日本個人資料保護法修正案允許變更利用目的引發各界議論

　　「聯合國永續發展會議」（United Nations Conference on Sustainable Development, UNCSD）於今（2012）年6月20日至22日在巴西里約舉行，為紀念1992年里約熱內盧「聯合國環境發展會議」（United Nations Conference on Environment and Development, UNCED）20週年及2002年約翰尼斯堡「世界永續發展高峰會」（World Summit on Sustainable Development, WSSD）10週年，而稱為「里約+20」（Rio+20）。 　　會議中探討主題包括永續發展與消除貧困的綠色經濟，以及永續發展的制度框架兩大議題；並且優先關注包括就業、能源、城市、糧食安全及農業、水、海洋及災害等七大領域。其中在能源方面指出，能源議題幾乎是現今世界遭遇的挑戰，無論在就業、安全、氣候變遷、糧食生產、或收入，皆與能源息息相關。依據國際能源署（International Energy Agency, IEA）的估計，目前全球仍有五分之一的人缺乏現代電力，30億人口仍倚賴木材、煤、炭來烹煮或取暖；能源是氣候變遷的主要影響因素，大約佔全球溫室氣體排放的60%，減少能源的碳密集度（carbon intensity），則是長期氣候的關鍵目標。 　　永續能源的發展，能加強經濟、保護生態系統，透過聯合國秘書長於2011年9月提出的「全面永續能源（Sustainable Energy for All, SE4ALL）」倡議計畫，整合政府、企業與社會團體，投入空前的努力，已進行了超過一百項的承諾與行動。在政府參與的部分，例如迦納（Ghana），主動參與首批國家能源行動計畫，以支持能源發展及創新的融資機制。而在私人企業例如微軟（Microsoft）致力於碳中和（carbon neutral）並推出企業內部的碳費（carbon fee）制度；雷諾日產聯盟（Renault-Nissan Alliance）承諾投入約50億元於零排放車輛的商業化。另外如美國銀行（Bank of America）設置10年500億美元用於環保業務；以及一些非政府組織或個人，例如電氣電子工程師協會（Institute of Electrical and Electronics Engineers）等多個專業協會，均承諾投入持續性能源的倡議計畫。希望藉由相關行動，支持聯合國全球永續能源的發展，達到2030年確保全球現代能源服務的普及、提高兩倍能源使用效率、並提升兩倍再生能源的利用。

　　美國司法部起訴六名中國大陸公民，包含三名大學教授，在美從事商業間諜活動，自兩間科技公司竊取有關行動通訊技術的敏感資料，並已經提供中國大陸的大學及企業預備產製。如果罪名成立，最多可判刑15年。被竊取營業秘密包括載有薄膜體聲波共振器（FBAR）的原始碼、規格、配方等文件，主要應用在行動通訊，如平版、智慧型手機、GPS設備等消費性產品及軍事、國防通訊技術，其作用在於過濾無線訊號，改善通訊品質。 　　據報導，其中兩名被告張浩與龐慰為天津大學的教授，在美國南加州的一所大學攻讀電子工程學博士學位相識，期間獲得國防高等研究計劃署 (DARPA)提供的研究經費，研究FBAR技術。2005年取得學位後，分別進入Avago Technologies與Skyworks Solutions科技公司擔任FBAR工程師，並竊取分別屬於二公司的營業秘密。2006至2007年間，更開始接觸中國大陸的大學，尋找生產FBAR技術的可能性，最終得到天津大學支援，在中國大陸建立FBAR技術中心，更在2009年分別自二科技公司離職，擔任天津大學的全職教授，同時合資成立ROFS精密儀器公司，計畫生產FBAR產品，並已和企業和軍方簽訂契約。 　　美國政府表示，外國機構利用在美國活動的個人從事商業間諜活動，竊取美國企業投入高額成本開發的技術資料，將造成美國企業的重大損失，削弱市場競爭力，最終損害美國在全球經濟的利益，故將持續調查、蒐集不法證據，以打擊商業間諜活動與制止竊取營業秘密為首要任務。

　　隨著個人資料保護意識的興起，各國也持續增修法律來保護人民權益以及協調產業標準，但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。 　　如美國同時會有聯邦法與州法兩個層次的法律，當兩者分別發展隱私權相關法律規範時，難免會缺乏協調，出現定義不明的重疊規範，進而提高企業之法令遵循成本與管理成本。最終導致的結果，就是非必要地降低了產業發展速度，以及提高了消費者獲得服務的成本。 　　日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法（California Consumer Privacy Act, CCPA）」，使該部法案對於個人資料保護與利用之規範日漸完備，並減少與聯邦政府重複管轄項目，進而達到合理降低州內企業的遵法成本。美國加州州長紐松（Gavin Newsom）簽署的CCPA修正案「AB-713號法案」（Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code ）通過後，CCPA之適用範圍將限縮。若「同時符合」下列二者條件，則可免受CCPA規範： 受「加州醫療資訊保密法」（the California’s Confidentiality of Medical Information Act, CMIA）所規範的的醫療資訊及個人健康資訊之衍生資訊，或受「美國聯邦受試者保護通則」（Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」（Health Insurance Portability and Accountability Act, HIPPA）之標準，已去識別化的資訊。 　　換言之，已經依HIPAA標準去識別化之第一點資訊，即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範，但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。 　　「AB-713號法案」對於已去識別化資訊之利用或販售行為，增設了契約須載明下列規範架構之條款內容： 如有利用或販售去識別化資訊涉及病患資料者，須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定，或第三方受到相同或更嚴格限制之個資保護約束，買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。 　　「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業，其隱私政策聲明應納入以下內容： 將出售或揭露去識別化病患之資訊； 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式，進行病患資訊之去識別化。 　　整體來說，「AB-713號法案」讓CCPA的規範稍加鬆綁，明確排除CCPA對特定去識別化資訊之適用，並擴張對研究行為之豁免範圍，在處理上有更多彈性，惟同時也要求企業須充分揭露其個人資料處理原則。