美國總統歐巴馬宣布增加強化美國網路安全預算經費

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」 資訊工業策進會科技法律研究所 法律研究員　李哲明 2018年3月31日 壹、事件摘要 　　因應歐盟「通用資料保護規則」（The General Data Protection Regulation，或有譯為一般資料保護規則，下簡稱GDPR）執法即將上路，針對個人資料侵害之通報義務，歐盟資料保護工作小組（Article 29 Data Protection Working Party, WP29）特於本（2018）年2月6日修正通過「個人資料侵害通報指引」（Guidelines on Personal data breach notification under Regulation 2016/679），其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等，均設有詳盡說明與事例。 貳、重點說明 一、何謂個資侵害？個資侵害區分為哪些種類？ 　　依據GDPR第4條（12）之定義，個資侵害係指：「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說，個人資料之喪失包括含有控制者（controller）顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密，或經控制者加密，但其金鑰已滅失。依據資訊安全三原則，個資侵害之種類區分為： 機密性侵害（Confidentiality breach）：未經授權、意外揭露或獲取個人資料。 完整性侵害（Integrity breach）：未經授權或意外竄改個人資料。 可用性侵害（Availability breach）：在意外或未經授權之情況下，遺失個人資料存取權限或資料遭銷燬。 二、何時應為通知？ 　　按GDPR第33條（1）之規定，當個資侵害發生時，在如果可行之情況下，控制者應即時（不得無故拖延）於知悉侵害時起72小時內，依第55條之規定，將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者，不在此限。倘未能於72小時內通報監管機關者，應敘明遲延之事由。 三、控制者「知悉」時點之判斷標準為何？ 　　歐盟資料保護工作小組認為，當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」（reasonable degree of certainty）時，即應視為其已知悉。以具體事例而言，下列情況均屬所謂「知悉」： 在未加密個人資料的情況下遺失USB密鑰（USB Key），通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事，惟仍應為通知，因發生可用性侵害之情事，且已達合理確信的程度。 　　故應以控制者意識到該密鑰遺失時起為其「知悉」時點。 第三人通知控制者其意外地收到控制者的客戶個人資料，並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時，即為其「知悉」時點。如：誤寄之電子郵件，經非原定收件人通知寄件者之情形。 當控制者檢測到其網路恐遭入侵，並針對其系統進行檢測以確認個人資料是否遭洩漏，嗣後復經證實情況屬實，此際即屬「知悉」。 網路犯罪者在駭入系統後，聯繫控制者以索要贖金。在這種情況下，控制者經檢測系統並確認受攻擊後，亦屬「知悉」。 　　值得注意的是，在經個人、媒體組織、其他來源或控制者自我檢測後，控制者或將進行短暫調查，以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況，控制者將不會被視為「知悉」。然而，控制者應儘速展開初步調查，以形成是否發生侵害事故之合理確信，隨後可另進行更詳盡之調查。 四、共同（聯合）控制者之義務及其責任分配原則 　　GDPR第26條針對共同控制者及其如何確定各自之法遵義務，設有相關規定，包括決定由哪一方負責遵循第33條（對主管機關通報）與第34條（對當事人通知）之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議，約明哪一方係居主要地位者，或須負責盡到個資侵害時，GDPR所定之通知義務，並載於契約條款中。 五、通報監管機關與提供資訊義務 　　當控制者通報監管機關個資侵害情事時，至少應包括下列事項 （GDPR第33條（3）參照）： 敘述個人資料侵害之性質，包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。 傳達資料保護長（DPO）或其他聯絡人之姓名與聯絡方式，俾利獲得進一步資訊。 說明個資侵害可能之後果。 描述控制者為解決個資侵害業已採取或擬採行之措施，在適當情況下，酌情採取措施以減輕可能產生之不利影響。 　　以上乃GDPR要求通報監管機關之最基本事項，在必要時，控制者仍應盡力提供其他細節。舉例而言，控制者如認為其處理者係個資侵害事件之根因（root cause），此時通報並指明對象即可警示委託同一處理者之其他控制者。 六、分階段通知 　　鑒於個資事故之性質不一，控制者通常需進一步調查始能確定全部相關事實，GDPR第33條（4）爰設有得分階段通知（notification in phases）之規定。凡於通報時，無法同時提供之資訊，得分階段提供之。但不得有不必要之遲延。同理，在首次通報後之後續調查中，如發現該事件業已受到控制且並未實際發生個資侵害情事，控制者可向監管機關為更新。 七、免通報事由 　　依據GDPR第33（1）條規定，個資侵害不會對自然人之權利和自由造成風險者，毋庸向監管機關通報。如：該遭洩露之個人資料業經公開使用，故並未對個人資料當事人構成可能的風險。 　　必須強調的是，在某些情形下，未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報（監管機關）或通知（當事人），以及安全維護措施之缺乏或不足，以違反第33條或（及）34條與第32條等獨立義務規定為由，而依第83條4（a）之規定，併予裁罰。 參、事件評析 一、我國企業於歐盟設有分支機構或據點者，宜指派專人負責法遵事宜 　　揆諸GDPR前揭規定，當個資侵害發生時，控制者應即時且不得無故拖延於知悉時起72小時內，將個資侵害情事通報監管機關。未能履踐義務者，將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元，取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等，均或有於歐盟成員國境內或歐洲經濟區（European Economic Area）當地設立子公司或營業據點。因此，在GDPR法遵衝擊的倒數時刻，指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及，未能及時處置而致罹法典之憾。 二、全面檢視個資業務流程，完備個資盤點與風險評鑑作業，掌握企業法遵現況 　　企業應全面檢視業務流程，先自重要核心業務中析出個資作業流，搭配全面個資盤點，並利用盤點結果進行風險評鑑，再針對其結果就不同等級之風險採行相對應之管控措施。此外，於全業務流程中，亦宜採行最小化蒐集原則，避免蒐集過多不必要之個人資料，尤其是GDPR所定義之敏感個資（如：種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料，及遺傳資料的處理，用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等）或犯罪前科資料，俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。 三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認（驗）證，並建置認證資訊公開平台 　　鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升，我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應，更有賴政府透過法令（如：修正個人資料保護法）強制要求一定規模以上之企業通過第三方專業驗證，俾消弭風險於日常準備之中。蓋我國具一定規模以上企業，無論其係屬何種業別，一旦違反國際法遵要求，遭致鉅額裁罰，其影響結果將不僅止於單一企業，更將嚴重衝擊該產業乃至於國家整體經貿發展。職是，採法律強制要求企業定期接受獨立、公正及專業第三方認（驗）證，咸有其實益性與必要性。

日本推進超級城市系統帶動區域創新 資訊工業策進會科技法律研究所 2021年06月15日 壹、事件摘要 一、超級城市推動背景 　　數位技術躍升，驅動了產業創新的勃發。然而，現行社經體制與結構卻凸顯出創新速度與監理政策步伐間的落差，繼而牽動二者衝突，影響技術的擴散與創新產業的發展。 　　面對翻轉傳統框架之創新產業，國際間漸識「區域」居於主導創新發展之重要性，轉而嘗試從地方政府在區域規劃權限出發，尋求以區域創新作法突圍。換言之，區域創新需求的引力將能觸發創新產品或服務之供給，從而誘發法規（暫時）豁免或是鬆綁，為產業創新提供彈性空間。期能藉由法規鬆綁、開放創新的支援手段，通過特定區域作為數位創新技術在社會實踐的實驗室，檢驗與探索創新技術與社會體制之最佳解方。 　　而日本在區域創新搭配規範特例措施（規制の特例措置）已行之有年，包含有構造改革特區（構造改革特区）、綜合特區（総合特区）及國家戰略特區（国家戦略特区）。渠等皆係以地方政府（或區域）為核心，依其區域發展特性與創新佈建規劃並搭配規範特例措施推行。從既有制度以觀，構造改革特區無涉補助或租稅優惠措施，其推行上以重建財政為重，意即以地方自發性依其地區特性規劃，搭配規範特例措施推行都市再生、經濟上自立，並改善地區發展不均現象。但在此模式下，僅從地方角度出發，審查不符合當地情況之個別法規，難具全面性，整體效益並不顯著；綜合特區同樣以區域為主，設計上除規範特例措施外，另提供綜合性資助，包含稅收、財政上的支援，期望利用區域特定資源打造出可振興地方經濟的模式，立意良善卻無法阻止以綜合性資助為目的的情形；至於國家戰略特區，則是汲取過往經驗，改從國家角度出發，由內閣總理大臣主導，以促進國內外投資與鼓勵創業為旨，審查地方政府所提國家戰略特區計畫，並通過規範特例措施排除適用法規，允許產業在其中進行創新運用。 　　只是，在推動的過程中，日本漸發現除創新技術應用的特例措施外，資料協作亦至關重要。為精準解決日本的區域問題，必須尋求能夠在居民日常中運用資料協作實施先進技術的方法。在2019年超級城市/智慧城市論壇中，時任總理安倍晉三就此特別提及，資料正是新世代成長的動能，將與人工智慧等先進技術共同實現社會5.0願景。而超級城市所構築的資料流通規則與框架將能支持日本未來新時代的建設[1]。亦即，超級城市將是日本未來發展資料協作的基礎。 二、超級城市型國家戰略特區介紹 　　如前所述，資料協作成為產業創新不可避免的挑戰。其首要課題當屬完備資料之流通環境。也就是，需要建立一個資料共享基礎設施，促進多元進階服務間的資料蒐集、清洗和提供[2]。而日本注意到串接不同服務所利用之API（Application Programing Interface），本質上應非單純的技術，而是系統。延續此一概念，也直接表彰了日本所構想的超級城市，並非指直接於法律中引入超級城市定義，或直接建立超級城市，而是指開發一種能夠實現超級城市概念的系統（亦有稱其為城市操作系統/OS）[3]，藉由系統的實施形塑超級城市型國家戰略特區。為此，日本於2019年啟動《國家戰略特別區域法》修法，以促進資料協作基礎的建立，引動統一且全面的監管改革。 　　2020年5月27日，《國家戰略特別區域法》一部修正（別名為超級城市法案）正式通過參議院會議，同年6月3日正式公告修正版本法規，9月1日正式施行。緊接著，2020年10月30日更一部修正《國家戰略特區基本方針》，增加有關超級城市區域之指定標準。其後亦陸續進行完備超級城市型國家戰略特區框架之法令調修，包含於《國家戰略特別區域法施行令》（国家戦略特別区域法施行令）增訂資料協作基礎設施事業標準（データ連携基盤整備事業に関する基準）；於《國家戰略特別區域法施行規則》（国家戦略特別区域法施行規則）納入確認區域內住民就超級城市構想意向方法(スーパーシティ基本構想についての住民等の関係者の意向の確認方法)要求；於《內閣府‧總務省‧經濟產業省關係國家戰略特別區域法施行規則》（内閣府・総務省・経済産業省関係国家戦略特別区域法施行規則）增加資料協作基礎設施安全管理基準(データ連携基盤の安全管理基準)；於《國家戰略特別區域法第二十五條之二規定實證事業等的內閣府令》（国家戦略特別区域法第二十五条の二の内閣府令で定める実証事業等を定める内閣府令）增加地區限定型監理沙盒制度施行規定(地域限定型サンドボックス制度の施行のための規定等)。 　　而超級城市型國家戰略特區內涵主要是以發展《促進官民資料活用推進基本法》（官民データ活用推進基本法）第2條所稱人工智慧、物聯網相關技術事業、及其他能處理大量資料並增加服務價值或創造新價值，進而衍生新興業務之先進技術事業為基礎，在《國家戰略特別區域法》增訂「先進區域資料活用事業活動」（先端的区域データ活用事業活動）概念，扣合超級城市區域指定標準中所訂，超級城市區域必須提供至少五個領域以上的先進服務，並且應與當地居民、地方公共團體、私營企業取得監理改革的共識要求，串接先進區域資料活用事業與區域內居民需求，引動監理改革。 　　附帶一提的是，超級城市框架的特色，除在先進事業運用必須貼合區域內居民需求外，居於區域整體規劃角度，更特別要求超級城市區域必須設置構想整體規劃的「建築師」（アーキテクト），且應以公開招募方式選出有能力營運超級城市系統者，確保資料協作基礎的相容性與安全性符合《資料協作基礎設施安全管理基準》。企能實現先進區域資料活用事業活動之主體資訊系統與擁有區域資料的主體資訊系統間相互合作之基礎，並在此基石上，蒐集、整理並提供資料予有需求之先進區域資料活用事業者，以周全區域內居民及利害關係人之權益[4]，進而支援超級城市的實施。 貳、重點說明 　　綜整前述說明，日本在構建超級城市型國家戰略特區框架所著重點，分別係建置資料協作基礎設施之共享與合作，及推動大膽且全面的監理改革，以使先進技術落地。 一、構築資料協作基礎設施，帶動資料共享與合作 　　超級城市型國家戰略特區框架之重點，乃以資料協作為核心，因此資料協作基礎設施之建置，將是先進區域資料活用事業成功與否的關鍵。 　　然而要能順利推行資料協作，不同軟體間交換資料和指令時的連接方法必須具備通用性，以備未來不同領域甚或不同城市彼此間進行資料之交換與運用。故超級城市/智慧城市資料協調研究協會提出資料流通系統三大關鍵，分別為API角色及相關規則與發布方法、資料仲介者的能力與機能、資料結構的標準化。循此，日本通過設立資料協作基礎設施事業標準，擬定API規格、所處理資料種類與內容和運用的相關規約，其中特別強調的是，就涉及個人資料的運用，應以當事人「事前同意」為原則，並且要求相關資訊之公開必須通過網路實施，於提供資料時不得附加不正當之不公平條款等。另外，因應資安問題，日本亦特別明定資料安全管理基準，並要求應有確立責任主體機制、資料運用規章、資料安全專責人員、PDCA作業內容以及事業繼續計畫制定等，強化資料協作基礎設施功能與安全性。 二、大膽全面之監理改革，促成先進技術落地 　　有關超級城市型國家戰略特區第二點特色，係在地域型監理沙盒模式基礎上，搭配資料協作基礎活化先進技術資料的運用，促進多元領域間的合作。主要推行手段係建立新規制特例措施（新たな規制の特例措置），事先於《國家戰略特別區域法第二十五條之二規定實證事業等的內閣府令》框定相關先進技術，如自駕車、無人機及無線電波應用等，使其能夠在超級城市型國家戰略特區內更快速地用於實證。而因應快速實證作法，日本建立監控和評估系統加強事後檢查，並盡可能減少事前監管干預，以此強化國家戰略特別區域中產業國際競爭力或是形成國際經濟活動據點的正當性。 　　其中，值得注意的是，即便日本希望簡化行政程序，盡可能減少事前監管的干預，但在超級城市型國家戰略特區運作上，仍然必須與區域內居民進行溝通協調。蓋因在先進技術運用領域上，超級城市的特色是以居民需求作為出發點，強調區域居民的參與與支持。 　　故在指定超級城市的標準中，也明確地表示區域內居民意向之重要性，同時，特別指示地方政府申請超級城市型國家戰略特區時，應闡明調查該區域居民及其他利害關係人之方式和結果等，以便確認區域內住民就超級城市構想意向。整體而言，其推進方式係透過所謂的「區域會議」(区域会議)進行。在區域會議（特區擔當大臣、首長、經營者、居民代表等）中，選取區域居民所面臨的社會問題。其後，透過區域會議共商有助於解決地區社會問題的先進技術產品或服務，並依此擬定先進技術產品或服務間協調和共用資料的基本計劃（基本概念），通過表決進而提出監理改革事項。在此過程中，提出超級城市構想之地方政府，即可依據區域會議所了解之先進技術區域資料利用內容，要求總理大臣根據內閣辦公室條例（附有證明居民協議之書面文件，必要時得檢附監管改革建議）制定新的特例措施。後續地方政府將依據特例措施進行先進技術的落地應用。 參、事件評析 　　超級城市實施的關鍵，在於資料協作基礎及新規制特例措施的推行。雖然超級城市的推行尚處於選案階段，但觀察日本在推動超級城市中所著眼之資料協作基礎設施及地域型監理沙盒的事後檢查做法，或可做為我國推行區域創新借鏡。 　　首先是資料協作基礎設施之建設，近年，我國國發會大力改革與推動下，透過《政府資訊公開法》、《行政機關電子資料流通實施要點》及《個人化資料自主運用平臺介接作業要點》等，促進我國公、私領域資料的流通與串接。而未來，考量先進技術產業與跨領域資料協作需求，或宜考量日本以系統思維推行資料流通串接之作法，除公部門資料及個人資料外，就產業資料及相關合作之可能性一併考慮，構建區域化的資料協作基礎設施。 　　次者是，回顧我國在應對先進技術的法規調適做法，已陸續有以產業需求為主的《金融科技發展與創新實驗條例》、《無人載具科技創新實驗條例》及其他不同目的推動之小型實證計畫等，但似尚無與地方政府共同合作，引動在地居民了解政策並參與之機制。故借鑒日本超級城市型國家戰略特區以區域居民需求結合中央權限制定特例措施之作法，或許亦能為我國推動區域創新指出另一條明路，有效促進更接地氣的創新實證落地，並帶動區域經濟向上發展。 　　 [1]スーパーシティ／スマートシティフォーラム2019に寄せて報告書，2019年，頁7。 [2]国家戦略特別区域法及び構造改革特別区域法の一部を改正する法律案，https://www.chisou.go.jp/tiiki/kokusentoc/kettei/pdf/r10607_sankou.pdf (最後瀏覽日：2021/5/6) [3]萩原詩子，〈「スーパーシティ」実現を目指す、国家戦略特別区域法改正法案〉，2020/2/21，https://project.nikkeibp.co.jp/atclppp/PPP/news/021401450/ （最後瀏覽日：2020/6/12）。 [4]国家戦略特別区域法の一部を改正する法律第2條第3項，令和2年6月3日。

歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》（Guidelines on measures to ensure a high level of privacy, safety and security for minors online，下稱指引），依據《數位服務法》（Digital Services Act）第28條未成年網路保護規定，未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障，且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料，前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務，及其服務面向包含未成年人或主要由未成年人使用，或其提供者知曉部分接收者為未成年人，則該數位平臺可被視為提供未成年人存取，數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡，常見的年齡確認方式有三種：自我聲明、年齡估測、年齡驗證，數位平臺提供者應評估所採方式之必要性及適當性，以最小侵害措施達成高度安全性，並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮，歐洲數位權利組織（European Digital Rights, EDRi）認為政府忽略數位平臺設計與商業模式的根本性問題，依賴年齡認證可能限制未成年人的權利，且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性，但歐盟執委會已將指引作為合規評估標準，使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界，該如何避免未成年人接觸不良網路內容成為許多國家關心的議題，值得持續追蹤相關動態作為我國未成年網路安全政策之參考。