美國提出個人資料安全及外洩通報法草案
華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉,其旨趣,在於統一美國各州不同個資外洩通報法,並嘗試為消費者個人資料之安全及隱私設定全國性的標準。
Pryor法案曾於2007年提出,惟當時未能通過,其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容,在要求處理及儲存消費者私人資訊,諸如「社會安全碼」〈social security numbers〉之企業,一旦發生資料外洩事件,需對國家提出通報,如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險,則應於發現個資外洩六十日內通知受影響之消費者。
Pryor法案之適用對象甚廣,故有認為,該法一旦通過,其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act,簡稱GLBA〉後的模範法典,其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉,但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。
惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度,因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報,但對「損害門檻」並無明確定義。此外,受影響之企業似無實行適當風險評估之誘因,除需耗費大量成本評估外洩事件是否超過損害門檻外,尚需面臨企業名譽受損與客戶不滿之損失,在個資外洩要素風險指導原則付之闕如之情形下,企業恐無法客觀地評估自身個資外洩之風險。故有建議,解決之道,應明定損害門檻,並聘請外部專家或使用市場新工具,訂定客觀的指導原則,使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。
就資訊安全部分,此法案揭櫫於其通過一年內,美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定,要求擁有或處理含有個人資料或契約之企業,必須建立並執行蒐集、使用、出售,及其他傳播、維持個人資訊之資訊安全政策,以達保護個人資料之目的。
繼YouTube對美國總統大選的影響力逐漸受到各界矚目後,大西洋彼岸的歐盟執行委員會(European Commission),也漸體認到影音分享網站在商業應用外,對言論傳播乃至於政治活動之潛在影響。 有鑑於此,歐盟執行委員會甫於上月二十九日,於YouTube網站上增置一個名為 “EU Tube” 的視聽頻道,以做為歐盟(European Union)官方和歐洲公民間的溝通渠道。 關於此種利用線上影音分享網站作為政府資訊傳播和政策公開宣傳的創舉,有幾點值得國內注意。 首先,此一歐盟執行委員會與YouTube簽訂的頻道協議,乃是非專屬的協定。換言之,歐盟執行委員會仍可同時與其他網站或媒體簽訂類似之服務協議。其次,EU Tube之內容亦不僅限於硬性的政策或行動討論,而包含了從氣候變遷、能源議題到移民等各種公民相關事項,甚至有內容大膽的 ”Film Lovers Will Love This!” 的前衛影片。更有甚之,使用者對於不同影音檔點擊觀看次數(有數百萬人次與僅一千人次的差異)的資訊,也可作為日後進一步分析利用的原始資料。不過,雖然歐盟極力推動其內部之語言多樣性,目前既有的影片仍以英文為主。 歐盟發言人強調,納入YouTube等網站為對外溝通管道的作法,是為了盡可能擴大與歐盟公民的聯繫,但主要仍以易受YouTube吸引的年輕人為主。由此可見,網路網路對不同年齡層、世代的影響仍有差異,而公領域與影音分享網站日漸深化的關係,也考驗傳統媒體和政治互動的準則。
英國人體基因資料庫(Biobank)開放給研究者使用為了改善下一世代的健康,資料來源係來自於半數英國人口的英國人類基因資料庫於今年三月底正式開放給所有研究者使用。該資料庫資訊包含二萬六千筆糖尿病患者、五萬筆關節疾病患者、四萬一千筆不飲酒者,以及一萬一千筆心臟病患者的健康資訊。 英國人體基因資料庫係利用四年的時間招募來自蘇格蘭、英格蘭與威爾斯地區,年紀介於四十到六十九歲的自願捐贈者,就其採集檢體、身高、體重、體脂肪、手握力、骨頭密度、心肺功能、血壓、醫療病例、生活習慣、記憶、飲食、生理與心理情狀、聽力與視力等資訊所集結的健康資料庫,其可堪稱是世界上積累大規模人類健康資訊的來源之一。 欲使用英國人體基因資料庫的申請者,不論其係來自英國或是海外,亦不論申請者係來自學界、產業界、公益團體,或是由政府資助的研究機關(機構)、團體或個人,在本於欲從事的研究係基於健康相關與確保公眾利益的前提之下,均可向該資料庫的管理單位提出使用申請。該申請必須於網路上提出,且欲申請使用之研究必須受到英國人類基因資料庫小組的嚴謹審查,且該審查過程亦會受到英國人體基因資料庫委員會轄下的 Access Sub-Committee所監督。除此之外,具有獨立超然特徵的英國人類基因資料庫倫理與管理會議(UK Biobank Ethics and Governance Council)亦將會監督整個審查系統的運作和流程。 英國人類基因資料庫將允許研究者,在基於保障公眾利益的前提下所進行的健康相關研究,來使用該資料庫內的所有資源。該資料庫期許研究者能夠發現特殊疾病發生於人類個體上的差異性,以進而研發出一套新的治療與防範措施。除此之外,該資料庫的資源利用亦期待研究者能在具有慢性、疼痛與生命威脅性特徵的疾病上,例如癌症、心臟疾病、中風、糖尿病、老人痴呆、憂鬱症、關節炎、眼睛、骨頭和肌肉等疾病,能夠就其發生原因、預防方法與治療方式找出新的診斷和解決方法。
簡析日本電子帳簿等保存制度與電子資料真實性之確保簡析日本電子帳簿等保存制度與電子資料真實性之確保 資訊工業策進會科技法律研究所 2024年03月29日 日本一般社團法人數位信任協議會於2024年3月15日以數位資料真實性確保的重要性及證明其真實性的時戳技術為題,舉行JDTF電子帳簿保存法解說研討會。研討會中由國稅廳課稅總括課解說電子帳簿保存法上與資料真實性相關的利用者需留意的要點,以及時戳技術的利用意義,並舉出具體的利用者事例作為介紹。 壹、事件摘要 日本電子帳簿等保存制度係指,稅法上等有保存必要的「帳簿」或是「收據、請求書等與國稅相關的文件」,非以紙本方式,而是以電子資料的形式保存的制度,此制度被區分為電子帳簿等保存、掃描保存及電子商業交易資料保存等3種制度[1]。 貳、重點說明 日本電子帳簿保存法於2022年的修法中,廢除電子帳簿等保存制度以及掃描保存制度的承認制度等[2],其中尤其值得關注的是電子商業交易的電子保存義務化。意即,自2022年起個人事業者或法人需要以符合特定要件的方式保存該電子商業交易資料。惟由於日本過往對於所接收的電子商業交易資料均以書面原本的形式進行保存,因此2022年的電子帳簿保存法修正案,雖將所接收的電子商業交易資料以電子資料的形式進行保存作為原則,但是由於許多公司尚無法應對電子資料的保存要求,故日本將2022年1月1日至2023年12月31日的2年間,作為電子商業交易資料保存的宥恕期間,在宥恕期間內無法滿足電子商業交易資料且有正當理由的公司,仍然可以將電子商業交易資料以書面的形式保存,並在稅務調查時將所保存的資料以書面形式提交給稅務機關[3]。日本電子帳簿保存法中所指之宥恕期間,係指自2022年起至2023年12月31日間,無法將電子商業交易資料以電子資料形式進行保存的企業,在符合特定之條件下,使其得繼續維持書面資料保存的期間。須留意宥恕期間僅有2年,公司或法人須於宥恕期間的2年內建立可以符合電子資料保存要件的環境整備。以下就2024年實施的日本電子帳簿3種制度進行說明。 一、電子帳簿等保存制度 對於自身最初透過電腦等製作的帳簿如會計軟體製作的入出帳等,或是與國稅相關的資料如透過電腦製作的請求書、決算書等,在符合具備系統相關資料如系統概要書或操作說明書、在保存場所具備電腦、程式、螢幕、印表機及其操作指南,並將記錄事項以畫面或書面的形式呈現,使其可以快速輸出,以及可以應對稅務職員基於質問檢查權的電子資料下載要求等的要件下,可以不以書面列印紙本的方式,而係以數位資料的形式保存的制度[4][5]。 二、掃描保存制度 決算相關資料以外的國稅相關資料,在符合輸入期間的限制、時戳的付與、版本管理、具備可讀取的裝置、可以快速輸出、具備系統概要書等,以及確保檢索機能等的要件下,能以手機或掃描機器掃描的電子資料形式取代該資料書面原本進行保存[6][7]。 三、電子商業交易資料保存制度 被課與所得稅申告或法人稅等帳簿、資料保存義務者,在處理訂單、契約書、收據、報價單、請求書等或與其相當的電子資料時,在確保真實性及可視性的要件下,需要保存該電子商業交易資料[8]。 電子商業交易資料保存制度中的確保真實性要件包含接收已付與時戳的資料、對所保存的資料付與時戳、不論是資料的接收還是保存,皆已可留存訂正刪除履歷或無法進行訂正刪除的系統進行,以及制定關於防止不正當訂正刪除的事務處理規則並依循。可視性要件則包含具備監控、操作說明書等資料以及具備充足的資料檢索要件[9]。 日本電子帳簿等保存制度雖區分為3種不同的制度,惟其中對個人事業者及法人具有強制效力的僅有電子商業交易資料保存制度,電子帳簿等保存制度及掃瞄保存制度則係設置誘因機制促使業者遵循,如電子帳簿等保存制度中創設其所保存的帳簿如符合訂正刪除履歷留存等「優良電子帳簿」的要件,則可減輕過少申告加算稅的稅金[10];掃描保存制度則讓企業可以透過手機或掃描機器將資料原本掃描成電子資料並以之取代書面紙本進行保存,減少企業保存書面資料的空間成本,同時亦可減低資料檢索時所需花費的時間與人力成本。 參、事件評析 日本電子帳簿保存法中對個人事業者與法人在保存電子商業交易資料時,課以確保電子資料真實性以及可視性的義務,並透過時戳技術的利用,確保個人事業者與法人可以達成電子資料真實性以及可視性的要求。 對於電子資料真實性的管理,我國資訊工業策進會科技法律研究所創意智財中心於2021年發布重要數位資料治理暨管理制度規範(下稱EDGS),協助企業管理內部重要數位資料。EDGS中亦肯認應保存電子資料的訂正刪除歷程,並以時戳技術及存證技術確保資料未經變更、刪除及竄改之真實性。我國企業如欲對自身的數位資料進行管理及存證等,可參考資訊工業策進會科技法律研究所創意智財中心所發布之EDGS建立資料管理流程,以降低數位資料管理相關風險。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]国税庁,〈電子帳簿保存法の内容が改正されました〜 令和5年度税制改正による電子帳簿等保存制度の見直しの概要 〜〉,頁1(2023年),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0023003-082.pdf(最後閱覽日:2024/03/26)。 [2]〈税務手続の電子化に関する資料〉,財務省,https://www.mof.go.jp/tax_policy/summary/tins/i04.htm(最後閱覽日:2024/03/26)。 [3]国税庁,〈電子帳簿保存法一問一答【電子取引関係】〉,頁35(2022),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0021006-031_03.pdf(最後閱覽日:2024/03/26)。 [4]同註1。 [5]国税庁,〈はじめませんか、帳簿・書類のデータ保存(電子帳簿等保存)〉,頁1-2(2023),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/tokusetsu/pdf/0023006-085_02.pdf(最後閱覽日:2024/03/26)。 [6]同註1。 [7]国税庁,〈はじめませんか、書類のスキャナ保存〉,頁1-2(2023),https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/tokusetsu/pdf/0023006-085_03.pdf(最後閱覽日:2024/03/26)。 [8]同註1。 [9]同註3,頁8。 [10]同註5,頁2。