跨平台應用程式的開發探討－以資料流動因應措施為中心

　　美國著作權局已針對著作權法第 115 條提出修正案，以因應數位科技對音樂市場造成之衝擊。美國著作權法第 115 條主要係規範非戲劇類音樂之重製 (reproduction) 與散布 (distribution) ，並同時規範此二權利之強制授權及費率核定事宜。在數位音樂時代來臨之前，第 115 條之設計允許唱片業就已錄製之歌曲，在特定費率下加以重新詮釋灌錄。不過，隨著線上音樂的流行，第 115 條有關強制授權制度之設計，已喪失原先期待之功能，而核定之費率反而成為授權雙方協商時價格之上限，對整體音樂市場之發展造成障礙。此外，由於美國境內有關公開演出權 (public performance) 及重製 / 散布權之授權分屬不同之權利人團體 ( 目前美國三大公開演出權利人團體包括 ASCAP, BMI 及 SESAC ；而有關重製 / 散布權之權利人團體主要是 HFA, The Harry Fox Agency) ，因此在數位化音樂傳輸過程中利用人必須面對不同之權利人團體，就同一傳輸行為洽談不同之授權契約，並對同一著作權人支付二次使用報酬。如此繁複的過程及額外的成本，當然使合法音樂服務業者無法與網路音樂侵權者所提供之無成本音樂抗衡。因此，在此次美國著作權局所提出的「 21 世紀音樂授權改革法」中將廢止現行第 115 條，其修正重點包括： 1. 當權利人團體 ( 新法案中稱之為 music rights organization, MRO) 合法授予處理非戲劇類音樂之公開演出權事宜時，該權利人團體亦同時被授予處理重製及散佈權授權相關事項之權利。 2. 權利人團體就數位傳輸之非戲劇類音樂之公開演出權之授權應同時包含能協助公開演出順利進行必要之重製或散佈之權。 3. 著作權人就單一著作不得授權二個以上權利人團體進行該著作之授權談判事宜。 4. 鼓勵權利人團體就其所授權之非戲劇類音樂著作列明清冊，以協助利用人確認洽商授權之對象。

　　美國醫療產業使用境內或境外雲端服務（Cloud Services）急速成長，導致「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act，以下簡稱HIPAA）規範下之「適用機構」（Covered Entities）與其「商業夥伴」（Business Associate），對於雲端服務業者如何適用HIPAA感到疑惑。因此，衛生及公共服務部民權辦公室（Department of Health and Human Services, Office for Civil Rights）於10月7日公布相關業者如何適用HIPAA之指引，以釐清爭議。 　　於該指引中，該部指出，雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」（Protected Health Information），則該雲端業者就被視為HIPAA下規範之商業夥伴，原因在於該服務具有儲存與維護醫療資訊功能，非屬該法排除適用之「網路服務業者」（Internet Service Providers）資料傳輸服務類型。 　　該指引有幾大重點：首先，雲端服務業者如將該醫療資訊提供加密儲存服務，仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者，雲端業者皆須與委託方簽署商業夥伴協議（Business Associate Agreements）。此外，使用雲端服務儲存資療資訊時，委託方皆能使用行動設備進入雲端儲存之醫療資料，但應建立合乎HIPPA所要求相關之安全措施。最後，HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者，但使用前應自行評估該資訊遭駭客攻擊之可能性。

　　日本厚生勞動省、經濟產業省和總務省共同於2021年2月19日公布「有關民間個人健康紀錄（Personal Health Record, PHR）業者蒐集、處理、利用健康資料之基本指引」（民間PHR事業者による健診等情報の取扱いに関する基本的指針）草案，檢討民間PHR業者提供PHR服務之應遵守事項，希望建立正確掌握和利用個人、家族健康診斷或病例等健康資料之電子紀錄制度。 　　本指引所稱之「健康資料」，係指可用於個人自身健康管理之敏感性個人資料，如預防接種、健康診斷、用藥資訊等；而適用本指引之業者為蒐集、處理、利用上開健康資料並提供PHR服務之業者。根據指引規定，PHR業者應針對資訊安全對策、個人資料處理、健康資料之保存管理和相互運用性及其他等4大面向採取適當措施。首先，在資訊安全對策部份，業者需取得風險管理系統之第三方認證（如資訊安全管理系統制度（ISMS））；其次，針對個人資料，業者應制定隱私政策和服務利用規約，並遵守個資法規定；然後，為確保健康資料之保存管理和相互運用性，系統應具備雙向資料傳輸之功能；最後，本指引提供檢核表供業者自行檢查，業者亦應在網站上公佈自行檢查結果。

歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》（Guidelines on measures to ensure a high level of privacy, safety and security for minors online，下稱指引），依據《數位服務法》（Digital Services Act）第28條未成年網路保護規定，未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障，且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料，前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務，及其服務面向包含未成年人或主要由未成年人使用，或其提供者知曉部分接收者為未成年人，則該數位平臺可被視為提供未成年人存取，數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡，常見的年齡確認方式有三種：自我聲明、年齡估測、年齡驗證，數位平臺提供者應評估所採方式之必要性及適當性，以最小侵害措施達成高度安全性，並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮，歐洲數位權利組織（European Digital Rights, EDRi）認為政府忽略數位平臺設計與商業模式的根本性問題，依賴年齡認證可能限制未成年人的權利，且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性，但歐盟執委會已將指引作為合規評估標準，使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界，該如何避免未成年人接觸不良網路內容成為許多國家關心的議題，值得持續追蹤相關動態作為我國未成年網路安全政策之參考。