促進智慧電網之發展—德國提出智慧電網佈建期程

　　針對2013年微軟因Internet Explorer瀏覽器壟斷問題遭歐盟裁罰，微軟股東Kim Barovic於2014年4月11日向美國華盛頓西區聯邦地區法院（U.S. District Court, Western District of Washington）提出告訴，控告包括微軟公司創辦人Bill Gates與前任CEO Steve Ballmer等高層在整起事件中決策失誤、處理不當，致使公司承受鉅額罰款，蒙受重大損失，且董事會亦未善盡職責，徹查事件發生之原因。 　　2013年3月，身為歐盟反壟斷監管機構的歐盟執委會（European Commission），以微軟公司自2011年5月至2012年7月間發布的Windows 7 Service Pack系統更新，未提供超過1500萬用戶除了預設IE瀏覽器以外其他上網程式的選擇，顯然未履行該公司於2009年對歐盟做出的具有法律拘束力的承諾（即確保歐洲地區的消費者有選擇網路瀏覽器的自由）為由，對該公司之義務違反處以7億3100萬美元的天價裁罰，這也是歐盟執委會首次對違反此項義務的公司開罰。 　　本起訴訟是自2013年事件發生以來，首次有股東向微軟公司提告。原告Kim Barovic在訴訟中要求徹查決策錯誤的發生原因並懲處管理階層的相關失職人員。她說，董事會表示：「經調查，無證據顯示有任何現任或前任主管或經理人違反受託人義務。」微軟則於11日發布聲明：「Barovic請董事會調查其要求，還對董事會與公司管理階層提告。董事會已經完整地考量過其要求，但找不到官司成立的根據。」

　　新加坡個人資料保護委員會（Singapore Personal Data Protection Commission, PDPC）於2022年5月17日，公布「於安全性應用程式負責任地利用生物特徵識別資料指引」（Guide on the Responsible Use of Biometric Data in Security Applications），協助物業管理公司（Management Corporation Strata Title, MCST）、建築物及場所所有者或安全服務公司等管理機構，使各管理機構更負責任地利用安全攝影機和生物特徵識別系統，以保護蒐集、利用或揭露的個人生物特徵識別資料。 　　隨著安全攝影機等科技應用普及化，管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多，因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點： （1）定義生物特徵識別資料包含生理、生物或行為特徵，及以此資料所建立之生物特徵識別模版； （2）說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素，如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形，並舉例資料保護產業最佳範例，如資料加密以避免系統風險、設計管理流程以控管資料等； （3）說明生物特徵識別資料在個資法之義務及例外； （4）列出實例說明如何安全監控之維安攝影機，並提供佈署建築物門禁或應用程式存取控制指引，例如以手機內建生物識別系統管理門禁，以取代直接識別生物特徵，並有提供相關建議步驟及評估表。 　　該指引雖無法律約束力，仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境，並未涵蓋其他商業用途，也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人，如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。

　　2018年7月27日印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）公告個人資料保護法草案（Protection of Personal Data Bill），若施行將成為印度首部個人資料保護專法。 　　其立法背景主要可追溯2017年8月24日印度最高法院之判決，由於印度政府立法規範名為Aadhaar之全國性身分辨識系統，能夠依法強制蒐集國民之指紋及虹膜等生物辨識，國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料，因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵，進而認為國民有資料自主權，能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害，因此認定Aadhaar專法與相關法律違憲，政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會，研擬個人資料保護法草案。 　　草案全文共112條，分為15章節。主要重點架構說明如下： 設立個資保護專責機構（Data Protection Authority of India, DPAI）：規範於草案第49至68條，隸屬於中央政府並由16名委員所組成之委員會性質，具有獨立調查權以及行政檢查權力。 對於敏感個人資料（Sensitive personal data）[1]之特別保護：草案在第4章與第5章兩章節，規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前，必須獲得資料主體者（Data principal）之明確同意（Explicit consent）。而明確同意是指，取得資料主體者同意前，應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式，以及可能對資料主體者產生之影響。 明確資料主體者之權利：規範於草案第24至28條，原則上資料主體者擁有確認與近用權（Right to confirmation and access）、更正權（Right to correction）、資料可攜權（Right to data portability）及被遺忘權（Right to be forgotten）等權利。 導入隱私保護設計（Privacy by design）概念：規範於草案第29條，資料保有者（Data fiduciary）應採取措施，確保處理個人資料所用之技術符合商業認可或認證標準，從蒐集到刪除資料過程皆應透明並保護隱私，同時所有組織管理、業務執行與設備技術等設計皆是可預測，以避免對資料主體者造成損害等。 指派（Appoint）資料保護專員（Data protection officer）：散見於草案第36條等，處理個人資料為主之機構、組織皆須指派資料保護專員，負責進行資料保護影響評估（Data Protection Impact Assessment, DPIA），洩漏通知以及監控資料處理等作業。 資料保存之限制（Data storage limitation）：規範於草案第10條與第40條等，資料保有者只能在合理期間內保存個人資料，同時應確保個人資料只能保存於本國內，即資料在地化限制。 違反草案規定處高額罰金與刑罰：規範於草案第69條以下，資料保有者若違反相關規定，依情節會處以5億至15億盧比（INR）或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義，草案第3-35條規定，包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分（transgender status）、雙性人身分（intersex status）、種族、宗教或政治信仰，以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料（health data）。

　　中華人民共和國第12屆全國人民代表大會常務委員會第18次會議於2015年12月27日通過並公布《中華人民共和國反恐怖主義法》(以下簡稱反恐法)，並自2016年1月1日開始施行。反恐法第18條與第19條要求電信業務經營者與互聯網服務提供者，應當為公安機關、國家安全機關依法進行防範、調查恐怖活動「提供技術接口和解密等技術支持和協助」，並應當依照法律與行政法規規定，「落實網絡安全、信息內容監督制度和安全技術防範措施，防止含有恐怖主義、極端主義內容的信息傳播；發現含有恐怖主義、極端主義內容的信息的，應當立即停止傳輸，保存相關記錄，刪除相關信息，並向公安機關或者有關部門報告。」倘有違反以上規定且情節嚴重者，反恐法第84條授權由主管部門對該公私處50萬人民幣以上罰款，並對該公司直接負責之主管人員與其他直接責任人員處10萬元人民幣以上50萬人民幣以下罰款，並可由公安機關對該等人員處5日以上15日以下之拘留。 　　我國刻正進行資通安全管理法之制定，以為範圍更廣之資訊基本法的作用法。資通安全管理法當中考量納入與關鍵基礎建設相關之民間產業，使之成為資安通報之一環，政府需要民間企業配合時也將於法有據。於恐怖攻擊事件頻傳之今日，倘我國需要就此等事件要求電信業者或服務提供者進行通報時，相關國際立法例及其實踐，即值參酌。