從英國 NHS 國家 IT 計畫看電子病歷之推動：以病患個人資訊隱私保護為中心

　　近年來，奈米科技已多方使用於食品製造業中，舉凡食品的殺菌、保存或食材的包裝等，皆為適例。然而，隨著奈米科技的影響層面逐漸擴大，無論係其功用的研發或風險的防範，仍有進一步研究之必要。 　　歐盟執委會(European Commission)根據2007年3月其新興健康風險科學委員會(SCENIHR)所提出之報告，認為應加強認識奈米科技對於食品安全之影響，遂邀請歐洲食品安全局(EFSA)就該領域提出科學看法。至2008年10月14日，歐洲食品安全局科學委員會即公布「奈米科技對於食品和飼料所引起之潛在風險(Potential Risks Arising from Nanoscience and Nanotechnology on Food and Feed Safety)」草擬意見，其內容係說明奈米科技應用於食品製造業之多種樣態、人為奈米材料(engineered nano materials，ENM)於食品或飼料製造過程中所產生之作用，以及判斷現有之風險評估方式能否合於需要。 　　該草擬意見歸結數項結論如下： (1) 因人為奈米材料之體積微小且具有高表面積，於人體吸收時較一般物質更容易產生反應。 (2) 關於化學物質於奈米尺寸下將產生何種變化，迄今無法做出令人滿意之科學論斷，因此就安全性與相關數據的累積，仍需要個別檢視。 (3) 建議應針對風險評估一事設置國際基準，且該基準可同時適用於人為奈米材料及一般化學物質。 (4) 食品與飼料中含有人為奈米材料者，於風險評估時應包括該材料特性之敘述，並進行毒理研究分析，使資訊蒐集更為完備。 　　由於人為奈米材料不確定之事項甚多，因此需要更豐富的資料加以釐清；而該草擬意見除提供歐盟執委會評估現行法制、研究可行措施外，亦向公眾廣徵回應；民眾可於2008年12月1日前，提供歐洲食品安全局相關科學證據或意見，待該局進行彙整後，將與歐盟會員國商討後續事宜。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

淺談台灣行動寬頻覆蓋率議題 科技法律研究所 法律研究員　黃志雯 2013年11月26日 壹、事件摘要 　　我國4G頻譜拍賣在歷經40天、393回合的「同時多回合上升」競標後，終在2013年10月底結束。這次的競標價金不僅高達1186.5億元外，也加入了國碁電子（鴻海集團）與台灣之星（頂新集團）兩家新進電信業者，使整體產業競爭性提高。預計民眾最快在2014年中時，即可享受靜態1Gbps、行動間100Mbps的高速網路，在無線寬頻的高速下，許多新興服務可孕育而生。 　　根據我國政府的規劃，4G營運時間越早，無論對產業、或是民眾皆是利大於弊。但是，從我國3G發展經驗可知，行動寬頻基地台建置的普及程度，攸關整體產業發展的關鍵。因此，行政院於今（2013）年11月成立「加速無線寬頻基礎設施小組」，依據電信法第32條第2項的規定，並透過跨部會協調，逐步落實公有建築物開放建設基地台之政策，增加4G業者涵蓋率，督促其儘速開台服務。同時，立法院為讓公有建物建設基地台能順利推行，於同年11月三讀通過修正電信法第32條。依據新修正之條文，未來除了因應輿論認為電磁波可能影響青少年發展，故允許高中職以下學校「得不同意」第一類電信事業設置室外基地台外，其餘公有建築物之主管機關，無正當理由不得拒絕業者申請。 　　透過落實公有建築物開放的政策，不僅可加速未來4G的發展外、亦可提升既有3G的覆蓋率。除此之外，當4G涵蓋全台後，其高速、穩定的特性將可被視為具有如固網般最後一哩（Last Mile）之效益，進而協助政府克服偏遠地區鋪設寬頻的困境，使全國居民皆可享有網際網路的便利。 貳、重點說明 　　政府透過落實公有建築開放架設基地台之政策，協助4G業者加速開台義務（5年內達人口涵蓋率50%），更希望能降低協商、架設基地台的成本，減少我國行動寬頻在都會區基地台數量不足、非都會區距離過遠之問題。其實，如何增加行動寬頻涵蓋率，是當前每一個國家致力發展的目標。新加坡與英國政府為了實現無所不在網路的目標，在管制的手段上分別是： 　　(一)新加坡：為了協助電信服務業者可利用建物空間架設通訊設備，達到「行動寬頻訊號戶外覆蓋率99%、室內覆蓋率85%」的目標，新加坡修訂「建築物資通訊設施實施條例」。本條例要求開發商或屋主在建設大型建案時，必須依據建案大小設置「行動通訊設備布放空間」，以提供電信業者使用，增加行動寬頻覆蓋率。本條例落實後，預期可協助4G業者在既定時間內（2.5GHz須最早實現）完成全國、所有捷運/公路隧道內必須可接收4G訊號的要求。 　　(二)英國：英國為了改善既有行動寬頻涵蓋率，在今（2013）年11月提出5點改善措施。其中，在相關規範上，Ofcom除了直接提高3G業者涵蓋義務、在訊號難以達到區域建設基礎設施、定時提供行動寬頻速率報告，以及與交通部(Department for Transport and Network Rail)共同改善行動寬頻於鐵路、道路的覆蓋率與品質外，Ofcom認為4G寬頻亦扮演重要角色。當時，Ofcom即透過4G頻段拍賣，賦予一張2017年須提供98%人口於室內、95%人口能於英國境內取得行動寬頻服務義務之執照，希冀實現偏遠地區亦能擁有寬頻服務之理想。 參、事件評析 　　綜合上述，各國為了讓4G覆蓋全國，使所有民眾皆能享有高速、穩定的網路，無不透過兩階段方式，拍賣前賦予部分頻段提前完成涵蓋率普及的義務、拍賣後透過政策、法律協助、要求業者維護網路品質。台灣屬於地狹人稠的國家，行動寬頻業者對政府賦予的涵蓋義務，絕非是行動寬頻發展困境。但是，業者是否可提供如同牌告的速度與品質，一向倍受挑戰。我國3G產生這個問題，除了民眾在居家附近拒絕建置基地台之住抗問題外，其主因亦是在3G拍賣時並未賦予相關頻段義務、在「第三代行動通信業務管理規則」又僅要求涵蓋率達人口50%，導致業者不積極面對都會區基地台數量，少於負荷使用人數的事實；非都會區則是消極處理基地台與使用人距離過遠，造成訊號品質不佳、或是接收不到等問題。 　　因此，即使這次電信法32條修正後，排除高中職學校得以架設室外基地台，根據我國「行動寬頻業務管理規則」第66條規定，電波涵蓋範圍應達營業區人口50%，合理推測業者可一舉解決都會區架設基地台的問題。但是，在我國4G頻譜拍賣前，並未與新加坡、英國相同，賦予所謂的「黃金頻段」(700MHz)與「帝王頻段」(1800MHz)普及全國(含偏遠地區)之義務。在管理規則涵蓋率僅訂為整體人口50%，將可窺見多數業者終將先行投資都會區，造成部分非都會區仍存有網路延遲、或是難以接收的問題，使4G難以成為全國性最後一哩。 　　本文認為4G頻譜拍賣結束已成事實，現階段主管機關唯有透過「行動寬頻業務管理規則」第40條第二項第三款的規定，鼓勵業者積極建置偏遠地區高速基地台，並承諾於事業計畫書中。再者，從資通訊科技發展的角度，新加坡強置新建物必須具備、開放「行動通訊設備布放空間」，使業者得以自由建置基地台，對於4G、或是未來5G發展而言，建築物開放使用確實具有前瞻性。不過，在我國民眾目前仍對電磁波有所疑慮的情況下，現階段僅能開放公有建築建置基地台，唯待透過具權威的報告證明電磁波無害、且全民達成一定共識後，我國政府方能逐步推動既有建築開放、或是新建築必須具備「行動通訊設備布放空間」。最後，主管機關除了繼續支持推動相關行動上網速率測速計畫外，關於電信法第32條第1、2項，要求公有建築開放架設基地台，是否要朝向正面表列機關拒絕條款，亦是未來可探討的地方。

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）於2020年4月25日以歐盟網路安全驗證框架（EU cybersecurity certification framework）檢視現行安全軟體開發及維護之方式與標準，並公布《提升歐盟軟體安全性》（Advancing Software Security in the EU）研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證，並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 　　本報告指出由於安全軟體已普遍應用於日常商品與服務當中，但目前針對軟體安全事故並無相對應之安全守則及技術，故為提高軟體安全層級並緩解目前已知之軟體安全威脅，應針對安全軟體開發及維護進行規範並驗證。 　　報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外，亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法，包括： 已驗證之資訊與通訊科技（Information and Communication Technology, ICT）產品、服務或流程供應商或製造商，針對資料庫之部署及維護，除探討防止資料洩漏之方式外，尚應考量產品、服務或流程驗證過程中，進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織（European Standards Organizations, ESOs）及標準制定組織（Standards Developing Organization, SDOs）合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案（EU cybersecurity certification schemes）。 針對現行不一致之軟體開發及維護規範，應考量建立較寬鬆之合規性評估（conformity assessment）標準。 借鏡現有經驗和專業知識，促進歐盟網絡安全驗證框架之適用。