歐盟執委會規劃制訂新世代智慧電網規範,及研擬共通性評估要項工具
歐盟執委會(European Commission)於去(2011)年10月公布一份「建立共通性智慧讀表功能要項及影響因素(Set of Common Functional Requirements of the Smart Meter)」調查報告,對於各會員國發出問券,調查對於建設智慧讀表(智慧電網SmartGrid系統首要基礎)之經濟評估要項,藉此瞭解各國於推動建立,所考量之優先因素及差異性,並藉此彙整出「成本效益評估項目(Cost Benefit Assessments , CBAs)」,建立歐盟層級之共通性功能要項,以利後續其他會員國援用導入之政策工具。
以及,歐盟執委會所屬聯合研究中心(Joint Research Centre , JRC),於去(2011)年7月亦公布一份「歐盟智慧電網關鍵挑戰及發展趨勢(Smart Grids: New Study Highlights Key Challenges and Trends in the EU)」研究報告,指出歐盟各會員國現今已投入219個智慧電網計畫,總經費達5.5兆歐元以上,並設立展示(Showcases)網站,供外界瞭解推動進度;此研究報告並指出,要健全智慧電網發展,除了大規模投入經費資源建設外,更應重視各會員國對於原既有能源管制規範之體檢審視;該報告呼籲各會員國應積極建立新世代智慧電網規範,因為於現有管制規範下,常導向各國推動實務,多僅強調可降低系統運作支出成本,而不是直接朝向升級為智慧性整合體系而發展,於現有監管模式(Current Regulatory Models)下,縱使眾多投資於智慧電網,亦無法出現突破性發展。該報告並倡議,新世代管理規範,至少應建立服務平台運作原則及遵守規範,並導引效益之公平分享。
此外,歐盟執委會於去(2011)年4月間,關於智慧電網發展重要法制政策之關鍵議題,亦曾發布「智慧電網創新發展(Smart Grids: From Innovation to Deployment)」政策文件,其中明列發展智慧電網,首要應重視資料隱私及安全性議題(Addressing data privacy and security issues),亦必須建立共通性標準(Developing common European Smart Grids standards),及提供優惠政策措施,並且應確保消費者資料接取(Access)權利,保證維持公開競爭市場並鼓勵增進消費者利益之各項發展。
本文為「經濟部產業技術司科技專案成果」
李科逸
副主任 編譯整理
European Commission,2011年07月07日, http://ec.europa.eu/dgs/jrc/downloads/jrc_20110707_newsrelease_smart_grids.pdf,最後瀏覽日:2012年02月15日
Smart Grids: From Innovation to Deployment,2011年04月12日,http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52011DC0202:EN:HTML:NOT,最後瀏覽日:2012年02月15日
Smart Grid projects in Europe(JRC Smart Grid Showcases),2011年07月07日,http://ses.jrc.ec.europa.eu/index.php?option=com_content&view=article&id=93&Itemid=137,最後瀏覽日:2012年02月15日
雖然歐盟未曾批准基因改造動物所衍生的食品與飼料之市場應用。然生物科技發展迅速,許多歐盟境外的國家已發展許多關於基因改造動物科技之應用。是故,歐盟基於此類基因改造動物所衍生的食品與飼料可能對歐洲整體食品安全及環境帶來影響評估,而由歐盟執委會(European Commission, EC)要求歐洲食品管理局(European Food Safety Authority, EFSA)在歐盟第1829/2003 號規章(Regulation EC No 1829/2003)之架構下,發展關於「基因改造動物所衍生的食品及飼料與相關動物的健康與福利,以及對環境影響之安全評估」的綜合性的指導文件(Guidance),預計發布兩份指導性文件,第一份即為此份指導文件,其係針對「基因改造動物所衍生的食品及飼料」以及「基因改造動物的衛生與福利方面」兩方面的風險評估,在歷經2011所進行的公眾諮詢(Public Consultation)後,EFSA於2012年1月26日正式公布。該份指導文件內容並未包含「基因改造動物衍生之食品與飼料」對於環境所產生的影響之評估,EFSA另行制定第二份指導文件做為評估之依循,目前初稿已制定完成,並進行公眾諮詢,而可能於近期發佈。 因畜牧而豢養的動物之健康狀態,向來作為衡量此類農畜食品與飼料的安全之重要指標,本指導文件即以此指標作為整體基本假設。故該指導性文件之發展策略即以傳統飼養的動物健康狀態及其所衍生的食品與飼料作為安全衡量的基底標準(Baseline);並同時發展合適於「基改動物」與「衍生的食品與飼料」,各自的不同比較尺度的評估方法。其評估重點如下: 1.分子特性之評估,係提供針對動物插入一個穩定基因特徵(Trait)的結構描述之資訊之評估; 2.毒性物質之評估,針對基改動物以及衍生之食品與飼料所可能導致生物上改變之影響; 3.新蛋白質的誘發性過敏評估,係針對所有基改動物所衍生的食品所可能導致過敏之評估; 4.營養性評估,係針對所有的基改動物所衍生的食品與飼料對於人類或傳統飼養動的營養評估。 5.針對基改動物衍生的食品與飼料上市後的監測調查(Post-Market Monitoring, PPM),辨識此類基改食品與飼料在上市後可能的潛在之影響 此指導文件另一重點,即對於基因改造動物的健康與福利之評估,這項評估指標之重要性在於: 1.基於動物倫理,即對於動物本身之健康與福利之衡量; 2.動物本身的健康與福利之情形,亦被視為動物衍生產品之安全之重要指標。 綜上,此份指導文件建構出關於申請此類「基因改造動衍生食品與飼料」上市前的安全評估所必須提供的特定資料之內容架構,並結合即將發布的第二份關於環境影響評估的指導文件,做為上市前的綜合安全評估之依循。
淺談個人資料跨境傳輸之管理淺談個人資料跨境傳輸之管理 科技法律研究所 2013年04月03日 由於資訊科技與全球商務型態之快速發展,企業將個人資料為跨境處理或利用的情況已相當的普遍,例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而,企業將個人資料為跨境處理或利用時,時常因為各地法令之不一,而面臨阻礙,進而影響其商務活動的進行。我國為一海島型國家,長年倚賴國際通商,是以,有關於個人資料跨境傳輸之課題,為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明,並提出我國公務機關可能採取之作法建議。 壹、事件摘要 對於個人資料跨境傳輸議題的管理,涉及了多個面向的課題,其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態,其基於政治以及經濟上利益,皆致力推動與調和國際間個人資料保護原則。 以歐盟為例,因對於人權的尊重與個人隱私的重視,歐盟所建立的跨國個人資料傳輸規範較為嚴格,而此舉對企業為個人資料之跨境處理或利用造成困擾,阻礙個人資料的自由流動。為此,歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款,以及具有拘束力之合作規則,以克服個人資料難以自由流動之困難。另一方面,觀察APEC之個人資料保護指令的內容,可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。 上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行,故其作法或可為重視國際通商的我國所參考。 貳、重點說明 一、歐盟對於個人資料跨境傳輸議題的管理 (一)標準契約範本之提出 歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本(the Contractual Model and Standard Contractual Clauses),此標準契約範本之起草精神為,會員國簽訂標準契約後,即可不需徵求該國個人資料保護機關之准許,增進個人資料跨國傳輸之效率以及速度。雖然,此標準契約範本仍有發展空間,但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。 目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考,分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容,資料傳送者將個人資料傳輸至第三國時,縱使個人資料接收國已經採取合適的個人資料保護措施,個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中,2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者,而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外,亦賦予當事人更廣泛之契約求償權利,亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償,若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時,當事人可以向受個人資料進口者委託者(sub-processor)提出請求,要求就其責任範圍負擔損害賠償責任。 標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化,是以,該契約範本所定之要件過於嚴格又缺乏彈性,同時增加個人資料跨境傳輸之行政費用負擔,故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言,造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時,不見得會設立完整傳輸系統,時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料,而標準契約條款並無法完全因應現況,故產生難以適用之情形。 (二)共同約束條款(Binding Corporate Rules)之提出 如前所述,歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益,歐盟執委會增加了共同約束條款(Binding Corporate Rule, BCR)機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出,為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時,得以遵循之規則。 BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出,並可以更有效率地於其集團內跨境傳輸個人資料。但,BCR僅適用在組織內部跨境移轉個人資料之情形,若是不同公司、企業或組織跨國傳輸個人資料情形時,則不適用BCR。 (三)安全港協議之簽署 為了犯罪偵查機關執行公務之目的,政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例,二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜,同時,亦設定個人資料跨境傳輸保護之相關標準,以供歐盟及美國政府遵循之。 對於個人資料的保護,美國採取分散式之法律規範模式,此與歐盟各會員國之作法不同。此外,因為美國並未被歐盟執委會認定為具備充分(adequate)之個人資料保護措施地區,因此於個人資料跨境傳輸時,依歐盟個人資料保護指令,歐盟內之個人資料似不能傳輸至美國,除非符合其他例外情形。對此,為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形,美國商務部與歐盟執委會協議採取安全港架構,此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。 二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理 (一)資訊隱私開路者合作計畫之提出 APEC透過亞太經濟合作組織資訊隱私開路者合作計畫(APEC Data Privacy Pathfinder Projects)建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫,期能夠在符合APEC隱私保護綱領之原則下,推動APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPRs)。總結來說,開路者計劃透過設計一連串的制度,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機制(Accountability Agents)之建立,使企業得以提供消費者可信之標章。 (二)APEC跨境隱私執行機制之提出 為使會員經濟體間個人資料之跨境傳輸更為流通,並且調合各國因個人資料保護法令要件不同而產生扞格之情形,APEC跨境隱私執行機制(APEC Cross-Border Privacy Enforcement Arrangement, CPEA)因應而生,而目前己加入本機制之會員經濟體,包括澳洲、加拿大、香港、紐西蘭以及美國。 (三)與其他區域之合作與整合 APEC已開始思考除了亞太地區之個人資料跨境機制之加強外,也思考如何與其他區域之跨境隱私機制進行合作或者整合,以歐盟為例,APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和,以促進全球間之個人資料跨境傳輸。 2012年,APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外,也希望區域內之會員經濟體可踴躍參與跨境隱私機制。 三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理 經濟合作與發展組織(Organization for Economic Co-operation and Development, OECD)於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」(Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data),列出七項原則,包括: (一)通知(Notice):當個資被收集時,應通知當事人。 (二)目的(Purpose):資料僅得以說明之目的為使用,不得作為其他目的之使用。 (三)同意(Consent):未獲得當事人之同意時,不得揭露當事人之資訊。 (四)安全保障(Security):需保障被蒐集之資料被濫用。 (五)揭露(Disclosure):當事人應被告知誰在蒐集他們的資料。 (六)查閱(access):當事人應可查閱其個人資料並且可改正任何不精確之個人資料。 (七)責任原則(Accountability):當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。 個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識,亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。 參、事件評析 我國目前已加入APEC跨境隱私規則機制之實驗小組,希望能透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此,我國企業如欲從歐盟會員國之地區接收個人資料時,必須注意援用其他之機制,例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外,我國可比照美國與歐盟間所建立之安全港模式,與歐盟會員國簽訂安全港協議,以符合歐盟隱私權保護指令之要求。 在國際間,我國政府除了持續參加APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂,可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全,亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。
日本研創「指靜脈」之個人生物身分辨識技術日本日立公司歷經多年研發「指靜脈認證」技術,這個研創的掃描器「靜紋J200」,可掃描判讀個人右手中指的靜脈紋路。依據該技術研創召集人中村道治博士的說法,每個人手指血管紋路是獨一無二,可作為個人生物身分辨識,希望能夠藉此安全防偽技術,杜絕盜領等事件發生。 日本長崎的「十八銀行」率先在提款機試用「靜紋J200」中指靜脈認證技術,該辨識裝置乃是以紅外線掃描取得中指血管影像,和金融卡資料及銀行生物身分資料庫比對。而為防止歹徒截斷受害人手指企圖通過辨識盜用身分提款,日立公司特別加上額外的防偽技術,只有血管內有溫暖血液流動的手指才能通過認證,斷指無法過關。
澳洲正式通過數位身分法案,未來民營企業將協助提供數位身分識別服務澳洲於2024年5月30日正式通過並簽署《2024年數位身分法案》(Digital ID Act 2024)和《2024年數位身分(過渡及相關條文)法案》(Digital ID (Transitional and Consequential Provisions) Act 2024,以下合稱數位身分法案)。數位身分法案將於2024年12月1日開始實施,而相關的支援規範(supporting rule)和資料標準(data standard)也已於同年6月25日完成公眾討論階段。 數位身分法案的實施將分階段進行,澳洲競爭和消費者委員會(Australian Competition and Consumer Commission)被任命為首階段的數位身分主管機關,未來隨著數位身分法案的落實和深化,澳洲政府可能會建立一個更具專業及獨立性的監管機構來負責這項業務。 澳洲將擴展現有的澳洲政府數位身分識別系統(Australian Government Digital ID System, AGDIS),在第一階段myGovID將作為唯一的數位身分識別服務提供給使用者,使其能夠更便利的使用政府線上服務。澳洲政府未來將擴展AGDIS的應用範圍至更多的政府和民營服務,並允許使用者選擇經認證的民營企業來提供數位身分識別服務。 數位身分法案的主要目標包括: 1.為個人提供安全、方便、自願和包容的方式,以在與政府和企業的線上交易中驗證其身分。 2.提供數位身分的識別服務,以幫助各類型的潛在使用者皆可融入數位社會。 3.加強用於驗證個人身分或屬性的個人資訊安全。 4.鼓勵社會使用數位身分識別和線上服務,減少因數位化不足而存在的地理與實體限制及經濟負擔。 5.提升澳洲社會對於數位身分識別服務的信任。 數位身分法案將採取以下措施來達到目標: 1.建立數位身分識別服務提供者的認證機制。 2.向經認證的數位身分識別服務提供更多的隱私保護措施。 3.建立一個安全、易於使用、自願、可訪問、包容和可靠的AGDIS。 4.加強以下三者的監督和管理: (1)數位身分識別服務提供廠商。 (2)AGDIS的使用者。 (3)AGDIS的性能和完整性。 澳洲的數位身分法案嘗試建構一套更加完整且安全的數位身分認證法律規範,並且將這個系統和產業推向整個澳洲社會,由政府促使更多服務提供者和服務使用者加入這個數位生態中,後續可持續關注以作為我國政府攜手民間企業推動國家與社會數位轉型時的參考。