為促進單一數位市場之發展，歐盟展開個人資料保護法規之改革

我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 　　我國關於個資去識別化實務發展，依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡，實務上爭議在於達到合理利用目的之個資處理，參酌法務部103年11月17日法律字第10303513040號函說明「個人資料，運用各種技術予以去識別化，而依其呈現方式已無從直接或間接識別該特定個人者，即非屬個人資料，自非個資法之適用範圍」，在保護個人隱私之前提下，資料於必要時應進行去識別化操作，確保特定個人無論直接或間接皆無從被識別；還得參酌關於衛生福利部健保署資料庫案，健保署將其所保有之個人就醫健保資料，加密後提供予國衛院建立健保研究資料庫，引發當事人重大利益爭議，終審判決（最高行政法院106年判字第54號判決）被告（即今衛福部）勝訴，法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準，該案之資料收受者（本案中即為衛福部）掌握還原資料與主體間連結之能力，與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用，在於確保社會大眾無法從資料內容輕易推知該資料所屬主體，並有提到關於再識別之風險評估，然而應採行何種標準，並未於法院判決明確說明。 　　我國政府為因應巨量資料應用潮流，推動個資合理利用，行政院以推動開放資料為目標，104年7月重大政策推動會議決議，請經濟部標檢局研析相關規範（如CNS 29191），邀請相關政府機關及驗證機構開會討論，確定「個人資料去識別化」驗證標準規範，並由財政部財政資訊中心率先進行去識別化驗證；並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191，同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例，第二波示範案例則由內政部及衛生福利部（105年12月通過）接續辦理。 　　經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術－安全技術－隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication)，轉換為國家標準CNS 29100及CNS 29191，並據此制訂「個人資料去識別化過程驗證要求及控制措施」，提供個資去識別化之隱私框架，使組織、技術及程序等各層面得整體應用隱私權保護，並於標準公報(107年第24期)徵求新標準之意見至今年2月，草案編號為1071013「資訊技術－安全技術－個人可識別資訊去識別化過程管理系統－要求事項」(Management systems of personal identifiable information deidentification processes – Requirements)，主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項，提供維護並改進個人資訊去識別化過程及良好實務作法之框架，並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 　　由於前述說明之草案編號1071013去識別化國家標準仍在審議階段，因此以下以現行「個人資料去識別化過程驗證要求及控制措施」（以下簡稱控制措施）[1]說明。 　　去識別化係以個資整體生命週期為保護基礎，評估資料利用之風險，包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序，分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法（下稱個資法）說明如下：首先，組織應先確定去識別化需求為何，究係對「個資之蒐集或處理」或「為特定目的外之利用」（對應個資法第19條第1項第4、5款）接著，對應重點在於「適當安全維護措施」，依據個資法施行細則第12條第1項規定，公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施；而依據個資法施行細則第12條第2項規定，適當安全維護措施得包括11款事項，並以與所欲達成之個資保護目的間，具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法： 一、隱私權政策 　　涉及PII處理之組織的高階管理階層，應依營運要求及相關法律與法規，建立隱私權政策，提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」，即為涉及個資生命週期為保護基礎之管理程序，從蒐集、處理到利用為原則性規範，以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 　　組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 　　組織蒐集、處理、利用PII應符合之11項原則，包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」，以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 　　組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫，且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義，係指個資以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者，組織於進行去識別化處理時，應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 　　此章節為選驗項目，需具體依據組織去識別化需求，是否需要重新識別而決定是否適用；若選擇適用，則保留重新識別可能性，應回歸個資法規定保護個資。 參、小結 　　國際上目前無個資去識別化驗證標準及驗證作法可資遵循，因此現階段控制措施，係以個資整體生命週期為保護基礎，評估資料利用之風險，使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊進行去識別化之過程，透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項，內化為我國業者因應資料保護與資料去識別化管理制度。 　　控制措施預計於今年下半年發展為國家標準，遵循個資法與施行細則，以及CNS 29100、CNS 29191之國家標準，參照國際上相關指引與實務作法，於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性，業者視需要評估導入，仍建議進行巨量資料應用等資料經濟創新業務，應重視處理個資之適法性，建立當事人得以信賴機制，將有助於產業資料應用之創新，並透過檢視資料利用目的之合理性與必要性，作為資料合理利用之判斷，是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心，個人資料去識別化過程驗證，https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx（最後瀏覽日：2019/6/4） 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容，該網站並未公告「個人資料去識別化過程驗證要求及控制措施」，故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。

　　澳洲高等法院(澳洲的最高司法機關)在10月7日時做出重要判決，認為單純從人類基因體分離出來的基因序列，不足以作為專利的申請標的。本案的原告是一名69歲曾罹患乳癌的女士，他向法院起訴請求法院宣告Myriad 基因公司所擁有的BRCA1基因專利中部分的專利範圍(claim)無效。BRCA1基因的突變(mutation)或特定的表型被認為與乳癌及卵巢癌的發生機率有關。在先前的審級，法院都判決被告勝訴，但高等法院推翻了先前的見解，以7票贊成0票反對的比數\判決原告的上訴有理由，Myriad基因公司的專利無效。本案由首席法官連同其餘三位法官提出多數意見，另外有兩份協同意見。 　　本案的主要爭點在於系爭專利是否符合澳洲1990年專利法(Patents Act 1990)中，對專利應屬於一種「生產方式」(manner of manufacture)的規定。多數意見認為系爭的專利範圍只是BRCA1基因的序列，這些資訊並非由人類所「製造」，而僅是由人類所辨別。因此這無法被視為是一種生產的方式，不符合專利法的相關要求。若要將其視為生產方式，則需要進一步擴張生產方式的概念範圍，不適合由法院進行判斷。同時法院認為這個專利可能造成寒蟬效應，使得與BRCA1相關的分離技術變得過於昂貴或形成事實上的壟斷狀態，也與專利法希望促進發明的初衷不符。最後，法院在確認澳洲對於是否應承認此類專利並無國際法上的義務後，宣告此專利無效。 　　澳洲的學界對此判決表示歡迎，認為此判決將使醫療人員執行職務時免於侵犯智慧財產權的恐懼。但澳洲的生技產業則認為這個判決可能會打擊相關的研究，造成負面影響。澳洲法院的判決與美國先前的判決見解相當類似，同時該判決也可能對於其他國家的類似案件發生影響。例如在加拿大的一個與罕見心臟疾病基因有關的官司，就很可能會受到本判決的影響也宣布該基因專利無效。

日本推動數位出版產業之方式與觀察 科技法律研究所 法律研究員　尤騰毅 2014年12月31日 壹、前言 　　鄰國日本的出版產業，向來以質跟量著稱於世，不過於進入數位匯流時代後，其出版產業也遭遇同樣的問題，市場上電子書數量不足以至於無法帶動日本電子書閱讀的人口，另外，加上美商Amazon大舉進入日本市場，日本出版業界與政府都認知到若不採取措施，將使日本出版產業失去利基[1]。 　　本文擬就日本政府在2012年提出了三個主要的電子書產業振興政策，包括前述成立「數位出版機構」、以及「內容緊急電子化事業」（コンテンツ緊急電子化事業）、文化廳（文化庁）eBook計畫等進行分析，說明日本政府如何透過計畫政策在短期內增加市場上電子書的數量，以達到經濟規模，提振電子書產業，以便我國政府在未來制定數位出版產業相關政策時之參考。 貳、重點說明 一、紙本書籍數位化之推手：出版數位機構 　　2011年9月，由出版業者共同成立「株式會社出版數位機構準備會」（出版デジタル機構準備会），於同年4月，透過「產業革新機構」（Innovation Network Corporation of Japan, INCJ）以及日本大型之出版社、印刷公司等共同出資成立「株式會社出版數位機構」（株式会社出版デジタル機構，英文全稱為Digital Publishing Initiatives Japan Co., Ltd，下稱Pubridge），欲藉此一個機構來加速日本電子書產業的整合，並以擴大電子出版商務市場為目標，支援出版品數位化（儲存）、電子書店和電子書仲介等傳輸業務、圖書館窗口相關業務，期能透過整備電子書基礎建設，提供讀者更理想的讀書環境 。 　　出版數位機構之業務分為四大領域，包括電子書仲介事業、電子書製作、數位文獻系統、讀者平台等。其中，電子書仲介事業的服務名稱為「Pubridge （publish+bridge）」[2]，其所提供的服務內容，即是所謂的書籍電子化之單一窗口服務（ワンストップ，英文為One-Stop Service），提供整合服務以降低傳統出版業界進入電子書市場的門檻。所謂的單一窗口服務，即由出版數位機構擔任產業鏈的核心整合角色，將上游端的出版社紙本書籍的數位化，並提供銷售的收益分配等，並且由其提供數位化後的電子書給予電子書店等通路。主要細部的服務包括：制作（協助電子化格式製作）、發行（代為協助發行）、行銷、管理（收益分配計算）等四個面相[3]。亦即出版數位機構的定位係要成為傳統出版社進入電子書市場的中介者或經紀人。其商業模式是由出版社對出版數位機構委託業務、再由該公司傳輸給電子書商店，由電子書商店銷售給讀者；金流則由電子書商店將收取的書籍費用以獲益分享方式（Revenue share）支付費用給出版數位機構，而出版數位機構也以獲益分享方式對出版社支付收益。 二、內容緊急電子化事業 　　「內容緊急電子化事業」（コンテンツ緊急電子化事業）[4]，係指日本經濟產業省在2012年所規劃的一項書籍電子化計畫，預計在一年的期間內（2012年）將6萬冊書籍全數電子化。該計畫之成立背景與目的，係因2011年311東日本大地震後，對東北災區之經濟活動造成嚴重影響，經濟產業省希望透過日本中小出版社所持有與東北相關書籍的電子化，由政府負擔部份電子化費用的形式，在活化萌芽期電子書市場的同時，以促進東北地區資訊向外傳遞、提高該災區知識檢索頻率，並基於鼓勵災區創造新產業，以復興災區及振興日本國內經濟[5]。就本文的觀察，該計畫的另一個目的其實在短期內大量的增加電子書數量，亦可達到活絡電子書市場之效益。 三、日本文化廳eBooks計畫 　　「eBooks計畫」屬於實證測試性質，主要係從國立國會圖書的館藏數位文獻中選出資料，經過著作權處理手續，從製作電子書到傳送給使用者的實驗，以釐清數位文獻商用化的課題和有效對策，並將結果將提供民間業者和公家機關作為參考。 　　該實驗結果發現，電子書的總下載次數總計92,517次，以初次透過網路公開電子書而言，已是不錯的成果。根據對讀者調查發現（樣本數126位），使用者特徵上男女比例相當，年齡層20、30、40歲各約1/3，上班族占67%，過去使用過電子書占半數，使用過eBooks服務後近60%會想再次使用，有61%認為能讀到珍貴的資料是這項服務最大的優點，也有30%希望能夠增加文獻數量。而讀者也認為在下載（或購買）書籍時，「摘要」充實的程度是影響下載意願的重要判斷依據，eBooks計畫公開電子書時的詳細說明對提升下載數量也有相當助益。目前國立國會圖書館可透過線點閱的文獻數約45萬件，限館內閱讀的文獻約233萬件。未來公開數位文獻的計畫仍會持續，並實驗付費方式下載的可行性，期能讓稀有資料能更容易被需要者取得，同時該計畫也建議應將國會圖書館等公部門機關，對於其所典藏書籍之著作權處理方式做成指導手冊，以確認著作權處理的標準程序[6]。 參、事件評析 　　日本從2010年以來為了輔導其國內傳統出版業者進入數位出版領域，所採取相關具體政策措施，本文歸納出以下三點結論與建議，供政府擬定相關政策時參考： 一、數位出版產業之推動應整合各機關共同合作 　　日本的出版產業其主管機關為中央文化主管部門，即文部科學省的文化廳，不過由於數位出版領域所涉及的不僅僅是文化部門，更牽涉到經濟部門以及電信基礎建設的相關部門。因此日本政府在推動數位出版時，係透過每年的智財推進計畫[7]（由直屬首相的智慧財產戰略本部所制定）規劃具體方向，並依據各省廳的業務職掌進行分工，從而各省廳分頭執行發展數位出版等的相關工作。我國出版產業與日本相同，係由文化部主管，然數位出版係分屬經濟部，在推動數位出版方向上，若無統一的戰略主軸，可能會落入多頭馬車或疊床架屋的情況，又出版產業為文創產業與數位內容之源頭，建議政府應將數位出版產業的規劃提至我國每年的智財綱領中，統籌規劃未來我國數位出版產業之方向，交由相關部門執行，以避免部門之間的重工或缺漏。 二、建議透過特定機構間接協助傳統出版業者 　　日本的出版產業型態以中小型出版社為多，其數位出版程度與網路通路等等，皆不如大型連鎖書，惟透過「出版數位機構」的成立，整合並協助中小型出版業者，可使其更快速的進入電子書市場。我國出版產業與日本近似，以中小型出版社為多，在數位出版程度與網路通路上面臨同樣的困境。除此之外，中小型出版社有許多書籍在著作權也需要專業的法律團隊協助釐清（尤其是授權部分），建議政府可借鏡日本模式，成立特定機構或委由民間具有法律授權與資訊經驗的團隊，協助中小型出版社將既有的紙本書籍數位化，並輔導流通，跨出建立正體中文電子書市場的第一步。我國產業發展主管機關除了著重數位出版的技術層面與硬體設備外，亦可透過部分政策工作，協助傳統紙本書籍，轉成電子版，以建立電子書市場的經濟規模，已達成以軟帶硬、以硬帶軟的正向循環。 三、短期內應儘速增加電子書數量以活絡市場 　　由於2011年日本東北大地震，為協助民眾可以便利取的東北相關的書籍資料，經濟產業省透過「內容緊急電子化事業」計畫，在一年內完成的8萬本的數位化作業，在短時間內為日本電子書市場注入大筆的品項，除了幫助災區重建外，同時也在極短的時間內擴大日本電子書市場的經濟規模。我國電子書市場尚未成熟，很大的原因係在於傳統紙本電子化的程度不高，造成市場上的電子書數量不足。儘管「內容緊急電子化事業」主要是在協助災區資料數位化，不過其帶動的是短時間內日本電子書的數量，就短期內增加電子書數量的措施與方法，我國不妨可參考之。建議政府可以從透過計畫短期內將政府出版品或政府所擁有的著作權之作品，進行數位化作業，再將其釋放電子書市場，以提高其規模。 [1] 永田豊志，〈「電子書籍の衝撃」の衝撃――出版社の生きる道を「強み」「弱み」「機会」「脅威」で分析してみる〉，Business Media 誠，http://bizmakoto.jp/bizid/articles/1006/07/news023.html（最後瀏覽日：2013/10/20）。 [2] 該公司對外服務的名稱為「pubridge（パブリッジ）」，為pulish與bridge的複合語，參照：〈会社概要〉，株式会社出版デジタル機構，http://www.pubridge.jp/about/（最後瀏覽日：2013/09/17）。 [3] 〈電子書籍取次事業〉，株式会社出版デジタル機構，http://www.pubridge.jp/agency/（最後瀏覽日：2013/10/17）。 [4] 緊デジ：コンテンツ緊急電子化事業特設サイト，http://www.kindigi.jp（最後瀏覽日：2013/05/09）。 [5] 〈緊デジとは〉，緊デジ：コンテンツ緊急電子化事業特設サイト，http://www.kindigi.jp/about/，（最後瀏覽日：2013/05/09）。 [6] 株式会社野村総合研究所，〈電子書籍の流通と利用の円滑化に関する実証実験報告書〉，頁85（2013），http://www.bunka.go.jp/chosakuken/jikken/pdf/h24_hokokusyo.pdf（最後瀏覽日：2013/09/14）。 [7] 根據日本內閣府的網站，目前最新的智財推進計畫已經於2013年6月出爐，相關內容可參考：知的財産戦略本部，〈知的財産推進計画２０１３〉http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku2013.pdf（最後瀏覽日：2013/09/14）

　　2021年7月30日，澳大利亞聯邦法院做出一項裁定，認為人工智慧（Artificial Intelligence, AI）可作為專利申請案的發明人。 　　隨著人工智慧的功能不斷演進，人工智慧已經開始展現出創新能力，能獨自進行技術上的改良，此判決中的人工智慧（Device for the Autonomous Bootstrapping of Unified Sentience, DABUS）係由人工智慧專家Stephen Thaler所創建，並由DABUS自主改良出食品容器與緊急手電筒兩項技術。 　　Thaler以其自身為專利所有人，DABUS為專利發明人之名義，向不同國家提出專利申請，但分別遭到歐盟、美國、英國以發明人須為自然人而駁回申請，僅於南非獲得專利，此案中澳大利專利局原亦是做出駁回決定，但澳大利亞聯邦法院Beach法官日前對此作出裁示，其認為1990年澳大利亞專利法中，並未將人工智慧排除於發明人之外，且專利並不如著作權般強調作者的精神活動，專利更重視創造的過程，其認為發明人只是個代名詞，其概念應具有靈活性且可隨著時間演變，故其認為依澳大利亞專利法，人工智慧亦可作為專利發明人。 　　該法院的裁定雖是發回澳大利亞專利局重新審核，且澳大利亞專利局仍可上訴，因此DABUS是否能順利成為專利發明人尚有變數，但此案對於人工智慧是否可為發明人已帶來新一波的討論，值得業界留意。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」