政府採購雲端服務新興模式暨資安一體考量之研析

　　隨著資料多元應用，大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等，因此在跨境傳輸基礎上需要共同的監管制度，以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動，以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。 　　另外，在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中，techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement)，英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper)，將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整，而在過渡期間為企業提供監管確定性，而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制，如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後，將不會直接適用GDPR，因此除非有新的安排，個資在歐盟傳輸仍可能受限，而需昂貴複雜替代機制，故仍應速採取行動： 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”)，應即為過渡期之安排。 英國應考慮實施其他措施，確保歐盟對英國資料保護框架之擔憂能獲解決，尤其是國家安全目的之資料處理。 英國應確保國際傳輸制度(包括美國在內)，與歐盟具相同保護水準，且此作為歐盟適當保護評估的關鍵。

　　「美國食品和藥物管理局（FDA）」於2017年4月6日准許「23and me個人基因遺傳健康風險服務測試（簡稱GHR）」進行行銷，FDA要求該測試方法可以一定準確度檢測出十種疾病及可能條件。GHR是第一個被美國食品藥物管理局授權允許直接對消費者進行測試並提供個人遺傳傾向及醫療疾病條件資訊給消費者的測試。 　　GHR試圖提供遺傳風險資訊給消費者，但這個測試無法確定人們發展成疾病或發病條件的總體風險，因為除了某些遺傳變體的存在，還有很多因素會影響健康條件的發展，包含環境以及生活方式的因素，因此該檢測可能可以幫助人們做選擇生活方式的決定或告知消費者專業的健康照護。 　　23and me的GHR測試是運作自隔離唾液樣品中的DNA，此檢測被測試超過500000個遺傳變體，其檢測關於發展成以下十種疾病或發病條件增加風險的存在與否，包括帕金森氏症（Parkinson’s disease）、阿茲海默症（Late-onset Alzheimer’s disease）、自體免疫問題（Celiac disease）、α-1抗胰蛋白酶缺乏症、早發性原發性肌張力障礙（early-onset primary dystomia）、因子XI缺乏症（factor XI deficiency）、高血病1型（gaucher disease type1）、葡萄糖6-磷酸脫氫酶缺乏症（glucose 6- phosphate dehydrogenase defiency）、遺傳性血色素沉著症（hereditary hemochromatosis）、遺傳性血栓形成（hereditary thrombophilia）。 　　此外，FDA更要求所有DTC測試在醫療用途目的上之使用必需要能跟消費者溝通，使消費者可以充分了解該測試法後選用。其中一個研究顯示，23andMe的GHR測試的相關資訊是容易被理解的，有90%的人能夠了解報告中所呈現的資訊。

　　馬來西亞政府計劃於2018年推行就業保險計畫（Employment Insurance Scheme，ＥＩＳ），為受雇人提供一個就業的社會安全網包括失業津貼和培訓支持，計畫內容： 適用範圍：典型受雇工作者。 　　 基金管理機構： 社會安全機構（Social Security Organisation，SOCSO）。 保護內容：為被裁員工提供三個月至六個月的臨時財政援助。例如，在求職津貼下，失業人員可以獲得第一個月的假定月工資的80％，第二個月的50％，第三個月和第四個月的40％，第五個月和第六個月的30％。 保險費用：雇主必須負擔受僱人月薪之0.2％，僱員亦須繳納受僱人月薪之0.2％。繳費將根據員工的工資按固定比例計算。保費繳納之上限為收入4000令吉（Riggit Malaysia，RM）以上者，繳納的最高貢獻額為59.30令吉。 罰則：一萬元以下或兩年以下有期徒刑。 　　根據國際勞工組織(ILO)一項研究顯示，2011年越南失業人員中只有5％受到失業保險的保護，泰國則為25％。即使在非典型工作者較無問題出現的國家，失業人員的有效覆蓋率通常在40％到50％之間。主要原因在於，失業保險只包括典型工作者，然而亞洲較多數人為非典型工作者。 　　另一方面，2016年馬來西亞提高最低工資增加雇主負擔，使雇主感受到高額成本的壓力。推行就業保險計畫雇主所需承擔之成本又再次增加。這使得雇主不得不傾向選擇短期契約工作或外包工作。使得雇主減少雇用正式員工，本身待遇與福利居於弱勢的非典型工作者增加，反而使得計畫可以保護範圍縮小加深非典型工作者不平等問題。面對目前全球非典型工作者人數有快速膨脹趨勢，以及雇主捨棄高成本的雇用方式。如何立法保護或改善非典型工作者就業環境，將成為就業保險計畫另一個重要的核心議題。

　　隨著新型態支付服務應用不斷推陳出新，利用數位支付型代幣（digital payment token）進行洗錢與犯罪愈加猖獗，新加坡國會（Parliament of Singapore）於2021年1月4日通過「支付服務法修正案」（Payment Services (Amendment) Bill），擴大監管範圍，以降低與數位支付型代幣有關的洗錢、資助恐怖主義（money laundering and terrorism financing, ML/TF）及隱匿非法資產風險。 　　本次修正重點包含（1）賦予新加坡金融管理局（Monetary Authority of Singapore, MAS）更大權責，可要求支付服務供應商落實相關客戶保護措施，例如要求數位支付型代幣服務供應商所保管之資產與自有資產分開存放，以確保客戶資產不受損失；（2）將虛擬資產服務供應商（virtual assets service providers）納入法規監管，擴大數位支付型代幣服務定義，使其包括代幣轉讓、代幣保管服務與代幣兌換服務；（3）擴大跨境匯兌服務（cross‑border money transfer service）定義，凡是與新加坡支付服務供應商進行資金轉移，不論資金是否流經新加坡，皆受新加坡金融管理局監管；（4）擴大國內匯款服務（domestic money transfer service）範圍，以涵蓋收付雙方均為金融機構之情形。 　　新加坡金融管理局表示，本次修法目的是為了因應支付服務產業的廣泛應用，降低潛在犯罪風險與維護金融安全，有效保護消費者權益，並維持金融穩定性與維護貨幣政策有效性。