數位內容傳輸新服務：推動數位內容產業的另一個面向

　　掌管網域名稱規則的組織—ICANN，於2008年6月底透過總裁Paul Twomey表示，其將計畫提出新的通用型網域名稱（Top-level domains, “TLD”），以為增加網域名稱的選擇性做準備，並且讓想透過網域名稱表現自我的使用者，有更多選擇模式。目前為止，網域名稱使用者可選擇的通用型網域名稱限於21種，例如.com、.org、.info等。   　　根據ICANN新的規劃，申請新的通用型網域名稱者，可以自己選擇其網域名稱，並且進行登記。所有的新申請者不但可以專屬使用其所選擇的網域名稱，也可以將該網域名稱透過登記移轉來進行買賣。   　　從ICANN的聲明來看，其預估申請者將會以群組做為主要的選擇，例如現有旅遊業者的.travel，另外以城市作為通用型網域名稱的需求也相當高，例如.nyc、.paris。   　　ICANN目前計畫限定一個期間來接受全世界的團體來申請通用型網域名稱，預估第一輪的申請期限截止後，ICANN將會透過預計9個月的評選程序，來處理所有的通用型網域名稱申請。目前ICANN的新計畫預計於2009年第二季開始接受申請。

　　近來國際間許多國家投入智慧商業及智慧消費之發展，為兼顧保障個人資料權利前提下，鼓勵產業界從事商業創新，英國商務創新技術部（Department for Business, Innovation & Skills）於2013年7月宣布促成「Midata創新實驗計畫平台」（midata innovation lab），由英國政府、企業界、消費者團體、監管機構和貿易機構共同組成，此為示範性自律性組織，參與之業者/機構於應消費者要求（consumer’s request）情形下，將所擁有消費者資料，特別是交易資料（transaction data），以電子形式及機器易讀取形式（electronic, machine readable format）對「我的資料」（Midata）體系公開（release）；並且，將可更便利消費者利用這些資料瞭解自己的消費行為，在購買產品和服務時可以做出更為明智的選擇。 　　英國商務創新技術部係於2011年4月，開始提出所謂「Midata計畫」：於「更好選擇；更好交易環境；提昇消費者權力」政策（Providing better information and protection for consumers），宣示推動「Midata計畫」，作為提昇資訊力量（power of information）重要策略。為積極推動，「Midata計畫」，並協助產業界能有更詳細遵循指引，於2012年7月公告「Midata政府產業諮詢報告」（midata: government response to the 2012 consultation），同年12月出版「Midata隱私影響評估報告」 （midata: privacy impact assessment report）。 　　為配合上述政策施行，由產業界、組織、政府機構所共同組成的「Midata創新實驗計畫平台」（midata innovation lab），已開始展開運作。此平台認為，近來越來越多實務情形證明，個人資料對於企業而言已被視為日漸重要的資產，並且未來將成為提供更個人化、多元化之產品服務之重要基礎。倘若能在確保消費者個人資料相關權利之前提下，促成產業界積極投入發展，以「我的資料（Midata）創新實驗計畫」為運作平台，對於企業所持有個人資料，兼顧企業與消費者原則共同獲益，將可因應趨勢取得商業先機。 　　以英國商務創新技術部規劃政策，前期試行推動先以「核心產業」（core sectors）（金融產業、電信產業、能源產業）為導入適用，待實施具一定成效後，將延伸推廣至其他產業領域（non-core sectors），而後也將由現行初期以產業自律性參與計畫模式，進展至以法令規範強制實施的階段。

　　美國於2019年1月通過「開放、公開、電子化與必要的政府資料法」(Open, Public, Electronic, and Necessary Government Data Act)，以下簡稱「政府資料公開法」，於2018年12月經參議院、眾議院通過後，2019年1月14日經美國總統川普簽署公布，為具拘束力的聯邦法。 　　聯邦政府往往擁有大量的寶貴資料，本法旨在要求聯邦政府機關在網路上開放發布其非敏感性資料時，應以機器可讀取的格式為之，使之更容易透過手機或其他電子設備使用(access)。意在擴大對政府資料的使用和管理，及促進私部門的創新，讓其它政府單位、各個組織或每個人都能使用這些資訊，使政府資訊透明化，同時兼顧隱私與國家安全議題。 　　政府資料公開法的內容係將歐巴馬總統於2013年5月9日簽署生效的「政府資訊應具有開放性和機器可讀性」(Making Open and Machine Readable the New Default for Government Information)之行政命令(Executive Order)，正式立為聯邦法，促使數位政府之政策未來以開放為原則、不開放為例外。有論者認為本法原為行政指導性質之行政命令，改以法律位階為之，其原因係為了讓開放政府資料永續發展，以成文法框架拘束政府機關。 　　因此，該法內容在於修正美國法典第44編第35章「協調聯邦資訊政策」（Coordination of Federal Information Policy）之部分條文，主要重點整理如下： 第3502條中定義了資料資產(data asset)、開放政府資料資產(open Government data asset)、機器可讀性(machine- readable)和開放授權(open license)等。其中，「開放授權」之定義首次見於本法條文中，係指將資料資產開放供公眾近用時，針對該資料資產提供以下法律保障(legal guarantee)，包含：允許公眾在毋須支付任何成本即可使用(at no cost to the public)，而對於該資料資產的重製、發布、散布、傳播、引用，或改作皆不會受到限制。 聯邦政府向公眾釋出資料集時，除因智慧財產權之規定外，原則上不得加諸任何限制而影響到人民對於該資料的使用或再利用，並應以機器可讀格式(machine-readable)、開放格式(Open Format)、開放標準(Open Standard)的基礎下提供。 要求聯邦政府利用開放資料來強化其決策機制。 要求美國政府審計辦公室(Government Accountability Office, GAO)透過定期監督，來確保聯邦政府的問責制運作(accountability)。意即，GAO應向國會提交一份報告，該報告總結對機關的調查結果和趨勢，並給予其適當建議。(美國政府審計辦公室之角色為國會的監督審計機構，係立法部門的一部份，主要職責為協助、改善聯邦政府所訂的各項計畫及政策，向國會提供客觀、平衡的資訊。) 在第3520條、3520A條中，規範聯邦機構須編制首席資料專員(Chief Data Officers, CDO)及首席資料專員理事會(CDO Council)，負責資料治理和執行其職責，並確保該機構遵守本法。

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。