資通訊安全下之訊息分享與隱私權保障—簡析美國2015年網路保護法

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。

　　在越來越多消費者擔心部分企業以進行大數據研究名義竊取、交易或透露個人資料之行為，侵犯消費者隱私情況下，中國政府已要求互聯網企業加強對個人資料之保護；這並非中國當局第一次要求互聯網企業加強數據隱私保護，中國消費者協會(China Consumers Association, CCA）亦曾示警，中國大量智慧型手機應用程式正在蒐集過多個人資料，包括但不限於用戶位置、聯絡人清單及手機號碼。 　　中國互聯網金融協會(National Internet Finance Association of China, NIFA)於 11月初發表聲明提及：「未經消費者同意，會員組織不得蒐集、利用或向第三方提供消費者個人資料。」、「所有會員機構都應承擔保護個人資料之個人責任。如發生問題，應立即予以改善並報告給協會……消費者風險警示亦應加強。」，該協會亦向所有會員機構提出警告，對數據隱私之改善措施應承擔個人責任。 　　中國互聯網企業讚揚AI工具可使用海量數據以增強消費者體驗之優點，然它們不得不靈活應對消費者對如何蒐集與利用個人資料日益增長之焦慮，而中國政府目前正起草制定有關個人數據隱私保護法律，以解決日常生活伴隨著多方數位體驗而生之敏感問題。

為確認產品供應鏈與物流鏈的真實來源、打擊仿冒品、提升永續資訊透明度以接軌歐盟政策，歐盟智慧財產局（下稱EUIPO）自2023年5月啟動區塊鏈物流認證計畫（下稱EBSI-ELSA），採難以竄改、公開透明的區塊鏈服務基礎設施（European Blockchain Services Infrastructure，下稱EBSI），透過數位簽章（digital signature）、時戳追溯與驗證歐盟進口產品的來源是否為智慧財產權利人。EUIPO 於2024年6月24日宣布EBSI-ELSA已上線8成基礎設施。為加速推動計畫，於2024年9月至11月間，EUIPO以產品鏈的智財權利人（例如鞋類與/或服裝、電氣設備、手錶、醫療設備與/或藥品、香水與/或化妝品、汽車零件與玩具產業別之產品智財權利人）為試點，並將於2024年11月前發布試點最終報告。 透過試點，EUIPO致力於： (1)測試、評估於真實世界之製造與分銷系統中應用數位簽章及物流模組的情況，以作為智財權利人之企業資源規劃（ERP）的一部分。 (2)於產品歷程，測試、評估數位裝運契約（digital shipment contract）及產品數位孿生（Digital Twin）之資訊的接觸權限與品質（access to and quality of information）。如海關人員預計於產品抵運前（pre-arrival）、通關階段（inspection phases）確認產品之真實性。 (3)提供產品生命週期應用EBSI-ELSA之試點最終報告，包含實施過程、結果等相關資料。 EBSI-ELSA計畫認為其符合歐盟之數位政策與循環經濟目標，旨於採取區塊鏈技術向供應商、消費者、海關、市場監管機構等多方揭露更多的產品溯源資料，提升產品透明度，銜接歐盟之數位產品護照（Digital Product Passport, DPP）政策，該政策目的係以數位互通方式揭露歐洲市場之產品生命週期的資訊，如產品材料來源、製程、物流、碳足跡等永續資訊，強化產業的可追溯性、循環性（circularity）及透明度，以協助供應鏈利害關係人、消費者、投資者做出可持續的選擇。而負責執行歐盟資料經濟與網路安全相關政策之歐盟執委會資通訊網絡暨科技總署（DG Connect）於2024年5月所發布之「數位產品護照：基於區塊鏈的看法」報告，亦指出「為確保區塊鏈系統互通性，其IOTA區塊鏈技術框架應能與歐盟內部市場電子交易之電子身分認證及信賴服務規章（EIDAS）及EBSI標準完全接軌（fully align）」。 如我國企業欲強化既有的產品生命週期資料管理機制，可參考資策會科法所創智中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，從數位資料的生成、保護與維護出發，再延伸至存證資訊之取得、維護與驗證之流程化管理機制，協助產業循序增進資料的可追溯性。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　歐盟執委會（European Commission）於今（2010）年7月授權歐盟各會員國自行決定禁止或准許基因改造（GM）農作物的提案，過去幾個月來即已不斷遭受外界質疑，在近日（9月27日）召開的農業部長會議上又受到主要歐盟會員國的強烈抨擊；歐盟消費者健康及安全政策部門代表John Dalli表示，這個問題將會在10月14日召開的環境部長會議繼續進行協商。 　　事實上，歐盟執委會的提案同時引來了GMO支持者與GMO反對者的譴責，他們認為這項議案會給農民與農產業者製造法律上的不確定空間，徒增困擾；此外，綠色和平組織歐盟農業政策執行長Marco Contiero也表示，各會員國都不應該接受執委會的這項提案，反而必須對執委會施加壓力，以確保農作物的安全並預防環境污染。農業會議上，許多會員國農業部長也擔心執委會的提案不但會分裂農產品國際市場，並也可能與WTO規則相衝突。 　　由於預期執委會7月份的提案可能將被撤回或大幅修改，參與農業會議的各國部長也都同意在這過渡時期成立專責的工作小組，以資因應該提案所引致的眾多批評。就現階段看起來，GMO爭議還會在歐盟繼續上演，後續的相關討論值得繼續觀察。