數位內容傳輸新服務：推動數位內容產業的另一個面向

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日 　　歐盟執委會(European Commission，以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1]，旨在說明歐盟執委會將如何透過資料治理及相關政策，轉型為資料驅動型組織(data-driven organization)，並提供一致的方向或原則，促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的 　　「促成歐洲適應數位時代，並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展，透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術，「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度，首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理，有助於此願景之達成。 　　因此，執委會提出「資料治理與資料政策」，建立執委會統一的資料治理架構與政策原則，幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時，執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程，改善資料品質，提升資料管理及共享之效率。 貳、內容摘要 　　「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集，包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上，則導入「遵守或解釋」(comply-or-explain)原則，除非法律明示規定為選擇性適用，否則執委會轄下相關部門機構皆需遵守；倘未遵守，則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理 　　主要目的在建構執委會統一的資料治理架構，釐清相關角色的責任與相互依賴關係。依角色與任務的不同，執委會將資料治理分為三層級，並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 （一）策略層級(strategic level) 　　由資訊管理指導委員會(Information Management Steering Board, IMSB)，處理資料治理與資料政策相關議題，界定長期推動願景、提供政策方向、監督推動與執行之進程，並作出策略決定。 （二）管理階層(managerial level) 　　由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board)，以及策略層級就各資料集所指定之資料擁有者(data owner)，依策略層級所提出之願景與政策方向，在各處建立並執行資料政策、監督執行進度，並向策略層級報告執行進度及任何超出其決策權限之問題。 （三）運作階層(operational level) 　　由資料擁有者選出或指派資料管理員(data steward)，並與資料利用者(data user)實際執行資料政策，必要時將相關議題提到管理層級解決。 二、資料政策 　　就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向，建立上位原則。 　　其中關於「資料管理」部分，又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則，故執委會轄下相關部門機構在建立、蒐集或取得資料之前，需探詢必要資料或資訊是否已存在，避免重複取得。主要需求資料集的部門機構，應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面，除非歐盟相關的執委會決定、指令或規則另有規定[3]，否則以「需要共享」(need to share)或「預設共享」(share by default)為原則，並使用一致化的資料管理與視覺化工具或資料平台。 　　針對「資料互通性與標準」與「資料品質」兩部分，著重在執委會內部的共通一致性，包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面，則強調「歐盟機關個人資料保護規則」[4]相關義務，以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析 　　觀察歐盟執委會的「資料治理與資料政策」，可知其資料治理架構與相關政策，是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則，更從組織管理角度，界定不同單位或角色的任務與責任，並凸顯資料治理管理組織的建構，對資料政策執行之重要性。 　　我國政府長期致力於數位國家之發展，在政府資料開放政策推動上已有不少成果，例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量，建議未來可進一步完善政府資料治理構面，兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向，借鏡歐盟執委會之作法，確立資料共享再利用之管理架構及原則，提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等，有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。

　　日本在2019年6月14日正式施行「確保表演入場券流通正當性之禁止不當轉賣特定表演入場券相關法律」（特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律），簡稱票券不當轉賣禁止法（チケット不正転売禁止法），其以訂立專法之方式，來防止黃牛業者先大量取得票券，再以賺取高額差價之方式牟利。其重點包括： 禁止行為：(1)不當轉賣票券；(2)以不當轉賣為目的而讓售票券。 適用範圍：在日本國內所舉行，且得為不特定多數人得共聞共見之電影、歌劇、舞台劇、音樂、舞蹈及其他藝術或體育活動。 票券應記載事項： (1)發行人在販售時明確表示，禁止未經發行人同意而進行買賣轉讓，並應將禁止事項記載於票券上；(2)舉行表演之時間、地點及具入場資格者之指定座位；(3)發行人在販售時，需採取確認入場者或購票者之姓名和聯繫方式等必要措施，並應將確認事項記載於票券上。 不當轉賣定義：以有償轉賣未得票券發行人事前同意轉讓之票券為業，並以超過售價之價格進行販賣。 　　日本政府並針對2019年9月份在日本所舉辦之橄欖球世界杯及2020年在東京所舉辦之奧運會加強宣導該法令。我國熱門活動、演唱會也常面臨黃牛掃票，再高額轉售之問題。日本之立法模式，不失為我國參考借鏡之對象。

COVID-19疫情後美國開始積極處理藥品供應鏈脆弱性，為提振本土製造與審查效率，美國食品及藥物管理局(Food and Drug Administration, FDA)於2025年6月17日宣布將試辦「局長國家優先審查券」(Commissioner’s National Priority Voucher, CNPV)。該計畫依據《聯邦食品、藥品與化妝品法》(The Federal Food, Drug, and Cosmetic Act, FFDCA)與《公共衛生服務法案》(Public Health Service Act, PHSA)授權。CNPV將不同審查分組集中處理，並結合資料預先提交機制，力求將一般10-12個月的審查流程壓縮至1-2個月，試辦期為一年，並與現行優先審查及優先審查券(Priority Voucher, PRV)機制獨立並行。 內容要點： 1.遴選資格：符合任一「國家優先」標準之廠商 因應公衛危機：如廣效疫苗開發 帶來潛在的創新療法：超越突破性療法認定成效的新型療法 解決未滿足公共衛生需求：如罕病或缺乏療效標準治療之疾病 提升美國供應鏈韌性：如將藥品研發、臨床、生產遷至美國 提高可負擔性：將美國藥價降至最惠國藥價，或減少下游醫療費用 2.使用與要求： 適用階段：可於申請臨床試驗或申請藥證等階段啟用，亦可先領「未指名券」保留資格。 文件要求：需提前60天提交完整藥品化學製造與管制(Chemistry, Manufacturing, and Controls, CMC)與仿單預審，如遇重大缺件FDA得延長審查期限。 有效性：2年內使用，逾期失效；不可轉讓，但併購案中可沿用。 CNPV透過團隊同日決策，有望在FDA人力縮減背景下縮短審查時程。並強調國家利益，可能優先惠及具戰略價值及在美投資的大型藥廠；對我國優化藥品審查流程與吸引製造投資等目標，亦具重要參考價值。