便儘早切斷傳播鏈。 　　EDPB指出，GDPR和電子隱私保護指令（ePrivacy Directive）均有特別規定，允許各成員國及歐盟層級公共單位使用匿名及個人資料監控新冠病毒的傳播，並呼籲透過個人自願性安裝接觸追蹤工具。

　　有鑑於「非現金支付」（non-cash payment）──包含信用卡、電子錢包、行動支付和虛擬貨幣──之詐欺犯罪率有增加之趨勢，歐洲議會公民、司法與內政委員會 （Committee on Civil Liberties, Justice and Home Affairs）於2018年9月3日批准一修正草案，更新2001年通過之理事會框架決定（Council Framework Decision）2001/413/JHA，提高非現金支付詐欺之刑責，同時強化被害人保護。此一修正草案旨在消弭歐盟成員國間之法律落差，以強化對非現金支付詐欺之預防、偵查及懲罰。 　　此一草案最重要者為將虛擬貨幣交易納入犯罪之構成要件，並提高刑責。如法官認定犯罪情節該當國內非現金支付詐欺最重之罪，則最低應處以三至五年之有期徒刑。而其他新增及修正之內容包含： 改善歐盟區域內之合作，以利跨境詐欺之訴追。 強化對犯罪被害人之援助，如心理支持、財務及法律問題之諮詢，並對缺乏足夠資源者提供免費法律扶助。 透過宣導、教育與網路資源（如詐欺之實際案例）提供，提升民眾認知及預防之意識。 　　於委員會投票批准修正草案後，其後將待歐洲議會通過，並與歐盟理事會開啟非正式對談。

　　英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media & Sport）於2020年9月9日發布「國家資料戰略」（National Data Strategy），作為英國規劃其政府資料流通運用的整體性框架。數位、文化、媒體暨體育部長Oliver Dowden表示，資料為驅動現代社會經濟發展的關鍵。於今年COVID-19的全球疫情流行期間，政府、企業、組織等彼此及時共享重要資訊，除達成了防疫目標，更維繫了各層面的經濟生活。因此，本戰略則規劃活用此段期間獲得的知識與經驗，試圖透過資料的釋出流通與運用，讓英國經濟自COVID-19疫情中復甦，提高生產力與創造新型業態，改善公共服務，並使之成為推動創新的樞紐。 　　為優化英國資料的運用，本戰略提出了四個核心面向：（1）資料基礎（data foundation）：資料應以標準化格式，且符合可發現（findable）、可取用（accessible）、相容性（interoperable）與可再利用（reusable）的條件下記載；（2）資料技能（data skills）：應藉由教育體系等培養一般人運用資料的技能；（3）提升資料可取得性（data availability）：鼓勵於公共、私人與第三部門加強協調、取用與共享具備適切品質的資料，並為國際間的資料流通提供適當的保護；（4）負責任的資料（responsible）：確保各方以合法、安全、公平、道德、可持續、和可課責（accountable）的方式使用資料，並支援創新與研究。 　　基此，本戰略進一步提示了五個優先任務：（1）釋出資料的整體經濟價值：建立適切的條件，使資料在經濟體系內可取得且具備可取用性，同時保護私人的資料權（data rights）、以及企業的相關智慧財產權；（2）建構具發展性且可信賴的資料機制：協助企業家與新創人士以負責任及安全的方式使用資料，避免產生監管上的不確定性或風險，並藉以推動經濟發展。同時，也期待藉由機制的建立，鼓勵公眾參與資料的數位經濟應用；（3）改變政府運用資料的方式，提升效率及改善公共服務：以COVID-19疫情期間政府對資料積極運用為契機，推動政府間的整體資料有效管理、使用與共享措施，為相關作法建構一致性的標準與最佳實踐方式；（4）建立資料基礎設施的安全性與彈性：資料基礎設施為國家關鍵資產，應避免其遭遇安全或服務中斷的風險，進而導致資料驅動的相關業務或組織服務中斷；（5）推動國際資料流（international flow of data）：與國際夥伴合作，確保資料的流通運用不會因各地域的制度不同，而受到不當限制。