歐洲資料保護監管機關研議提出「智慧電表系統發展準備建議」研究報告

　　美國白宮為避免由聯邦補助的生物科技研究案，因研究涉及具危險性生物，而不經意製造出生化武器，繼此於2014年9月24日由國家衛生研究院（National Institutes of Health，NIH）和白宮科技政策辦公室（White House Office of Science and Technology）共同提出新規範，即「美國政府對生物科學雙重用途研究與考量的機構監督政策」（United States Government Policy for Institutional Oversight of Life Sciences Dual Use Research of Concern），旨在加強由聯邦預算補助的生物雙重用途研究（Dual Use of Research）安全性。 　　前述生物科技研究中的生物雙重用途研究，意指以增進公共衛生、國家安全、農業、環境等為主旨的生命科學研究之外，尚有其他具殺傷力或致命性的合法研究，例如合成病毒、除草劑等。早於2013年，美國白宮即已開始實施「美國政府對生物科學雙重用途研究與考量的監督政策」（United States Government Policy for Oversight of Life Sciences Dual Use Research of Concern），惟本次另以機構為主要規範對象。而作成新規範之重點分述為三如下： 1.原先以補助單位（通常為國家衛生研究院），為具危險性生物研究案為監督、責成單位，現將該監督責任歸屬移轉至取得相關補助的科學家、大學或研究機構。 2.從事相關具危險性生物研究之科學家，必須通報其所屬機構，並且須召開審查委員會評估相關風險，亦須通知聯邦層級的補助單位。此外，該科學家與其機構必須提交一份風險防範之計畫書，例如建立生物安全等級（biosafety rating）較高的實驗室等。 3.違反相關規範之受補助對象，將面臨中止、限制或終止補助之處分，甚至失去申請未來聯邦補助單位所補助一切與生命科學相關研究補助的機會。

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　1980年09月發布的「隱私保護及個人資料之國傳輸指導指引」，當中的8大原則對個人資料保護的法制產生深遠的影響，但隨技術發展，資料傳遞所產生的風險遠較於1980年代來得複雜。2013年所發布的內容，風險管理及為全球資料流通的互動性為兩大主軸，因此，在指引中納入新的概念，包含1.國家隱私策略：有效的隱私法制是不可或缺的，但在今日國家應該將隱私保護放在更高的戰略位置、2.隱私管理程序：（以個人資料）為核心服務的機制應系統化的保護隱私、3.資料安全漏洞通知:涵蓋有權者及各別個體的通知。 　　在指引第一章附件的第三部份-責任的履行，增加資料控制者（data controller），應有管理程序以符合上述的原則，該管理程序需包含資料風險的評估、內部監控、通知主管機關等要求;第五個部份-國家實施則新增加隱私主管機關的設立、考量不同角色(如:資料控制者)所應遵循的行為、考量其它的配套措施，如技術、教育訓練等。 　　在OECD的成員國，如:日本，已開始向該國國內說明2013年版的指引，但亦有部分會員國，如:加拿大，由於指引涵蓋公部門及私部門，加拿大亦討論如何與該國的資訊近用法(Access to Information Act) 及隱私權法 (Privacy Act)建構一個完善的適用模式。指引對於未來國際資料傳輸及管理程序的建置，必然產生結構性的影響，值得持續關注。

　　英國在今年10月1日正式實施新的消費者保護法，除了明確規定30天內可以退還瑕疵商品外（舊法並無規定明確的期間），最主要重要變革在於納入數位內容商品消費的相關條款，以促進目前蓬勃發展的數位內容產業。 　　依照新法的規定，所謂的數位內容係指以數位形式（in digital form）所產製或提供之資料，據此包括了任何可以下載的商品以及串流服務，例如app、音樂、電影、遊戲以及電子書。其中關於消費者之保障如下： 一、在一定要件下有權利要求企業經營者修復或替換有瑕疵之數位內容商品； 二、若數位內容商品之瑕疵無法回復時，得要求企業經營者退還百分之百所支付的款項； 三、除此之外，若是數位內容商品因故而造成消費者的載具損害時，例如因所販售的軟體帶有電腦病毒而使消費者電腦中毒，企業經營者應負損害賠償責任。 　　根據英國娛樂產業公會（Entertainment Retailers Association），英國在去年(2014)有關數位內容商品（音樂、影片、遊戲）的消費額達到28億英鎊（約897億新台幣），英國舊消費者保護法並未針對數位內容商品有明確的規範，尤以近年數位內容商品的糾紛不斷（尤以遊戲為大宗），此次修法無疑是對常在網路購買數位商品的消費者一大保障。