國際因應智慧聯網環境重要法制研析－歐盟新近個人資料修法與我國建議

　　加拿大安大略省議會於2016年5月三讀通過修正健康資訊保護法（Health Information Protection Act, HIPA）。該法案藉由一連串措施，包括增加隱私保護、問責制與提升透明度，以提高病人地位。 1.在符合指令定義內，將違反隱私之行為強制性地通報與資訊與隱私專員； 2.強化違反個人健康資訊保護法之起訴流程，刪除必須於犯罪發生之六個月內起訴之規定； 3.個人犯罪最高額罰款提升到50,000元至100,000元，組織則為250,000元至500,000元。 　　而健康資訊保護法也將更新照護品質資訊保護法（Quality of Care Information Protection Act, QCIPA），有助於提升透明度，以保持醫療系統的品質，更新內容包括： 1.確認病患有權得知其醫療相關資料； 2.釐清不得對關於受影響的病患與家屬保留重要事項之資訊與事實； 3.要求健康與長照部（Minister of Health and Long-Term Care）每五年定期審查照護品質資訊保護法。 　　安大略省亦正著手研究由專家委員會提出，所有關於提升照護品質資訊保護法所稱重大事故透明度之建議。 　　藉著透過該目標，將可提供病患更快的醫療，更好的家庭與社區照顧，安大略政府希望可以透過上開手段以保護病患隱私以及加強其資訊透明度。

　　2021年7月13日，美國俄亥俄州（下稱俄州）副州長Jon Husted宣布推出《俄州個人隱私法》（Ohio Personal Privacy Act, OPPA，下稱本法），這是美國近期最新州級別的個人隱私保護法草案，並提出企業可資遵循隱私標準俾該州消費者隱私之保護。 　　首先，本法草案除賦予該州消費者知悉權、近用權、刪除權外，更賦予資料銷售退出權（right to opt out sales）及不受歧視權（right to discrimination）。並於俄州境內規範三種企業：（一）年營收逾2,500萬美元；（二）單一年度內經手10萬名以上消費者個資；（三）年營收半數源自於個人資料銷售且經手2.5萬名以上消費者個資。 　　惟所稱企業，排除如：州立機關或機構、受管制之金融機構及其附屬單位、實體或關係組織、高等教育機構等；至所稱消費者個資，則排除如：法規保護之個資（如健康資訊及紀錄、病患辨識資訊、人類受試者之個資及相關資訊、病患安全工作成果、個人信用等）、依法（如駕照法、家事法、醫療法及本法等）所得個資或依法授權得使用於公衛之資訊等。 　　特別的是，如企業違反本法，消費者並無獨立訴訟權，其執法權專屬州總檢察長。因此，如本法日後通過並施行，無論對俄州企業抑或消費者權益之影響，均有待觀察。

在2023年，多個美國法院判決拒絕採納「不可避免揭露原則（Inevitable Disclosure Doctrine）」，顯示出該原則將不再是原告於營業秘密訴訟中的一大利器，原告亦無法僅透過證明前員工持有營業秘密資訊且處於競爭狀態，便要求法院禁止該名前員工為其競爭對手工作。 在2023年2月，美國伊利諾伊州北區法院於PetroChoice v. Amherdt一案中指出，法院在適用「不可避免揭露原則」時會遏制競爭對手之間的員工流動，故將評估個案事實並嚴格限制其適用。在2023年6月，美國伊利諾伊州北區法院於Aon PLC v. Alliant Ins. Services一案中指出，根據2016年美國國會所通過的「保護營業秘密法案（Defend Trade Secrets Act, DTSA）」，該法案拒絕了「不可避免揭露原則」的適用，並禁止法院僅憑他人所知悉的資訊，阻礙其尋求新的工作，因此駁回了原告的損害賠償主張。在2023年9月，美國密蘇里州東區法院於MiTek Inc. v. McIntosh一案中同樣拒絕了「不可避免揭露原則」的適用，儘管該州的州法並未明確表達採納或拒絕該原則。 除此之外，美國聯邦法院在去年度的每一份報告意見中（Reported Opinion），皆未顯示出根據「不可避免揭露原則」申請禁令或取得救濟是合理的。換言之，大多數的美國法院都拒絕採納「不可避免揭露原則」或嚴格限制其適用。 綜上所述，儘管「不可避免揭露原則」能有效防止來自前員工不當使用其營業秘密的威脅，但其不再是未來營業秘密訴訟中的勝訴關鍵。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國網際網路安全聯盟（Internet Security Alliance，ISA）日前公佈一份新的報告，期使歐巴馬政府之「網路空間政策檢討」（Cyberspace Policy Review）能更進一步的落實。   　　網路安全聯盟主席Larry Clinton指出：「ISA對歐巴馬政府的網路安全政策表示支持，而目前民間機構需要設計一套規範，去落實ISA與政府對於網路安全重要議題共通之協議。本次所提出的報告，就是為了要提供能解決此一關鍵問題的架構。」   　　此份報告之標題為「利用ISA之社會契約模型執行歐巴馬政府之網路安全策略」（Implementing the Obama Cyber Security Strategy via the ISA Social Contract Model），而此報告強調必須重視網路安全的經濟意義。   　　Clinton認為，一旦討論到網路安全議題，會發現所有的經濟因素都對攻擊者有利，攻擊者總是能以簡單、成本低廉之攻擊方式得到巨大的利益。相對地，防守者（網路使用者）卻往往要付出高昂的成本。需要防護的領域太廣，而投資的回收通常很有限。必須從經濟的角度去平衡考慮成本與回收，才能建立具實效性且持續穩固的網路安全系統。   　　此份報告包含下列事項之架構：1.在商業計劃層面，創設政府與民間機構的合作夥伴關係，以強化網路安全；2.提出關於網路安全的國際議題；3.維持全球IT產業供應鏈的安全；4.建立新式資訊分享範例。   　　上述架構均依循ISA之網路安全社會契約模型，此一模型是源自於20世紀早期美國政府為了提供民間企業電信與電力服務，所成功建立之夥伴關係。