德國聯邦內政部公布《資訊科技安全法草案》

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

　　美國聯邦貿易委員會（Federal Trade Commission ,FTC）最近開始推動一套「不留痕」（do-not-track）機制，旨在防止網站蒐集未經使用者授權之個人資料。 FTC所出具的報告，旨在幫助政策制訂者和立法者形塑隱私規則，同時要求網站揭露更多其所蒐集之資料的相關事項，諸如蒐集的資料種類、如何使用該資料、以及保存期間。該報告並建議企業提供使用者更多拒絕被蒐集資料的退出選擇方案。   　　FTC主席Jon Leibowitz在最近的記者會中指出，目前有許多尚未受到網路隱私規範之行銷方式，普遍受到廣告商、社群網站或是搜尋引擎運用。FTC當局的建議由五人所組成的委員會無異議通過，由於網路廣告商、媒體經營者以及零售商所建立的新的行銷模式均建基於個人資料的使用上，因此此建議亦同時考量到該等業者之利益平衡，至2011年1月31日前持續蒐集業者之意見。Leibowitz表示，FTC希望確保新興成長的資訊市場是建立在促進隱私、透明、商業革新和消費者選擇的框架上，而這也是多數美國民眾所希望的。」   　　此一「不留痕」機制是參照FTC另外一套受歡迎的「勿來電」機制，也就是將電話號碼註冊在一特定的名單上，以防止電話推銷員來電，不過實際上的運作模式仍略有差異。相較於將姓名註冊在一份中央管控的名單，此一機制則是透過網頁瀏覽器的工具，傳送不願被追蹤或接受特定廣告的訊息，Google、Microsoft和 Mozilla都已測試過此套技術。   　　在此一報告提出後不久，麻州參議員John F. Kerry表明他將會推動一部隱私權相關法律，使FTC有更多規則制訂權以實現其報告所提建議。因為作為相關主管機關，FTC制訂規則的權利其實很有限。

歐洲汽車供應商協會（European Association of Automotive Suppliers，俗以CLEPA簡稱之）於2023年3月7日發表〈關於標準必要專利之政策指南—一個可因應汽車產業數位轉型現象的歐盟專利規則〉（Standard Essential Patents Policy guidelines—For an EU patent regulation that adapts to the digital transformation in the mobility ecosystem），以期有關單位能給予汽車產業更明確的指示，舉凡：SEP專利權人可向何人為授權、「合於FRAND原則之授權條款」應如何被認定等。 CLEPA提及，由於在一技術領域中有SEP時，其他的技術無「迴避設計」（design-around）可能性，而必得實施該被選為標準之技術，故在該技術領域中，無其他技術可與「受該SEP保護」的技術相抗衡；是以該SEP的價值必須被審慎且精確評估。此外，CLEPA指出，由於汽車產業會投資、研發、銷售有助於未來「移動性」（mobility）發展的下世代產品，故此產業與智慧財產權議題有高關聯性（例如：此產業每年會申請超過39,000筆專利權），應予其在SEP議題上有足夠的明確性（certainty）及可預測性（predictability），使其在「投資於廣泛實施標準的『新技術』」上，更可依循。而創建一個「利益平衡」（balanced）的環境，將有助於授權雙方進行合於「誠信原則」（good-faith）的授權協議。 CLEPA為以上目的，提出五點建議： （1）應有一「歐盟層級」的立法 一個「歐盟層級」（EU-level）的法架構體系是較足以為SEP專利權人及專利實施者間，提供較「利益平衡」的環境，且較可抑制不公平的SEP授權行為。 （2）「供應鏈中任一層級，均可得授權原則」 凡任何欲得授權者，不論其位於供應鏈中何層級，均應予其有「在符合FRAND原則」下，被授權的機會。又，由於一技術之所以會成為「標準」，係因被「商討」（coordination）而出，倒不一定是因其在市場競爭上，真的有大勝於其他技術的優勢，故授權權利金應僅可反映該技術本身的價值，而不可將「因標準化而可帶來的其他廣大利益」摻入。 （3）對於SEP授權條款應有明確指示 政策制定者及各「標準制定組織」（Standard Setting Organization, SSO）應對「何謂合於FRAND原則之授權條款」提供指南；此外，也應提出就一SEP及其有被納入的「專利組合」（portfolios）的評價方法。 （4）供應鏈中的授權狀況應明瞭 專利實施者應清楚明瞭其是否應獲授權，或其上游元組件供應商是否已獲授權。 （5）應有完整的法體制 政策制定者應制定法體制或應提供關於法體制的指南，以避免SEP專利權人不當申請「禁制令」（injunction），以強使授權協議之可被達成。

　　日本經濟產業省與國土交通省共同組成的「空中移動革命之官民協議會」（空の移動革命に向けた官民協議会），於2018年12月20日第4次會議中公布《空中移動革命藍圖》（空の移動革命に向けたロードマップ，以下簡稱「本藍圖」），期待飛天車（electric vertical take-off and landing, eVTOL）的實現可在都市交通阻塞時或欲前往離島、山間地區等情形下，提供新移動方式，也可運用於災害時的急救搬運及迅速運送物資等。 　　本藍圖之「飛天車」係電動垂直起降型的自動駕駛航空機，外型近似直升機，並規劃三條發展路線：實際應用目標、制度及標準之整備、機體及技術之研發。從實際應用目標出發，本藍圖規劃自2019年開始進行飛行測試和實證實驗，以2023年投入運用為目標。首先從運送「物品」開始進展到「部分地區的乘客」，2030年代將再進一步擴大實用到「都市中的乘客」。也可應用於災害應變、急救、娛樂等方面。 　　為了實現上述目標，即需整備機體安全性、技能證明等及未來投入商業應用時所需之各項標準及制度。當然機體及技術之研發也相當重要，透過試作機研發確保並證明機體安全性及可靠性、自動飛行之機上及地面管理系統、確保達到商業化程度的飛航距離及靜肅性之技術。並設定於投入應用後的2025年開始，重新檢討制度及提升技術。