國際因應智慧聯網環境重要法制研析－歐盟新近個人資料修法與我國建議

　　德國聯邦經濟及能源部於2016年9月1日公布數位議程框架新的經費公告，以支持智慧聯網示範的實施與推廣。德國聯邦政府於2015年9月公布的智慧聯網(Initiative Intelligente Vernetzung)戰略，該戰略實施的4個面向如下: 　　(1)應用領域的支持:聚焦教育、能源、衛生、交通和管理五大應用領域的數位化和智慧化運用及發展，並排除相關實施障礙; (2)促進合作:促進資通訊技術與五大應用領域間的跨領域溝通與合作; (3)改善框架條件:加強投資環境並消除相關障礙；保護隱私權及加強網路安全；制訂相關標準化作業；提升商品或服務市場競爭力; (4)加強各界參與:促進各界參與及討論，共創及共享經濟利益。德國聯邦政府基於該戰略計劃，提出智慧聯網倡議，及提供開放式創新平台，促進不同領域的合作及整合運用，將有助於產業價值及競爭力的提升，並提高國際間合作的機會。 　　我國為發展智慧聯網相關產業，曾推出包括「智慧辨識服務推動計畫」、「智慧聯網商區整合示範推動計畫」等相關應用服務整合及解決方案計畫，今年更陸續推出「亞洲‧矽谷推動方案」、「數位國家‧創新經濟發展方案」，藉以提高數位生活服務使用普及率，並以創新驅動產業升級轉型。

　　基於維持「更好的管制」原則，歐盟執委會針對電子通訊管制架構之內容，公開徵詢社會大眾的意見。 　　此一電子通訊管制架構，係包括「架構指令」（2002/21/EC）、「發照指令」（2002/20/EC）、「網路接續指令」（2002/19/EC）、「普及服務指令」（2002/22/EC）及「隱私及電子通訊指令」（2002/58/EC）五個指令。除了此了指令之規範上，此次公開徵詢內容尚包括執委會有關「相關市場的建議」（C(2003)497）。 　　諮詢議題內容，則包括「管制架構的優劣點」、「現行管制架構是否能達到預期目標」、「現行管制架構如何改進」，以及特定之主題，如「範圍及目標」、「匯流及科技發展」、「頻譜管理」、「市場競爭及網路接續管制」、「執照核發及使用權」等。公開諮詢時間至2006年1月24日止。

　　為鼓勵金融創新，促進互聯網金融健康發展，明確監管責任，規範市場秩序，中國人民銀行、工業和信息化部、公安部、財政部、國家工商總局、國務院法制辦、中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會、國家互聯網信息辦公室，在經中國共產黨中央、國務院同意後，於7月18日聯合發布了《關於促進互聯網金融健康發展的指導意見》。(下稱《指導意見》) 　　該《指導意見》首次讓中國的互聯網金融正式從「野蠻生長」、「監管真空」，走向了「分類監管」和「有法可依」，按照《指導意見》，未來在監管職責劃分上，人民銀行將負責互聯網支付業務的監督管理；銀監會負責包括個體網路借貸和網路小額貸款在內的網路借貸以及互聯網信託和互聯網消費金融的監督管理；證監會負責股權式群眾募資和互聯網基金銷售的監督管理；保監會負責互聯網保險的監督管理。 　　同時，《指導意見》提出了一系列鼓勵創新、支援互聯網金融穩步發展的政策措施，積極鼓勵互聯網金融平臺、產品和服務創新，鼓勵從業機構相互合作，拓寬從業機構融資管道，堅持簡政放權和落實、完善財稅政策，推動信用基礎設施建設和配套服務體系建設。 　　值得注意的是，近年高速發展的借貸式群眾募資、股權式群眾募資以及網路支付等目前在中國互聯網金融領域主要的行業型態，在《指導意見》中形成框架性政策，上至監管原則，下至第三方存管等具體事項上，均有所涉及。由於《指導意見》是經由中共黨中央、國務院同意，再經中國人民銀行等十部委所發布，也說明了該意見的出臺是在中國共產黨中央和國務院的認可下制訂，是故若政策未出現重大轉向，該《指導意見》的規定待相關機關部門細化後，未來可預見將以法律、或行政法律等形式進一步頒布落實。

　　英國資訊專員辦公室（Information Commissioner's Office, ICO）於2019年12月20日發布首宗依據歐盟一般資料保護規則（General Data Protection Regulation, GDPR）之裁罰。 　　本案源於英國藥物及保健產品管理局（Medicines and Healthcare products Regulatory Agency, MHRA）接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查，卻意外發現其後院存放大量敏感個資文件，約五十萬個文件檔案皆未做任何資料檔案保護措施，上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料，旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第5條1項第f款、第24條第1項及第32條，裁罰275,000英鎊。其裁罰理由如下： 一、隱私政策並不符合要求，如未述明蒐集個人資料之類別，未訂定個資保存期限，當事人告知聲明不完備，無當事人權利行使等。 二、無適當安全維護措施 三、涉及敏感性個資，違法情狀嚴重 四、未積極配合調查 五、影響層面甚深，導致該藥局配合之上百家療養院，近千名當事人個資受損害。 　　此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資，有其指標性。除此之外，英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰，實值持續關注後續發展。