美國法院推翻過去電子郵件監視案件之判決立場

　　世界經濟論壇（World Economic Forum, WEF）於2022年6月29日發布《人工智慧公平性和包容性藍圖》白皮書（A Blueprint for Equity and Inclusion in Artificial Intelligence），說明在AI開發生命週期和治理生態系統中，應該如何改善公平性和強化包容性。根據全球未來人類AI理事會（Global Future Council on Artificial Intelligence for Humanity）指出，目前AI生命週期應分為兩個部分，一是管理AI使用，二是設計、開發、部署AI以滿足利益相關者需求。 　　包容性AI不僅是考量技術發展中之公平性與包容性，而是需整體考量並建立包容的AI生態系統，包括（1）包容性AI基礎設施（例如運算能力、資料儲存、網路），鼓勵更多技術或非技術的人員有能力參與到AI相關工作中；（2）建立AI素養、教育及意識，例如從小開始開啟AI相關課程，讓孩子從小即可以從父母的工作、家庭、學校，甚至玩具中學習AI系統對資料和隱私的影響並進行思考，盡可能讓使其互動的人都了解AI之基礎知識，並能夠認識其可能帶來的風險與機會；（3）公平的工作環境，未來各行各業需要越來越多多元化人才，企業需拓寬與AI相關之職位，例如讓非傳統背景人員接受交叉培訓、公私協力建立夥伴關係、提高員工職場歸屬感。 　　在設計包容性方面，必須考慮不同利益相關者之需求，並從設計者、開發者、監督機關等不同角度觀察。本報告將包容性AI開發及治理整個生命週期分為6個不同階段，期望在生命週期中的每個階段皆考量公平性與包容性： 1.了解問題並確定AI解決方案：釐清為何需要部署AI，並設定希望改善的目標變量（target variable），並透過制定包容性社會參與框架或行為準則，盡可能實現包容性社會參與（特別是代表性不足或受保護的族群）。 2.包容性模型設計：設計時需考慮社會和受影響的利益相關者，並多方考量各種設計決策及運用在不同情況時之公平性、健全性、全面性、可解釋性、準確性及透明度等。 3.包容性資料蒐集：透過設計健全的治理及隱私，確定更具包容性的資料蒐集路徑，以確保所建立之模型能適用到整體社會。 4.公平和包容的模型開發及測試：除多元化開發團隊及資料代表性，組織也應引進不同利益相關者進行迭代開發與測試，並招募測試組進行測試與部署，以確保測試人群能夠代表整體人類。且模型可能隨著時間發展而有變化，需以多元化指標評估與調整。 5.公平地部署受信任的AI系統，並監控社會影響：部署AI系統後仍應持續監控，並持續評估可能出現新的利益相關者或使用者，以降低因環境變化而可能產生的危害。 6.不斷循環發展的生命週期：不應以傳統重複循環過程看待AI生命週期，而是以流動、展開及演變的態度，隨時評估及調整，以因應新的挑戰及需求，透過定期紀錄及審查，隨時重塑包容性AI生態系統。 　　綜上，本報告以包容性AI生態系統及生命週期概念，期望透過基礎設施、教育與培訓、公平的工作環境等，以因應未來無所不在的AI社會與生活，建立公司、政府、教育機構可以遵循的方向。

日本專利法中舉發和異議制度之沿革及現況 資策會科技法律研究所 法律研究員　蘇彥彰 104年11月30日 　　日本於2014年基於「促進創新以催生優秀技術和商品，作為產業競爭力的源頭」之目的，在兼顧國際化和中小企業使用需求的前提下，就整體智慧財產法制包括發明專利法（特許法）、新型專利法（実用新案法）、設計專利法（意匠法）、商標法、國際專利申請法、專利師法等進行相當程度的修正，而其中專利法的修正重點之一為重新建立專利[1]的異議程序，並修正原有舉發程序之主體資格。由於日本產業種類和專利法制均與我國相近，其產業界對於專利之運用策略亦為值得我國業者參考之對象[2]，因此我國對於日本在相隔超過十年後再次恢復異議程序，使專利撤銷重新回歸異議和舉發雙軌制度之修正背景和具體作法，應有進行了解之必要。 一、日本專利撤銷制度沿革 　　日本於2003年時，基於以下原因[3]，廢除了原已實行超過80年的專利異議制度，將異議制度的功能整合於專利舉發制度中： (1)異議和舉發在制度設計上的區別性不足，以致於實務上同樣都被視為解決私權紛爭的方式； (2)當時的異議制度，在過程中並未能充分給予異議人具夠的意見表達機會，使整體異議人對處理結果滿意度低落； (3)異議和舉發實際上常同時繫屬於專利廳（特許庁），且由於制度結構不同無法合併處理；又或者異議人在異議被駁回後再提出舉發，造成紛爭解決時程的拖延，增加當事人之負擔且不利專利之安定性。 　　然而日本廢除異議程序後發現，以言詞審理為原則的專利舉發程序，對於當事人間的人力、時間、金錢負擔較過去異議程序為大，尤其對於非都會區的使用者，或是偏向研發而不進行製造的大學單位更不易進行運用，造成專利撤銷制度的受使用數下降。如此一來雖然短時間內專利核准數量和速度可因而提昇，但長此以往恐將增加有瑕疵的專利在市場上存在和流通的可能性，而更令日本方面憂心的是若事業者於獲得專利後已大舉進行投資，經過相當時日與競爭者間發生侵權糾紛後才被專利廳或法院認定專利無效，將可能對事業造成致命的損害[4]。因此在商業活動全球化，國際專利也透過專利高速公路而加快取得速度的現在，提高專利權安定的必要性也與日俱增。 　　基於上述背景，日本於2014年修正之專利法中，重新納入了異議制度，允許任何人（包括利害關係人及其他第三人在內），在專利公告後六個月內以不符專利要件、不符權利互惠原則、不應核發專利之發明、重複核發專利、欠缺說明書支持等涉及公眾利益之理由，向專利廳聲明異議並進行書面審查。若專利廳審查後初步認定異議有理由，將向專利權人發出撤銷理由通知，專利權人則可在縮限專利申請範圍、訂正誤記誤譯、就不明瞭記載進行釋明等不使專利範圍擴大的前提下，提出專利內容的更正；另一方面，異議人也可就專利廳的撤銷理由通知以及專利權人的更正請求提出意見書。此作法除可有效落實異議制度提昇專利品質、排除不適當專利外，亦可提高異議人對於異議結果的滿意度；此外在恢復異議程序的同時，新制也針對舉發程序進行修正，將發動舉發程序的權利主體限於利害關係人。 二、修正後日本專利異議和舉發程序分析 　　修正後的日本專利法，針對已公告核准的專利權再次設有異議和舉發兩道事後審查程序 　　(1)異議程序[5] 　　異議程序之目的在於就已成立之專利權儘早進行內容檢討修正，因此除限於公告後六個月內提出、異議理由限於與公眾利益有關之事項外，並採取完全書面審查方式，以加快審查速度且減低程序上支出。若專利廳認為異議有理由並撤銷專利時，專利權人可向高等智財法院起訴尋求救濟，但若專利廳認為異議無理由時，異議人不得聲明不服。附帶一提，雖然異議人具備利害關係人身份時可另行發動舉發程序，但就制度設計目的和精神而言，舉發並非異議結果之救濟程序。 　　(2)舉發程序 　　相較於以公益為目的之異議程序，修法後舉發程序之目的更加明確導向解決當事人間的具體權利紛爭。新制下，舉發主體限縮為利害關係人，但相對在時點方面，則容許於專利公告後任何時點提出（包括專利權期滿消滅後），理由亦不限於公眾利益事項，包括專利權人實際上並非專利申請權人之權利歸屬事項在內亦可作為舉發之理由，且審查過程以言詞審查為原則，若當事人對舉發結果不服，無論權利人或舉發人，均可向高等智財法院起訴尋求救濟。 三、小結：對我國專利撤銷制度之啟發 (1)以舉發程序取代異議程序之成效似乎有限 　　我國於2003年修正專利法之規定，廢除異議制度，整合原有異議與舉發之法定事由，期望能簡化程序並使權利及早確定[6]。 　　然而如同日本方面經過統計後得知，其國內舉發案件量在異議程序廢除前後幾乎沒有區別。若分析我國智慧財產局自1996年至2014年所進行之專利統計資料後可發現，1996年至2003年間每年約有近2000件異議案件及600餘件之舉發案件提出，自2004年起，異議案件提出量當然完全歸零，但舉發案件之數量雖在初期大量增加，隨後便如同日本情形，舉發案件量呈現快速減少之趨勢，近兩年已回歸2003年異議程序廢除前每年約600餘件之舉發量[7]。在異議案件量完全歸零，而舉發案件量無明顯成長的情況下，原本以舉發程序取代異議程序之目的是否有效達成，實不無疑問。 (2)區別權利主體設計不同的專利撤銷制度 　　與日本較強調當事人間紛爭解決功能、強化當事人程序上保障、甚至專利法中明文準用民事訴訟法上證據調查之相關規定[8]相比，我國舉發制度或因從職權撤銷專利權制度逐步補充而形成，故較著重於原處分之糾正和撤銷不合法之專利權，對當事人紛爭解決的關注度程度較低[9]。 　　就此，近來即有實務意見指出，公眾審查制度的設計可依請求審查對象區分為任何人（不包含專利權人）與利害關係人兩種。其中，不涉及利害關係的第三人僅能在專利公告後一段期間內提出無效請求，而利害關係人只要在專利權存續期間均能提起無效請求，甚至在專利權消滅後亦能提出，使得無效爭議案件集中限制在現行涉訟優先審查的專利舉發案，如此可促使專利無效案件審查的加速化、高品質化。且無論該專利無效爭議案件的審理結果是否確定，均可作為智慧財產法院在審理專利有效性的依據，使得第一次判斷權回歸至專利專責機關。同時，也能保障專利權人的救濟機會與審級利益[10]，此一意見實與日本2014年專利法之修正方向一致。我國在專利法制研擬上或可參考之，就專利撤銷制度以權利主體和程序目的為出發點，再次進行類型化的區分。 [1] 和我國將發明專利、新型專利、設計專利均置於單一「專利法」中規範的作法不同，日本的「特許法」、「実用新案法」、「意匠法」均為個別獨立之法規，故本文中之所稱「專利」均係指我國之「發明專利」，不包括「新型專利」和「設計專利」在內。 [2] 莊榮昌，〈從日本企業的立場看專利無效審判〉，《專利法制與實務論文集（95年）》，頁545（2007）。 [3] 高畑豪太郎，《新・特許異議申立制度の解説―平成26年特許法改正―》，経済産業調査会，初版，頁37（2014）。 [4] 同前註，頁5。 [5] 「特許異議の申立」規定於2014年修正後日本專利法第113條以下。 [6] 〈歷年專利相關法規〉，經濟部智慧財產局，https://www.tipo.gov.tw/fp.asp?fpage=lp&ctNode=6678&CtUnit=3205&BaseDSD=7&mp=1（最後瀏覽日：2015/12/14） [7] 〈歷年統計〉，經濟部智慧財產局網站，https://www.tipo.gov.tw/lp.asp?ctNode=6721&CtUnit=3231&BaseDSD=7&mp=1（最後瀏覽日：2015/09/25） [8] 特許法（昭和三十四年四月十三日法律第百二十一号）第百五十一条「第百四十七条並びに民事訴訟法第九十三条第一項 （期日の指定）、第九十四条（期日の呼出し）、第百七十九条から第百八十一条まで、第百八十三条から第百八十六条まで、第百八十八条、第百九十条、第百九十一条、第百九十五条から第百九十八条まで、第百九十九条第一項、第二百一条から第二百四条まで、第二百六条、第二百七条、第二百十条から第二百十三条まで、第二百十四条第一項から第三項まで、第二百十五条から第二百二十二条まで、第二百二十三条第一項から第六項まで、第二百二十六条から第二百二十八条まで、第二百二十九条第一項から第三項まで、第二百三十一条、第二百三十二条第一項、第二百三十三条、第二百三十四条、第二百三十六条から第二百三十八条まで、第二百四十条から第二百四十二条まで（証拠）及び第二百七十八条（尋問等に代わる書面の提出）の規定は、前条の規定による証拠調べ又は証拠保全に準用する。」 [9] 蔡鴻仁，《發明專利舉發之研究》，輔仁大學法律學研究所碩士論文，頁22至23（2004）。 [10] 陳政大，〈我國專利公眾審查制度之調整初探〉，廣流智權事務所，http://www.wipo.com.tw/wio/?p=4316（最後瀏覽日：2015/09/30）

再訪資料跨境流通政策與法制 資訊工業策進會科技法律研究所 2022年03月25日 壹、事件摘要 　　資訊科技與創新基金會[1]（Information Technology and Innovation Foundation, ITIF）於2021年7月發布「跨境資料流通障礙如何在全球層次擴散」（How Barriers to Cross-Border Data Flows Are Spreading Globally）報告，指出近四年內國際間個別國家生效的資料在地化措施增加一倍以上。惟設置資料流通障礙對於一國經濟會產生重大影響，將嚴重削減其貿易總量，依ITIF根據經合組織（Organisation for Economic Cooperation and Development, OECD）市場監控數據計算，一國對資料流通之限制每增加一項，將影響總體貿易輸出達七個百分點，連帶使生產力下降，下游供應鏈的成本亦將上漲[2]。 　　在2020年後，因疫情造成之實體阻隔的影響，加深各方運用數位與資訊科技之力道，資料更被視為戰略性資源，各國如何對資料加以運用與掌握，不僅對數位經濟發展有正相關，更可能與國家整體安全其他面向相互連結（如國防、財務與資訊安全等）。追蹤研析各國程度與類別不同的資料在地化政策法制，資料流通限制之方式或可區分為三種模式：（1）由國家規範或限制特定類型資料傳輸境外的條件。各國常見的限制類型包括個人資料、財務／稅務／金融資料、交易支付資料（payment data）、地圖地理空間資料、健康與基因資料、政府紀錄與雲端服務（government records & cloud services）、傳統電信與網際網路通訊服務的用戶資料與內容、資通訊技術與電信資料、公共部門在地雲端（public local cloud）資料、非個人資料（non personal data framework）等。（2）以不確定法律概念限制資料傳輸標的與範圍。各國對資料流通限制越來越寬泛和模糊，動輒以「敏感」（sensitive）、「重要」（important）、「核心」（core）或與國家安全（national security）等不確定法律概念框定所欲限制的資料範圍，但這些限制往往對商業性資料流通造成重大影響。（3）以事實上資料在地化手段替代法制規範。此因個別國家或組織政策使資料傳輸因過程變得複雜、昂貴和不確定，導致企業基本上已無其他選擇，事實上僅能將資料儲存在本地，否則將面對巨額罰款，其他事例尚有對個人資料傳輸要求須得當事人明確之同意，以及要求資料傳輸前須有特別之授權[3]等。 　　歸納上述資料流通限制型態後，本文進一步探討各國對資料跨境流通與資料落地議題之處理態度，更新近期中國大陸、俄、美、歐盟、印度及其他重要國家所採取之政策與立法，期為我國未來掌握資料流向及規劃在地化措施預做準備。 貳、重點說明 　　目前國際間對於資料在地化之立場不一，除少數國家對於資料在地化採取較全面性之要求、較高強度之立法外，大部分國家僅針對特定種類資料要求資料在地化，以下依國別與要求強度進行歸類與評析。 （一）高強度資料在地化要求：中國大陸與俄羅斯 1.中國大陸 　　觀測國家中，資料在地化措施管理強度最高者應屬中國大陸與俄羅斯。就中國大陸而言，其直接明確在地化的法律規定如2017年《網路安全法》第37條，要求關鍵資訊基礎設施的營運者應將其在中國大陸境內蒐集和產生的個人資料與重要數據儲存於中國大陸境內。近二年中國大陸採行資料在地化之範圍逐漸擴大，其涵蓋範圍除早期係以個人資料為範圍[4]，後續則涉及如金融稅務資料、支付資料、地理位置資料、健康與基因資料、政府紀錄與雲端服務資料、電信通訊資料等非僅限於個人資料之範圍，而依2021年之《數據安全法》第21條與31條，政府甚至有權定義何謂「重要數據」，並對境內營運中心蒐集和產生的重要數據制定其得否流出境外的安全管理機制，顯見中國大陸對於資料在地化之考量多出於維護國家安全之目的，近年更高舉維繫其數位主權的旗幟以強化其法制措施背後的論述，並以強大的科技監控能力為擔保，確保該國國家法令的落實。 2.俄羅斯 　　俄羅斯近年對於資料在地化措施之要求有逐漸增強之趨勢，規範密度雖未如中國大陸嚴格，但亦屬於高強度之國家，規範要求之資料種類從個人資料擴及金融稅務、電子支付資料、政府紀錄與雲端資料，乃至電信網路資料等。除要求個人資料之營運商應將處理及儲存俄羅斯公民個人資料之伺服器設置於俄羅斯境內，並向俄羅斯政府報備該伺服器之位置外，另要求每日流量超過一定數量之IT營運商應在俄羅斯建立分支機構或代表處，代表其母公司接受主管機關的管制，並規定強制執行的措施，如禁止蒐集個資、跨境傳輸個料與限制資訊使用等[5]。 　　中國大陸與俄羅斯因其國家體制屬性，其資料在地化法制規範與執行措施有其特定背景，往往出於國家安全整體性考量所為，但由於較不符民主憲政國家所施行之法治國原則（包括比例原則）等憲法核心要求，僅作為了解對象而較不具直接參考價值。 （二）中度資料在地化要求：美、歐、印、澳 1.美國：針對國防與稅務資料 　　美國因其對自由貿易的立場，加上對該國產業而言資料流通最符合該國的產業利益所在，故對於資料的限制與保護要求最為寬鬆，僅在涉及國防[6]與稅務[7]特定領域資料時，聯邦之行政規則層級有資料在地化之規定，要求資料存放於美國境內，除此之外則交由各州個別規範之。 2.歐盟：針對個人資料 　　歐盟利用強化網路基礎建設的政策措施，採取誘導性作法建立可信任架構，使企業更有意願使用歐盟自身的資料與服務，可認為是資料在地化的軟性誘因[8]。此外，基於其一貫維護基本價值、保護個人資料的立場，對於跨境傳輸規範較為謹慎。歐盟於2018年施行GDPR以來，對資料跨境傳輸之限制採取原則禁止、例外許可的立法模式，雖無資料在地化之名，卻已經造成事實上的資料在地化結果。加上Schrem II案判決[9]後的發展，適用新版「標準契約條款」（Standard Contractual Clauses, SCCs）對於個人資料之跨境傳輸採取高標準之適足性規範[10]，令歐盟GDPR有可能變為世界上最大的事實上（de facto）資料在地化框架[11]。另外，從歐盟近來主張數位主權的觀點，這樣的狀況似乎亦合乎歐盟的主張，但這樣的趨勢否有益於對經濟流通與發展，將是未來觀察重點。 3.印度：針對敏感性與關鍵性資料 　　就印度部分，印度國會於2021年12月16日通過新修正個人資料保護法（Data Protection Bill, 2021）[12] ，原2019年時法案修正內容曾要求將所有個人資料（或至少一份副本）儲存於印度境內，但通過之新法則未再做此要求。修法方向的改變推測受西方國家影響而對資料在地化的政策有所緩和，但在法律分類上的敏感性個人資料（類似我國個資法之特種資料）與關鍵性個人資料（由中央政府所指定之資料種類）方面，則運用法律中的不確定法律概念，讓主管機關掌握較大裁量空間，決定何種資料可予在地化限制，形同擴大資料管控的範圍，甚至可泛稱出於國家安全考量，即可限制資料的傳輸、在地。由此觀之，印度對於資料在地化政策，其限制措施在其個人資料保護法新近修正後也朝向擴大的趨勢[13]。 4.澳洲：針對個人醫療資料 　　就澳洲部份而言，因考量到健康資料的高度敏感性，其針對健康資料採在地化政策，，目前規範電子健康紀錄資料庫系統內的資料不得在境外持有及處理[14]。 （三）其他國家 　　而本研究觀察的其他國家目前仍採取較為謹慎保守之立場，且立法動機較為分歧，如加拿大針對國家公共機構資料採取流通限制強度較高之要求態度[15]，但因受COVID-19影響有暫緩實施的狀況[16]。德國出於課稅原因要求業者留存會計紀錄於境內，或於可線上下載情形下得放置於境外[17]；法國則對於中央與地方政府機關之資料要求應儲存於境內[18]。總體而言，各國的立法背後考量，大體係有明確並更亟欲保護之法益和目的，但亦觀察到較為特別的發展，即歐盟資料傳輸政策似乎有逐漸從自由流通走向事實上在地化的狀況，甚至有提升為主權層次議題的可能，值得再予關注。 （四）世界及區域貿易協定：傾向資料自由流通 　　就世界及區域貿易協定部分，檢視「跨太平洋夥伴全面進步協定」（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）[19]、「服務貿易協定」（Trade in Services Agreement, TiSA）[20]、「美加墨協定」（United States-Mexico-Canada Agreement）[21]以及「亞太經濟合作」（Asia-Pacific Economic Cooperation,下稱APEC）之《APEC隱私保護綱領》（APEC Privacy Framework）[22]，因貿易協定側重於國際貿易之發展，儘可能排除任何有礙貿易發展之障礙，故而其多強調資料之流通性，並以自由流通為原則。然近年因資安與隱私保護之觀念日益受到重視，故而轉為要求一定保護機制作為資料跨境傳輸之前提，雖然可能造成事實上的障礙，但整體而言國際間的貿易交流對於資料仍是採取自由流通之較開放立場，未見任何資料在地化之高強度要求。我國近期積極申請參與談判的CPTPP與TiSA，可看出參與談判的國家多半傾向不恣意限制資料的跨境流通，也傾向不任意規範外國服務者須在當地設置相關的電腦設備，CPTPP更是明訂除基於正當公共政策目標外，不得將資訊服務設施在地化列入於會員國境內執行業務之必要條件，我國將來如欲爭取加入，應確保這些國際義務的遵行。 參、事件評析 　　系統化觀察與分析上述國際間主要國家規範性主張之資料在地化法制政策，以及國際層級區域貿易協定與資料在地化相關之重要規定，可發現歐盟、澳、美、加針對特定類型資料，如個人醫療資料、稅務金融資料，或國家公共資料的跨境傳輸政策或資料在地化採取較強之要求，印度則出於國家安全考量亦有較強資料在地化之要求。至於相關國際與區域貿易協議雖傾向資料自由流通原則，各國談判則仍在進行中。 　　參考以上國際間相關法制或政策，建議我國在考量整體性資料跨境傳輸政策時：（一）可優先找出我國亟需保障的利益何在（如我國關鍵的半導體產業），並檢視其在整體產業鏈與供應鏈上的角色與定位，由此思考應採取何種模式（歐、美）的管制方式與強度。（二）確認要保護的核心利益後，可再檢視立法目的究為保護公民的隱私、確保執行機關執行公權或調查證據、保護國家安全、強化經濟成長跟競爭力、或建立公平的遊戲規則，以決定相應不同強度的資料控制手段（如單純禁止、有條件禁止到僅要求儲存副本於本地等態樣），建立起層級化規範架構。短期內建議我國或可再就資料傳輸原則予以檢視，例如現行個人資料保護法採取原則流通，例外禁止的方針是否需要變易。其次，資料傳輸與資料在地化政策法制相關規範，或可優先以金融支付資料、健康基因資料等高度敏感資料為主，基於特定部門產業之監理或數位國土、國家安全等原因，而針對性地要求採取在地化措施，並將資料類型化，針對不同屬性之資料採取不同規範標準。 [1] 資訊科技與創新基金會（ITIF）是美國非營利性公共政策智庫，總部位於華盛頓特區，研究主題專注於有關工業和技術的公共政策。美國賓州大學截至2019年為止都將ITIF列為世界上最權威的科學和技術政策智庫。ITIF， https://itif.org/（最後瀏覽日：2021/12/25）。 [2] 從該報告顯示中國大陸是對資料限制最多的國家，相關措施達29項，其次為印尼、俄羅斯與南非，其經濟均因而受影響，參考Nigel Cory & Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 2021, at 4, https://itif.org/sites/default/files/2021-data-localization.pdf (last visited Dec. 25, 2021). [3] id. [4] 中國人大網，〈中華人民共和國個人信息保護法〉，2021/08/20，http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml（最後瀏覽日：2021/12/25）。 [5] Russian Federal Law No. 242-FZ, https://pd.rkn.gov.ru/authority/p146/p191/ (last visited Mar. 03, 2021). [6] Defense Federal Acquisition Regulation Supplement: Network Penetration Reporting and Contracting for Cloud Services(DFARS Case 2013– D018), 81 Fed. Reg. 72986, 72999(Oct. 21, 2016).(to be codified at 48 C.F.R. pt. 239). [7] INTERNAL REVENUE SERVICE, Tax Information Security Guidelines for Federal, State and Local Agencies 95 (2016). [8] Gaia-X, Gaia-X European, https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html (last visited Mar. 03, 2021). [9] Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CA0311 (last visited Mar. 03, 2021). [10] 歐盟法院（Court of Justice of the European Union）於2015年Schrems I案判決歐盟執委會「安全港隱私準則」（Safe Harbour Privacy Principles）失效後，歐盟執委會雖於2016年以第2016/1250號決定認可美國提出之「隱私盾架構」（EU-US Privacy Shield Framework），對於跨境傳輸有更嚴謹之規範，但其後的Schrems II案，經歐盟法院於2020年7月以判決宣告該隱私盾架構無效，其中理由除美國政府對外國人個資之監管與近用不符合比例原則外，美國法制架構亦無提供適當之救濟手段，令權利受侵害之人得以獲得賠償。惟歐盟法院對歐盟執委會通過第2010/87號決定之「標準契約條款」，則認為已納入有效之保障機制；倘資料傳輸方或接受方未能遵守SCCs或缺乏歐盟法律所要求之保護程度，歐盟主管機關可命令暫停或停止相關傳輸，因此仍肯認「標準契約條款」之有效性。但SCCs始終無法解決美國法欠缺法律救濟之爭議，故而歐盟法院採取較保留態度，另要求締約國之企業應確保資料接受方所在之各國法規可提供符合歐盟個資法保護相關規範之保護水準，並建議採取「補充措施」以保護跨境傳輸之資料，其後，歐盟執委會於2020年底以（EU）2021/914號執行決定（Implementing Decision）發布的新版SCCs取代舊版條款。see Cross Border Transfer Master Class: Onward transfers from a US controller to a processor that is outside of the US and the EEA, NATIONAL LAW REVIEW, Dec. 24, 2021, https://www.natlawreview.com/article/cross-border-transfer-master-class-onward-transfers-us-controller-to-processor (last visited Dec. 25, 2021). [11] Nigel Cory, How ‘Schrems II’ Has Accelerated Europe’s Slide Toward a De Facto Data Localization Regime, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 8, 2021, https://itif.org/publications/2021/07/08/how-schrems-ii-has-accelerated-europes-slide-toward-de-facto-data (last visited Dec. 25, 2021). [12] The Data Protection Bill, TRILEGAL, Dec. 24, 2021, https://trilegal.com/knowledge_repository/the-data-protection-bill-2021/ (last visited Dec. 25, 2021). [13] The Personal Data Protection Bill(2018), MINISTRY OF ELECTRONICS & INFORMATION TECHNOLOGY, GOVERNMENT OF INDIA, https://www.meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf (last visited Mar. 03, 2021). [14] Stronger My Health Record privacy laws, AUSTRALIAN DIGITAL HEALTH AGENCY, Nov. 26, 2018, https://www.myhealthrecord.gov.au/about/legislation-and-governance/summary-privacy-protections (last visited Dec. 25, 2021). [15] Freedom Of Information And Protection Of Privacy Act § 30(1)(1996), BRITISH COLUMBIA, https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/96165_00 (last visited Mar. 03, 2021). [16] Ryan Berger & Cory Sully, BC Government Relaxes “In Canada Only” Data Hosting Requirements for Public Bodies Due To COVID-19, PRIVACY, Mar. 30, 2020, https://www.lawsonlundell.com/change-your-privacy-settings-here/bc-government-relaxes-in-canada-only-data-hosting-requirements (last visited Dec. 25, 2021). [17] Handelsgesetzbuch (HGB) § 257(2020). [18] Martina F Ferracane, Restrictions on cross-border data flows(2017), EUROPEAN CENTRE FOR INTERNATIONAL POLITICAL ECONOMY (ECIPE), at 14, https://www.econstor.eu/bitstream/10419/174853/1/ecipe-wp-2017-01.pdf (last visited Dec. 25, 2021). [19] 「跨太平洋夥伴全面進步協定」（CPTPP）簡介，中華民國外交部，https://www.mofa.gov.tw/cp.aspx?n=2613（最後瀏覽日：2021/12/15）。 [20] Trade in Services Agreement (TISA), FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND CLIMATE ACTION, https://www.bmwk.de/Redaktion/EN/Artikel/Foreign-Trade/tisa.html (last visited Mar. 03, 2021). [21] United States-Mexico-Canada Agreement, OFFICE OF THE UNITED STATES TRADE REPRESENTATIVE[USTR], https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement (last visited Mar. 03, 2021) [22] APEC Privacy Framework (2015), APEC,https://www.apec.org/publications/2017/08/apec-privacy-framework-(2015) (last visited Mar. 03, 2021).

　　近來國際間許多國家投入智慧商業及智慧消費之發展，為兼顧保障個人資料權利前提下，鼓勵產業界從事商業創新，英國商務創新技術部（Department for Business, Innovation & Skills）於2013年7月宣布促成「Midata創新實驗計畫平台」（midata innovation lab），由英國政府、企業界、消費者團體、監管機構和貿易機構共同組成，此為示範性自律性組織，參與之業者/機構於應消費者要求（consumer’s request）情形下，將所擁有消費者資料，特別是交易資料（transaction data），以電子形式及機器易讀取形式（electronic, machine readable format）對「我的資料」（Midata）體系公開（release）；並且，將可更便利消費者利用這些資料瞭解自己的消費行為，在購買產品和服務時可以做出更為明智的選擇。 　　英國商務創新技術部係於2011年4月，開始提出所謂「Midata計畫」：於「更好選擇；更好交易環境；提昇消費者權力」政策（Providing better information and protection for consumers），宣示推動「Midata計畫」，作為提昇資訊力量（power of information）重要策略。為積極推動，「Midata計畫」，並協助產業界能有更詳細遵循指引，於2012年7月公告「Midata政府產業諮詢報告」（midata: government response to the 2012 consultation），同年12月出版「Midata隱私影響評估報告」 （midata: privacy impact assessment report）。 　　為配合上述政策施行，由產業界、組織、政府機構所共同組成的「Midata創新實驗計畫平台」（midata innovation lab），已開始展開運作。此平台認為，近來越來越多實務情形證明，個人資料對於企業而言已被視為日漸重要的資產，並且未來將成為提供更個人化、多元化之產品服務之重要基礎。倘若能在確保消費者個人資料相關權利之前提下，促成產業界積極投入發展，以「我的資料（Midata）創新實驗計畫」為運作平台，對於企業所持有個人資料，兼顧企業與消費者原則共同獲益，將可因應趨勢取得商業先機。 　　以英國商務創新技術部規劃政策，前期試行推動先以「核心產業」（core sectors）（金融產業、電信產業、能源產業）為導入適用，待實施具一定成效後，將延伸推廣至其他產業領域（non-core sectors），而後也將由現行初期以產業自律性參與計畫模式，進展至以法令規範強制實施的階段。