隱私暨個人資料保護與管理工具介紹(一)－隱私衝擊分析

　　2018年1月加拿大參議院交通與通訊委員會(Standing Senate Committee on Transport and Communications)向加拿大交通部提出「駕駛改革：技術與自駕車的未來(Driving Change : Technology And The Future Of The Automated Vehicle)」報告。 　　報告指出加拿大面臨自駕車可能遭遇之挑戰，並列出提供交通部發展自駕車策略之政策建議。 　　其中包含：建議加拿大應成立跨部會單位以整合全國自駕車政策、並整合各地方政府與傳統領域政府透過發展地區模型策略；交通部並應與美國合作，來確保自駕車輛於兩國間運行無障礙；交通部應發展自駕聯網車輛設計的車輛安全指南，指南中應指明製造商於發展、測試與布建自駕車的車輛應有的設計需求，該指南並應持續隨科技發展而更新。 　　加拿大政府並應立法授權隱私委員會主動調查與促使製造者遵循「個人資訊保護與電子文件法（Personal Information Protection and Electronic Documents Act）」的權力，並應持續評估聯網車輛的隱私相關規範之需求。 　　並應整合利益關係人發展聯網車輛管制框架，特別應包括隱私保護；並應監督自駕與聯網車輛技術競爭之影響，以確保車輛出租公司與其他的延伸市場可持續取得相關營業所需資訊；並應注重加拿大自駕車之測試與發展等對於就業之影響等。

英國競爭與市場管理局(Competition and Markets Authority，簡稱CMA)於2025年9月9日發布人才競爭指引(Competing for Talent)，說明企業在勞動市場中採取何種行為可能會違反競爭法。 指引中指出三項於勞動市場中可能會違反競爭法的行為，分別是： (1)禁止挖角(no poach)：指企業同意不向其他企業招募現職員工，或同意在未經他企業許可前，接觸或招募該公司的現職員工，此一行為可能違反競爭法；惟須考量與禁止招募條款(no-solicitation clauses)之差異，禁止招募條款係為避免企業離職員工或合作企業於一定期間內直接或間接招募企業員工、客戶或其餘合作夥伴，禁止招募條款於合理必要範圍內之限制並不違反競爭法。 (2)固定薪資(wage fixing)：此為CMA近期的執法重點，指二個以上之企業就薪資及員工福利達成協議，包含薪資調漲幅度、設定薪資上限，或是依產業工會建議薪資來固定員工薪資等等。 (3)交換競爭敏感資訊(exchange of competitively sensitive information)：係指競爭對手間不應交換競爭敏感資訊，包含定價方式、商業策略等等，即使接收方未根據獲得的敏感資訊採取對應措施，提供資訊方仍被認定為違反競爭法。 上述協議不以正式或是書面之方式達成一致為必要，企業間的社交聯繫、非正式的互動或君子協議(gentleman’s agreements)均屬之，且皆可能違反競爭法，違法之企業可能會面臨全球營業總額10%的罰款、禁止參與政府採購、面臨私人損害賠償訴訟等結果。 近年勞動市場與競爭法之議題正逐漸受到重視，除了英國，美國、歐盟、日本等亦發布相關指引文件，或對違反競爭法之企業進行調查或裁罰。我國公平交易委員會目前尚未針對此議題提出明確的論述，企業於勞動市場中限制競爭之行為，究竟如何適用公平交易法或屬勞動法範疇，仍有待相關部會進一步討論，相關國際發展趨勢仍可持續觀察作為我國公平交易法制發展後續參考方向。

　　日本政府基於(1)行政的效率化(2)提升國民便利性及(3)實現公平、公正的社會等目的，於2015年10月以後開始分發記載國民姓名、住址、性別、個人編號等相關資訊的「通知卡（通知カード）」，日本民眾藉著通知卡至各地相關單位申辦正式「個人編號卡（マイナンバーカード）」，並於2016年01月正式開始實行。 　　然而此項制度在施行之初即爭議不斷，住在東京、大阪等地的156名居民於2015年12月01日向東京、仙台、新潟、金澤、大阪共五個地方法院提起民事訴訟，請求日本政府停止蒐集、利用並且刪除個人編號，同時要求給予每人十萬日圓的損害賠償。原告訴狀以日本年金機構受到網路攻擊而有125萬件個人資料流出為例，認為現今關於個人編號制度的行政機關及民間企業的安全防護對策並不充分，主張有極高洩漏「關於稅務及社會福利個人資料的危險性」，同時主張個人編號制度並未取得本人同意即蒐集個人資訊，侵害憲法第13條保障的「控制自我資訊的權利」，亦即隱私權及人格權。 　　2003年開始正式啟動的 「住民基本台帳網路系統（住民基本台帳ネットワーク）」先前也被提起類似訴訟，惟最高法院認定「制度或系統尚未不備、並沒有侵害隱私權」而認定合憲。本案原告律師團則認為住民基本台帳網路系統僅有行政機關接觸到個人資料，而個人編號制度則連民間企業都能接觸到個人資料，因此原告律師團的水永誠二律師即表示：「個人編號制度和住民基本台帳網路系統相比規模更大。就算住民基本台帳網路系統被認定合憲，也不構成個人編號制度合憲的理由。」 　　儘管本件訴訟的勝訴效力僅及於當事人，不會立刻決定個人編號制度存廢。惟若能動搖該制度適用於所有擁有住民票的人的前提，則日本政府將被迫重新檢討個人編號制度，本訴訟的後續發展值得繼續觀察。

　　為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性，日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 　　在第4次行動計畫，關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量，盡量減少關鍵基礎設施IT故障的發生，並提升從事故中恢復的速度。因此，第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外，較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面，要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面，分享的資訊範圍應包含IT、OT與IoT的資訊，並排除資訊分享的障礙。而在風險管理部分，日本從功能保證的觀點出發，新增風險情況對應準備的要求，包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上，該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 　　另外，第4次行動計畫變更電力領域關鍵基礎設施的重要系統，從原有的運轉監視系統變更為智慧電表，以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。