智慧聯網之發展與個人資訊隱私保護課題：以歐盟之因應為例

　　德國聯邦議會於2015年12月3日通過「健康制度安全數位通訊與應用法」 (下稱數位健康法，Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, e-Health-Gesetz)，本法無須經過聯邦參議院同意，最快將於2016 年初生效。 　　該法係以患者的權益和隱私為中心而制定。其中安全的數位基礎設施將改善健康照護、加強病患的自我決定權。數位健康法要求於全德範圍內，從2016 年中期開始至 2018年中，依法定之資訊技術基礎設施的時間表引進相關技術與設施，在醫療診所和醫院之間全面進行電信基礎設施的連結。 　　本法案要點摘要如下: 　　•　最新一代的主資料管理（Stammdatenmanagement） (被保險人主資料（Versichertenstammdaten）的測試及更新) 將提供醫生最新資料和防止醫療給付濫用。這個數位健康卡第一個線上應用，將在2018 年中全面引進。而 2018 年 7 月 1 日起未參加線上被保險人主資料驗證之醫生，其補貼亦將削減。 　　•　醫療用緊急資料（Notfalldaten）應從 2018 年開始依被保險人意願在數位健康卡上儲存，以避免危險藥物的交互作用。因此，從2016 年 10 月開始，使用三種以上藥物患者，將收到藥物治療計畫（Medikationsplan）。而藥劑師自始即有義務在被保險人變更處方時更新之。從 2018 年開始，用藥計畫可以以電子傳輸方式從數位健康卡卡中檢索。 　　•　數位健康法將促進電子病歷（Arztbriefe）的推動。病患可以對其主治者告知其最重要的健康資料，並以數位資料形式儲存使用。另外，病患的權益和自主決定是本法重點，患者不僅可自行決定何種醫療資料應以卡片儲存，並可決定誰有權查閱。病患亦得提取卡片中儲存之資料。如血糖測量值、從可穿戴裝置或隨身手圈所量測的資料。 　　•　為提倡遠距醫療（Telemedizin），從 2017 年4 月開始遠距 x 光診斷評估和從 2017年7 月起，線上視訊諮詢時段納入醫療合約給付中。使病患更易獲取醫療訊息，同時在預後諮詢和監控諮詢中亦能得到醫療服務。 　　•　為進入遠端醫療時代，必須確保各種 IT 系統可以進行溝通，故須在 2017 年 6 月 30 日前提出互通性指引（Interoperabilitätsverzeichnis），使衛生部門不同的 IT 系統所採用的標準簡明化。 　　•　智慧手機和其他行動裝置使用健康APP已漸普及，到 2016 年底前應確認，被保險人是否可以使用相關設備來行使他們的醫療資料存取權限以及資料是否能夠相互連結進行傳輸。

由美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, 簡稱CISA）自2024年以來，持續主導並規劃《SBOM網路安全之共同願景》（A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity）之指引訂定，作為保障網路安全之國際共通指引。於2025年9月3日，由日本內閣官房網路安全統括室為首，偕同經濟產業省共同代表日本簽署了該份指引，包含日本在內，尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門，皆同步完成簽署。以下為指引之重點內容： 1. 軟體物料清單的定位（Software Bill of Materials, 簡稱SBOM） SBOM於軟體建構上，包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。 2. 導入SBOM的優點 (1) 提升管理軟體弱點之效率。 (2) 協助供應鏈風險管理（提供選用安全的軟體，提升供應商與使用者之間溝通效率）。 (3) 協助改善軟體開發之進程。 (4) 提升管理授權軟體之效率。 3. SBOM對於利害關係人之影響 (1) 使軟體開發人員可選擇最符合需求的軟體元件，並針對弱點做出適當處置。 (2) 軟體資訊的透明化，可供採購人員依風險評估決定是否採購。 (3) 若發現軟體有新的弱點，使軟體營運商更易於特定軟體與掌握弱點、漏洞。 (4) 使政府部門於採購流程中，發現與因應影響國家安全的潛在風險。 4. SBOM適用原則與相關告知義務 確保軟體開發商、製造商供應鏈的資訊透明，適用符合安全性設計（Security by Design）之資安要求，以及須承擔SBOM相關告知義務。 近年來軟體物料清單（SBOM），已逐漸成為軟體開發人員與使用者，於管理軟體弱點上的最佳解決方案。然而，針對SBOM的作法與要求程度，各先進國家大不相同，因此透過國際共通指引的簽署，各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計，以確保所有類型的資通訊產品（特別是軟體）之使用安全，也鼓勵製造商為每項軟體產品建立SBOM並進行管理，包含軟體版本控制與資料更新，指引更強調SBOM必須整合組織現有的開發與管理工具（例如漏洞管理工具、資產管理工具等）以發揮價值。此份指引可作為我國未來之參考借鏡，訂定相關的軟體物料清單之適用標準，提升政府部門以及產業供應鏈之網路安全。

　　德國聯邦及各邦獨立資料保護監督機關（unabhängige Datenschutzaufsichtsbehörden）共同於2019年4月3日，召開第97屆資料保護會議通過哈姆巴爾宣言（Hambacher Erklärung，以下簡稱「Hambacher宣言」）。該宣言指出人工智慧雖然為人類帶來福祉，但同時對法律秩序內自由及民主體制造成巨大的威脅，特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料，並且透過自動化的演算系統，干預個人的權利與自由。 　　諸如人工智慧系統被運用於判讀應徵者履歷，其篩選結果給予女性較不利的評價時，則暴露出人工智慧處理大量資料時所產生的性別歧視，且該歧視結果無法藉由修正資料予以去除，否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務，國家有義務使人工智慧的發展與應用，符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時，應符合歐盟一般資料保護規則（The General Data Protection Regulation，以下簡稱GDPR）第5條個人資料蒐集、處理與利用之原則，並基於該原則針對人工智慧提出以下七點個資保護之要求： （1）人工智慧不應使個人成為客體：依據德國基本法第1條第1項人性尊嚴之保障，資料主體得不受自動化利用後所做成，具有法律效果或類似重大不利影響之決策拘束。 （2）人工智慧應符合目的限制原則：透過人工智慧系統蒐集、處理與利用個人資料時，即使後續擴張利用亦應與原始目的具有一致性。 （3）人工智慧運用處理須透明、易於理解及具有可解釋性：人工智慧在蒐集、處理與利用個人資料時，其過程應保持透明且決策結果易於理解及可解釋，以利於追溯及識別決策流程與結果。 （4）人工智慧應避免產生歧視結果：人工智慧應避免蒐集資料不足或錯誤資料等原因，而產生具有歧視性之決策結果，控管者或處理者使用人工智慧前，應評估對人的權利或自由之風險並控管之。 （5）應遵循資料最少蒐集原則：人工智慧系統通常會蒐集大量資料，蒐集或處理個人資料應於必要範圍內為之，且不得逾越特定目的之必要範圍，並應檢查個人資料是否完全匿名化。 （6）人工智慧須設置問責機關進行監督：依據GDPR第12條、第32條及第35條規定，人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施，以確保蒐集、處理與利用個人資料之安全性。 （7）人工智慧應採取適當技術與組織上的措施管理之：為了符合GDPR第24條及第25條規定，聯邦資料保護監督機關應確認，控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 　　綜上所述，Hambacher宣言內容旨在要求，人工智慧在蒐集、處理及利用個人資料時，除遵守歐盟一般資料保護規則之規範外，亦應遵守上述提出之七點原則，以避免其運用結果干預資料主體之基本權利。

　　經濟合作與發展組織（OECD）2019年9月20日根據《2019年能源使用稅（Taxing Energy Use 2019）》報告指出，汙染性能源會造成地球與人類健康的危害，而課徵「汙染性能源稅」是降低其排放的有效方法，且稅收尚可用於協助低碳轉型，但在報告所研究的44個國家能源排放量佔全球80%以上，與能源有關的二氧化碳排放中卻有70%未徵稅，課徵的汙染燃料稅過低，無法促使其改用較為清潔的能源（cleaner energy），而無法鼓勵低碳能源轉型。 　　能源稅中，道路燃料稅相對較高，但無法反映其造成環境損害的成本；煤炭稅在多數國家中幾乎為零，但煤炭的碳排放幾乎佔了能源碳排放的一半；天然氣是較為潔淨的能源，其稅收通常較高。在非道路的能源碳排放中，有97%被徵稅，但44個國家中只有4個國家（丹麥、荷蘭、挪威、瑞士）的徵稅在每噸30歐元以上，遠低於環境損害的程度，近年來甚至有國家降低能源稅。 　　該報告表示，改善稅收政策、為低碳技術提供公平的機會，將有助於將投資轉向更環保的選擇，且額外的稅收可用於社會目的，例如降低所得稅、增加基礎設施或醫療健保支出，OECD未來將衡量減排與其他社會目標（如健康與工作），採取有效的激勵措施減少碳排放，並呼籲各國政府應正視此一問題。