中國 REACH 成形，台灣準備好了嗎？－從中國新化學物質環境管理辦法看我國新化學物質管理

歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 　　歐盟執委會（European Commission）於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity）[1]，規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 　　為落實歐盟「2030數位羅盤」（2030 Digital Compass）政策，實現「公共服務數位化」之核心願景，歐盟推行數位身分框架，規劃於2030年前歐盟全境須有80%民眾使用電子身分證，以強化歐盟境內所有民眾（包括身心障礙人士）公共服務之近用權（right of access）。執委會於2021年6月3日公布的數位身分框架修正案，主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」（簡稱eIDAS規則[2]），依據該規則第49條，對其運作情形進行評估（An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation），同步考量技術、市場發展，針對當中不合時宜之規定為增修，並於2020年7月24日至10月2日進行公眾意見徵詢。 　　根據修正案內容，會員國必須提供公民和企業數位身分錢包（Digital Identity Wallet），此可透過會員國認可的公務機關或私人企業提供，錢包能夠將國家數位身分識別（national digital identities）與其他個人身分證明（例如駕照、證照、銀行帳戶）進行連結，使歐盟公民和企業能夠經由使用數位錢包來進行身分識別，以方便近用線上服務，例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店，租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可，使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 　　eIDAS規則作為歐盟境內電子身分識別（identities）、認證（authentication）和網站憑證（website certification）跨境使用的法律基礎架構[4]，此次修正案旨在使各會員國的數位身分（eID）計畫於歐盟境內具互操作性（interoperable），以促進近用線上服務。重點內容如下： 一、會員國所發行歐洲數位身分錢包，須通過歐洲網路安全認證框架內的強制性合規評估（compulsory compliance assessment）和自願認證（voluntary certification）。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用，使用者得以利用數位身分作為識別與驗證其身分之有效工具，以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度，意即得以自主決定是否與第三方分享特定個人資料，並可追蹤其資料之後續利用。 三、賦予個人電子身分證明（electronic attestations of attributes），如醫療證書或專業資格等電子證書的法律效力，並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證，以防止欺詐。 四、擴大跨境eID計畫的相互承認，降低各會員國於電子身分識別服務的差距；並加強信賴服務提供的整體監管框架，針對信賴服務提供商（trust service providers），新增為管理遠端電子簽章和封條（seal）產製設備（creation devices）所建立的新合格信賴服務（Qualified Trust Service, QTS）類型。 五、新增電子帳本（electronic ledgers）的信賴服務框架；電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡（audit trail），能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案（self-sovereign identity solutions）、將所有權歸屬於數位資產與記錄業務流程等具備重要性，此有助實現更加去中心化（decentralized）的治理模式，並使多方合作成為可能。 六、於數位服務法案（Digital Services Act）中所定義的超大型線上平台（very large online platforms），將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 　　歐盟數位身分框架修正案，旨在解決 eIDAS 規則部分瑕疵，以順應市場動態和技術發展，包含承認電子身分證明、電子帳本之法律效力，擴增新合格信賴服務類型等，並作為歐盟建立數位身分認證政策的基礎規範，確保使用者於近用私人或公共服務時，可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會（European Parliament）內已送交產業、研究暨能源委員會（Industry, Research and Energy Committee, ITRE）進行審議[5]，值得持續追蹤其未來發展。 　　近來受新冠肺炎（COVID-19）保持社交距離影響，推動企業朝數位轉型發展；執行遠距辦公政策，亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範，自2002年4月1日起正式施行後至今未為修訂，實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類，並對於數位簽章之技術有一定規範，惟未賦予相異之法律效力，使得其區分不具太大效益。建議可參酌eIDAS規則中，對於信賴服務提供者區分為不同層級規範，並給予經主管機關審核通過之合格信賴服務提供者，所提供的信賴服務具有更高的法律效力。 　　此外，我國欲推行數位身分證（New eID）政策，提供我國人民網路上身分識別之證明，連結政府骨幹網路（T-Road）串接各類電子政府服務，提升民眾近用公共服務的便利性，惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案，考量因應科技革新、商業模式創新等要素，對於身分識別相關規範進行修正與更新，以促進電子化政府及電子商務之發展，提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663　(last visited Aug. 24, 2021). [4] 李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）；謝明均，簡介〈歐盟提供合格信任服務者依循標準建議〉，科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687（最後瀏覽日：2021/08/24）。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY （EUID）, EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid　(last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉，行政院新聞傳播處，2021/01/21，https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a （最後瀏覽日：2021/08/24）。

　　美國國會議員Markey與Rockefeller於2014年2月提出S. 2025：「資料仲介商有責與透明法草案」（Data Broker Accountability and Transparency Act），以促進對於消費者保護，與資料仲介產業發展間的平衡。該草案預將授權「美國聯邦貿易委員會」與各州據以監督與執行。 　　該草案對「資料仲介商」（以下簡稱Data Broker）加以定義為係以銷售、提供第三方近用為目的，而蒐集、組合或維護非其客戶或員工之個人相關資料的商業實體；更進一步的禁止Data Broker以假造、虛構、詐欺性的陳述或聲明的方式（包括提供明知或應知悉為偽造、假造、虛構、或詐欺性陳述或聲明的文件予以他人），自資料當事人取得或使其揭露個人相關資料。 　　該草案亦要求Data Broker建置及提供相關程序、方式與管道，以供資料當事人進行下列事項： 1.檢視與確認其個人相關資料（除非為辨識個人為目的的姓名或住址）正確性（但有其他排除規定）。 2.更正「公共紀錄資訊」（Public Record Information）與「非公共資訊」（Non-public Information） 3.表達其個人相關資料被使用的時機與偏好。例如在符合一定條件下，資料當事人得以「選擇退出」（Opt Out）其資料被Data Broker蒐集或以行銷為目的而販售。 　　於此同時，加州參議院亦已於2014年5月通過S.B. 1348：Data Brokers的草案，該草案要求資料當事人擁有檢視Data Broker所持有的資料，並得要求其於刪除提出後10天內永久刪除；當資料一經刪除，該Data Broker不得再行轉發或是將其資料販售給第三人。加州參議院並提案，該法案通過後將涵蓋適用至2015年1月1日所蒐集的資料，且個人於Data Broker每次違反時得提出$1,000美元的損害賠償訴訟（律師費外加）。雖然該草案受到隱私權保護團體的支持，卻受到加州商會（California Chamber of Commerce）與直銷聯盟（Direct Marketing Association）的反對。加州在Data Broker的立法規範上是否能超前聯邦的進度，讓我們拭目以待吧。

　　俄羅斯聯邦政府於2022年3月7日發布第299號法令（Постановление Правительства Российской Федерации № 299，下稱本法令），規定於有國家利益考量之情況下，得不經授權利用「不友好國家」的專利權。而我國也在前述「不友好國家」名單之列。 　　具體而言，本法令之解釋脈絡應從俄羅斯民法（Гражданский кодекс Российской Федерации）第1360條談起，該條規定在確保國家安全或保護公民生命與健康之極端必要情況下，俄羅斯聯邦政府有權決定，未經專利權人同意，使用相關發明、新型和工業品外觀設計，惟需儘快通知專利權人，並支付相應之補償金。 　　2021年10月18日，俄羅斯聯邦政府按民法第1360條第2項規定，頒布第1767號法令（Постановление Правительства Российской Федерации № 1767）確定補償數額為受專利保護之商品與服務所產生實際收益之0.5%。 　　然而，因烏俄戰爭持續延燒致俄羅斯聯邦政府採取反西方制裁措施之故，其發布第299號法令，針對第1767號法令再次增修補償數額之認定方法，規定：「倘專利權人來自『不友好國家』，則俄羅斯實體或個人未經專利權人同意，使用相關發明、新型或工業設計進行生產、銷售商品、提供勞務及服務時，須向權利人支付權利金為前述活動所產生實際收益之0%」。 　　基此，第299號法令應限縮在有國家利益考量之情況下（如：與國家安全或保護俄羅斯公民的生命、健康相關），針對使用特定的專利或商品，可免支付專利強制授權的補償金。換言之，本法令不應解讀為，任何專利在俄羅斯都可恣意利用，而無需經權利人同意或支付適當補償。惟因無法預期未來俄羅斯聯邦政府對「不友好國家」會否有其他強制授權情事，故我國經濟部智慧財產局發函通知專利權人，應密切關注相關議題，並預作準備以降低風險。

　　InterDigital成立於1972年，主要從事無線通訊與視頻技術開發，其擁有超過32,000項專利，涵蓋3G、4G標準技術，但不實際生產相關硬體設備。許多國際知名無線通訊產品製造商皆為其專利授權對象，包含三星、蘋果、LG、Sony等。 　　2019年8月28日，InterDigital在英格蘭與威爾士高等法院(the High Court of Justice of England and Wales)起訴中國大陸電腦製造商聯想(Lenovo)侵害其4項有關4G技術之英國專利(UK2363008、UK2557714、UK2485558、UK2421318)。InterDigital聲稱聯想在其手機、筆記型電腦、平板電腦中使用其4G專利技術，且雙方已進行近10年談判，但仍未達成協議。InterDigital曾明確表示，其同意請第三方公正仲裁員小組確認其標準必要專利(SEP)授權條款是否符合公平、合理與非歧視性（FRAND）要件後，才提起訴訟。 　　InterDigital的起訴聲明包含，請法院確認InterDigital向聯想提供的全球授權條款與InterDigital的FRAND承諾一致，或定義InterDigital 3G、4G之SEP組合授權FRAND條款。InterDigital目前亦尋求類似先前Unwired Planet起訴華為(Huawei)一案之模式，期望透過英國高等法院裁定“FRAND禁售令”，以避免法院確認FRAND授權條款後，聯想若未按照該條款簽訂時，即可防止聯想在英國繼續侵犯其專利。聯想目前則未對於前述評論做出回應。 　　我國資通訊廠商容易涉及標準技術，需留意在進行SEP授權談判時，對於專利權人提出之條件應即時回應，若不同意對方提出條款，亦應提出更能符合FRAND宗旨之條款，避免後續訴訟產生。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」