歐盟孤兒著作指令(Directive 2012/28/EU)立法評析

　　德國聯邦網路局（BNetzA）於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定，與聯邦資訊安全局（BSI）和德國聯邦資料保護與資訊自由委員會（BfDI）達成協議後制定，並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路，因該技術係為未來核心關鍵基礎設施，為確保技術發展之安全性，電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性，故用於構建5G之技術必須符合最高安全標準，且應盡可能排除安全問題，該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下： （1）系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規，且值得信賴之供應商處獲得。 （2）必須定期且持續監控網路流量異常情況，如有疑問，應採取適當的保護措施。 （3）僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件（以下簡稱關鍵核心組件）。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。 （4）安全相關的關鍵核心組）應在交付期間進行適當之驗收測試後方能使用，且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。 （5）在安全相關領域，只能聘用經過培訓之專業人員。 （6）電信網路營運商須證明所使用的產品中，實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。 （7）在規劃和建立網路時，應使用來自不同製造商的網路和系統組件，以避免類似「單一耕作」（Monokulturen），即避免技術生態圈無法均衡發展，以及易受市場波動影響之不良效應。 （8）外包與安全相關勞務時，僅可考慮有能力，可靠且值得信賴的承包商。 （9）對於關鍵且與安全相關的關鍵核心組件，必須提供足夠的冗餘（Redundanzen）。 　　鑑於德國於3月中旬已拍賣5G頻譜，聯邦政府將大力推廣附加要求，並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求，聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範，並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商，應適用於整體供應鏈。此外，德國聯邦政府擬針對聯邦資訊安全局法進行修訂，包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定，將在認證框架內提供可信賴性證明。

　　日本《科學技術基本計畫》為依據其科學技術基本法之要求，以每5年為期擬定，目的在於建構一立基於長期性觀點且體系化的科學技術政策，並以之為施政框架，目前實施之科學技術基本計畫，為規劃自2016年至2020年期間施行之第5期科學技術基本計畫。而為形成下一階段之科學技術基本計畫，日本學術會議現公布了「第6期科學技術基本計畫方向」建言，為日本學術會議所屬之學者委員會學術體制分科會經審議後，就上述科學技術基本計畫之擬定發表意見，預計會於內閣府召開之綜合科學技術與創新會議（総合科学技術・イノベーション会議）中提出，作為訂定第6期科學技術基本計畫之重要參考。 　　本建言除了持續強調投資基礎科學研究的重要性，亦關注學術多元發展與提升整合性，強調優越學術基礎的建構、發展、以及用以解決問題之能力提升，繫諸各領域、地區、個人所關切議題與思考方式之不同所帶出的多元性，而為克服現代社會面臨的各種課題，應注重自然科學與人文社會科學之跨域合作以形成具統合性的知識基礎，同時須平衡投入各學門的研究預算，避免科學技術投資過分集中於特定的學術領域。具體的方向上，本建言主要提供了4個規劃面向：（1）強化對博士生就學的經濟上支援，並增加相關就業機會，如增加大學終身教職員額與高階技術人才職位等；（2）為進一步促成前述的學術多元發展，重新檢討並建構政府資助各類研究之制度藍圖，除了持續資助基礎研究及應用研究之外，強化對年輕學者的補助，亦期待能對需持續性進行之研究（如生命科學等需長時間蒐集並保存資料之領域）提供長期或無限期的支援；（3）追求科研參與者的多元化（如鼓勵女性、外國人、身障者的投入），以實現科學家社群之多元發展；（4）促成科學家社群以個人身分或透過組織參與科學技術政策形成，避免相關政策的擬定與施行未能切合研究實務之需求。

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

　　歐盟執委會在2015年12月9日提出歐盟朝向現代化著作權架構行動計畫(Towards a modern, more European copyright framework)，目的為落實歐盟數位單一市場策略(Digital Single Market Strategy)，對於創意產業能夠激勵投資，並且打造公平的競爭環境。行動計畫分為四項重點: 　　一、放寬歐盟地區內容取得服務: 歐盟已針對線上服務內容如影音、遊戲等，提出草案，未來將允許線上服務內容可以跨境取得，不受地區性之限制，範圍僅限於歐盟會員國地區。歐盟亦將利用創意歐洲計畫持續鼓勵創意產業發展，增加更多使用服務之民眾。 　　二、放寬著作權相關免責規範之適用: 未來歐盟將修正規範，使研究人員就資料內容之取得與利用更為便利。此外，教育為另外一項重點，例如應訂有明確使用線上內容做為教學之規範。在身障者保護部分，則亦應設立規範。 　　三、創造公平市場: 歐盟將評估線上作品之使用與分享是否為公平授權，且未來將首先針對新聞服務業者進行檢討，對於使用者在網路上單純分享作品連結者，將視為合理使用。另外，針對作者與表演者報酬部分，歐盟未來將有一致性之政策規範標準。 　　四、打擊盜版: 歐盟認為，新政策的執行將使著作物能經過合理管道使用，因此可抑制盜版行為。而在2016年預計進行之“follow the money”計畫，預計與使用者及權利人相互配合，阻斷盜版所產生之資金流動。 　　未來，歐盟預計於六個月內將此架構願景轉換為草案或政策推動方針，其中在允許線上服務內容可以跨境取得之草案規範部分，歐盟執委會則希望於2017年能正式生效施行。