政府採購雲端服務新興模式暨資安一體考量之研析

　　法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）基於cookie聲明（cookie banner）違反法國資料保護法（Act N°78-17 of 6 January 1978 on Information Technology, Data Files and Individual Liberties）裁罰微軟愛爾蘭分公司（Microsoft Ireland Operations LTD，下稱微軟）搜尋引擎Bing，並根據cookie蒐集資料間接產生的廣告收入、資料主題數量及處理的資料範圍定出6千萬歐元之罰鍰額度，且要求微軟應於3個月內限期改正，如逾期按日處以6萬歐元罰鍰。本案是繼2022年1月6日以來，CNIL以相同理由分別對Google與Facebook裁罰1.5億及6千萬歐元罰鍰後，再增1件科技巨頭因違法運用cookie遭受裁罰之案例。本案對我國隱私執法機關參酌於數位環境中，應就cookie聲明如何進行管理之理由與細節，具有參考價值。 　　而本案微軟之搜尋引擎Bing遭受裁罰之理由，主要可分為二面向： 　　一、未經使用者事前同意，逕於使用者設備中設置cookie 　　依法國資料保護法第82條規定，業者利用cookie或其他追蹤方式針對使用者終端設備上的資料進行讀取或寫入資料前，應盡告知義務並取得使用者同意。惟搜尋引擎Bing在使用者造訪網站時，未經使用者同意便設置一種具有安全及廣告等多種用途的cookie（MUID cookie）於其電腦設備，且當使用者繼續瀏覽網站時，將會另設置其他廣告cookie，然微軟亦未就此取得使用者同意。 　　二、拒絕設置cookie與給予同意之方式便利性應相同 　　在有效同意的標準與具體判斷上，由於搜尋引擎Bing的cookie聲明第一階層僅提供「接受」與「設定」兩類按鈕，並未提供「拒絕」按鈕，因此使用者同意或拒絕設置cookie之流程便利性有其差異，並未一致，如下說明： 　　（一）使用者同意設置cookie 　　如使用者同意設置cookie，僅需於cookie聲明的第一階層點擊「接受」按鈕，即完成設置。 　　（二）使用者拒絕設置cookie 　　若使用者欲拒絕設置cookie，需於cookie聲明的第一階層點擊「設定」按鈕；其後進入第二階層，使用者可於各類型cookie選擇開啟或關閉，再點擊「保存設定」按鈕，始完成設置。 　　是以使用者拒絕同意設置cookie與給予同意之方式，兩者的便利性並未一致。又因第二階層顯示默認未設置cookie，恐導致使用者誤以為網站並未設置cookie，故CNIL認為此種同意欠缺自願性而屬無效者。

　　英國數位文化媒體暨體育部（Department for Digital, Culture, Media and Sport, DCMS）2020年9月1日發布「數位身分：政府諮詢回應」（Digital Identity: Call for Evidence Response）文件，以回應過去英國政府曾於2019年7月向各界蒐集如何為成長中的數位經濟社會建立數位身分系統之意見。依據諮詢意見之成果，英國政府計畫調修現行法規，使相關身分識別流程以最大化容許數位身分之使用，並發展有關數位身分之消費者保護立法；立法中將特別規範個人之權利、如何賠償可能產生的侵害，以及設定監督者等相關內容。數位身分策略委員會（Digital Identity Strategy Board）並提出六項原則，以加強英國之數位身分布建與政策： 隱私：當個人資料被使用時，應確保具備相關措施以保障其保密性與隱私； 透明性：當個人身分資訊於使用數位身分產品而被利用時，必須確保使用者可了解其個資被誰、因何原因，以及在何時被利用； 包容性：當人們希望或需要數位身分時即可取得。例如不備有護照或駕照等紙本文件時，對於其取得數位身分不應產生障礙； 互通性（interoperability）：應設定英國之技術與運作標準，使國際與國內之使用上可互通； 比例性：使用者需求與其他因素（如隱私與安全）之考量應可平衡，使數位身分之使用可被信賴； 良好監理：數位身分標準將與政府政策與法令連結，未來之相關規範將更加明確、一致並可配合政府對於數位管制之整體策略。

　　在過去幾年，涉及無人機的事故發生頻率急遽上升，從2014年的6起事件至2017年增加到93起，根據英國交通部（The Department for Transport）研究顯示，重達400克的無人機可撞碎一架直升機的擋風玻璃、2000克無人機可嚴重損壞一架客機的擋風玻璃。為防止濫用無人機，保障大眾安全，英國交通部將提出更嚴格的規管措施，並於2018年7月26日起於網站上公開徵求意見，若通過將成為無人機法案（Drones Bill）草案的一部分。 　　擬議之規管措施包括：（1）設定小型無人機持有者之最低年齡；（2）賦予警察對於違規無人機之執法權力，如對於違規之無人機，即時開立罰緩處分；（3）使用新的反無人機技術（counter-drone technology）以保護公眾活動，確保國家關鍵基礎設施免受滋擾，並防止物品走私至監獄；（4）規定無人機操作員於無人機起飛前，透過應用程式（apps）提交飛行計劃。 　　無人機應用產業在未來十年將迅速成長，新措施之目的係為確保無人機之使用安全。交通部政務次長（Parliamentary Under Secretary of State for Transport）Baroness Sugg表示，無人機為社會和經濟帶來良好效益，為防止無人機造成的滋擾超過其潛在利益，將新增規管措施，並進行公開諮詢。 　　此外，從2018年7月30日起，禁止無人機飛行高度超過122公尺（400英尺），及不得於距離機場邊界1公里（0.6英里）內飛行之飛航令（Air Navigation Order）已正式施行，違反者將面臨高達2,500英鎊的罰金或處五年以下有期徒刑。

　　美國聯邦通訊傳播委員會(Federal Communications Commission, FCC )在2009年10月22日表決，一致同意開始進行對「網路開放」（Open internet）相關之規範。除了2005年所提出之前四項提議原則外版本外，FCC新提出兩項提議原則，尋求意見，共包含： 1. 確保網路使用人均可選擇網路服務及內容之自由； 2. 保護對合法網路應用和合法服務使用之權利； 3. 選擇於網際網路上使用設施（devices）之自由； 4. 網路提供業者（network providers）、應用提供業者（application providers）、服務業者（service providers）、和內容提供業者（content providers）者間之競爭關係； 5. 網路提供業者之管理措施，不得基於網路流量（traffic）而對之歧視（discriminate），但得基於顧客之利益采取相關管理措施； 6. 寬頻提供業者，需揭露網路管理措施之方案資訊，以及管理措施對使用者所造成之影響。 　　參議員John McCain 則表示，網路中立（Net neutrality）的原則，將會扼殺創意和傷害就業市場，該議員並提出網路自由法案（Internet Freedom Act of 2009），認為該法案使避免網路受到政府管控，並且允許持續的創新和創造更多高價值之就業機會。維持網路事業的自由，免於沉重的規範，將是對經濟最佳之刺激方式。 　　同時也有人質疑，FCC並非授權管理網路之機構，且其所訂定之原則，並未具有法規效力，無法強制執行，而FCC制定該原則之意義為何？但FCC則表示，已獲得政策原則執行之授權。