歐洲發展智慧電網對資訊安全與隱私保護之現況

　　歐盟於2016年4月19日公布數位單一市場下ICT標準化優先發展項目(ICT Standardisation Priorities for the Digital Single Market)，包括：5G通訊、雲端運算、智慧聯網、巨量資料技術、以及網路安全等，作為目前數位單一市場發展的基礎。相關影響產業包含：智慧健康、智慧能源、智慧運輸系統、電動車、智慧家居、以及智慧城市等。其三大主軸依次說明如下： 1. ICT標準建立為數位單一市場發展核心 歐盟將依1025/2012規則為基礎，進行標準化建立，因此將聚焦在數位單一市場需要發展的核心技術領域，優先進行標準訂定。 2. 因應全球技術變遷發展 ICT標準發展主要仍以產業為導向，且由產業自願性採納，建立之原則包括應具備透明性、開放、公平與一致性、有效與連結性等，此同時也能促成歐洲創新能量之發展。 3.以雙主軸計畫優先發展ICT標準設立 (1)首先歐盟執委會將確認數位單一市場優先發展之五項領域，並且設立發展時程。 (2)針對上述的優先發展領域，歐盟將進行施行檢視以及相關細項。 　　在5G通訊部分，預計將透過5G公私協力合作發展，同時以目前產業的需求為發展導向；在雲端運算方面，歐盟將以資金補助方式，促進雲端應用的互通性與易取性發展，並且支持企業，尤其在中小企業部分，以服務層級協議為基礎，協助採用雲端運算服務；在智慧聯網發展部分，主要為發展技術、介面、Open API等，建立準則，並預計將智慧聯網標準納入成為政府採購項目之一；在網路安全性部分，在上述發展技術領域當中，資料安全與隱私保護為核心議題，因此除了透過公司協力方式發展安全技術以外，同時也鼓勵業者應該設計著手保護隱私等概念優先納入技術之中；關於巨量資料技術部分，包括跨部門技術整合、資料與後設資料有更佳的互通性。此外，尚包括資料與軟體基礎設施服務，提供科學資料的交換、執行資料管理計畫、品質驗證、信賴性與透明性等原則。 　　最後，在可能受影響之產業方面，以智慧健康發展為例，智慧健康必須符合病人預期要求，如病人安全維護以及達到更佳的健康照護體系。因此，互通性的標準為當中關鍵的角色，未來亦有助於發展各國之間跨境醫療照護實踐。在電子病歷交換方面，從病人病歷摘要、電子處方簽等等，在符合個資保護條件之下，建立互通性標準可使疾病的治療更為完善。歐盟未來將持續鼓勵各會員國之間標準互通性之發展，包含目前行動健康應用程式的使用，以及未來遠距醫療應用。後續，歐盟將從2016年開始至2017年，持續針對標準建立進行討論會議，預計以資金費用補助以及其他政策方式輔導發展，同時也在2016年6月提出規劃說明使歐盟標準化政策發展符合現代化。

　　「專利審查高速公路(Patent Prosecution Highway, PPH)」係指專利審查機關加速專利審查之程序。藉著各國專利局間合約之簽署，當某專利申請在第1間專利局取得至少1請求項(claim)之核准後，申請人得請求加速第2間專利局就該已經核准之請求項之審查程序。申請人得縮短取得專利之期間，參與之專利局亦得藉著利用第1間審查之專利局已有資料，降低審查工作之負荷。但此並不代表於第1間專利局獲准之專利之發明於第2間專利局亦會當然獲准。 　　台灣目前已與美國、日本、韓國及西班牙簽署備忘錄進行專利審查高速公路之計畫，日後專利申請人得利用此機制，縮短取得專利之時程，專利局的審查速度亦會加快。根據智財局之統計，至2016年6月底，平均首次OA(office action)期間(自PPH文件齊備至首次OA平均期間)為57.6天，平均審結期間(自PPH文件齊備至審結平均期間)則為136.6天。

　　比利時法院針對報業出版組織Copiepresse控告網路搜尋引擎巨擘Google侵害著作權一案，於二月十三日做出一審判決。該法院認為 Google未取得授權，在Google News新聞搜尋之服務中片斷重製原告之報導內容，並以重製的方式將受到保護之著作傳播給公眾，該行為已侵害到Copiepresse之著作權。法院除了下令Google刪除搜尋引擎中所出現的新聞報導片斷，並按該網站刊登的時間為基準，計算一天兩萬五千歐元的賠償金，Google應給付總金額高達三百四十五萬歐元的賠償金於Copiepresse。 　　Google的主要答辯指出，其係為協助使用者在該網站上尋找資訊的搜尋引擎，而非擁有自己資訊的入口網站。Google News也只針對使用者所輸入之搜尋關鍵字所做出之新聞頭條匯集及文章聯結，該行為應受到著作權法中「合理使用」(Fair Use) 之保護。而對搜尋結果之頭條、內容片斷及縮小圖片顯示，Google則抗辯此一作法已替Copiepresse網站吸引來更多想要閱讀全文之讀者，並為其締造更高的網路流量。 　　Copiepresse則主張，Google因在其網站刊登片斷重製之報導內容而受有廣告收益，就法律面而言已是侵害行為所得之利益。該組織的報導內容出現在Google的快取頁面，已使得該片斷的報導內容得自Google的網站中免費取得。通常許多報業僅將其報導文章的資料庫提供給付費會員瀏覽。 　　對此判決結果，Google已決定上訴。 　　全球媒體業者都對此判決密切注意。Google去年八月已和美聯社達成和解。而法國法新社去年三月控告Google的快取網頁侵害著作權乙案，目前仍在法院審理中。而其它入口網站公司YAHOO! 、AOL、Microsoft等已付費於法新社取得授權刊登其新聞文章內容。

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。