美國環保署於提出首部「限制發電廠有毒氣體排放」國家管制標準草案並預定於2011年11月完成立法

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

　　為強化中草藥現代化，保障民眾用藥安全，行政院衛生署自民國 93 年起提出「建構中藥用藥安全環境五年計畫」，中醫藥委員會主委林宜信最近並表示，將在 2008 年前，強制全台所有飲片及傳統藥材做好符合規定的包裝及標示，標示內容包括檢驗文號、有效期限，包裝後則需符合 GMP 的規範；至於規範標準，預計會在 2008 年起推動，初期採取廠商自由心證的做法，但未來會改為強制執行。 　　國內中草藥可區分為科學濃縮製劑，以及傳統的飲片和傳統劑型，科學濃縮製劑透過中醫醫療院所流通，目前產值約 250 億元；一般藥店販售的飲片及傳統劑型，產值則有 300 億元以上。傳統中草藥做好包裝標示，可確保民眾用藥安全，並帶動傳統中草藥品牌加值，而要求包裝標示符合 GMO 規範，也有利進入國際市場。中醫藥委員會預估，中草藥強制包裝標示可提升中草藥產值，由 300 億元倍數成長到 1,000 億元以上的規模。

2024年9月23日起，美國加州洛杉磯高等法院於康普頓（Compton）與比佛利山莊（Beverly Hills）法院試行數位證據系統，旨於簡化小額訴訟程序，使訴訟當事人透過數位證據系統平臺進行數位證據開示，節省郵寄實體證據副本所花費的時間、人力、物力。洛杉磯高等法院為全美最大之一審法院，法院轄區人數逾1千萬人，其所推動之數位證據系統具參考價值。 以下說明數位證據系統的重點： 1.數位證據系統適用的案件範圍 適用於「小額訴訟當事人於聽證會前之證據開示程序」。 關於證據開示程序，訴訟當事人應至少於訴訟聽證會前10 日完成證據開示。證據開示程序的傳統做法為當事人將證據副本「郵寄」給對造，而數位證據系統允許訴訟兩造於聽證會前，以「電子方式」交換證據。 依加州法規定，小額訴訟指原告向被告（個人、企業或政府單位）請求給付的金額在1.25萬美元以下。 2.數位證據系統可上傳的數位證據類型 訴訟當事人輸入「案號、聽證會具體日期、個人資訊（電子信箱或手機號碼）及6位數字金鑰」以驗證身分、註冊數位證據系統帳號後，可於數位證據系統分批上傳多種文件格式，包含時戳證據（Time stamp evidence）、圖片、影片、文字檔（如Word、OpenOffice）、PDF檔案、HTML檔案、簡報檔案等。並勾選上傳資料之當事人身分（原告或被告），確認上傳證據。 當事人應於確認上傳之每筆證據的註解中，簡述（briefly）該證據資訊。 經當事人確認、成功上傳至數位證據系統的每筆證據，都會擁有其唯一的（unique）證據編號（Exhibit Number）。 該系統最終會製作出一份「涵蓋該案件所有數位證據資訊的證據清單（Exhibit List）」PDF檔案，包含：案號、數位證據編號、證據縮圖及證據之簡述資訊等資訊，以便當事人依證據清單，參考（refer to）證據編號進行證據開示。 3.數位證據系統的檔案權限控管之設定 (1)上傳、編輯、刪除權限 訴訟當事人可上傳數位證據。 於系統上傳、未確認送出數位證據的階段，當事人則可編輯、刪除數位證據。 (2)線上瀏覽權限 上傳證據之當事人、司法人員擁有線上瀏覽「所有經當事人確認上傳之數位證據」的權限。 於系統確認數位證據後，上傳證據之當事人可於系統「勾選欲共享之數位證據」後，輸入對造之姓名、電子信箱，與對造共享其指定之數位證據。 (3)下載權限 訴訟期間至結案後60日內，訴訟兩造均可於數位證據系統下載數位證據。 4.證據於數位證據系統的保存期限 於小額訴訟結案後60日內，系統將自動刪除該案上傳之數位證據。 美國加州推動數位證據平臺，使當事人於平臺驗證身分、上傳時戳等數位證據，由平臺產出涵蓋案號、證據編號及證據資訊之證據清單，透過系統之權限控管加強證據管理，以數位證據開示減輕傳統證據開示程序之負擔。關於司法資料交換，參照我國由司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局於2024年4月正式啟用之「司法聯盟鏈共同驗證平台」，以「b-JADE證明標章」作為數位資料管理之標準，透過數位資料歷程管理與資料存證機制，鞏固證物保管機制。 上述之國內外趨勢之資料管理之作法可被資策會科法所發布之《重要數位資料治理暨管理制度規範（下稱EDGS）》所涵蓋，美國加州數位證據系統，透過管理證據生命週期之各階段，首先由當事人上傳、確認證物資訊及建置清單；其次設有不同程度的檔案使用權限；並訂有證據資料之保存期限，以便進行證據管理、加速司法訴訟之證據開示程序。而為方便資料管理者控管數位資料，EDGS同樣強調資料之生命週期管理，由「檔案標題或檔案的相關資訊，需要能對應特定的數位資料」，輔以建立「資料清單」有助於盤點多筆資料。並透過「控管資料權限」等保護措施，搭配「評估資料的維護期限」，以達到管理資料歷程的目標。建議企業將EDGS納入資料管理規劃，確保資料管控有方。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）