美國總統歐巴馬簽署通過網路安全資訊分享法案(CISA)

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

　　2016年3月法國個人資料保護主管機關「國家資訊自由委員會」（Commission Nationale de l'Informatique et des Libertés, CNIL）要求Google等搜尋引擎公司，刪除網路搜尋所出現之歐洲公民姓名。此舉參考2014年歐洲法院（European Court of Justice）對於Mario Costeja González一案（C 131/12）所作裁決，Google公司和Google西班牙公司須遵守西班牙資料保護局（Agencia Española de Protección de Datos, AEPD）要求，移除出現原告姓名之搜尋結果。Google表示不服，並上訴法國最高行政法院（Conseil d'État）。 　　於本案中Google提出兩點主張：第一，CNIL對於被遺忘權（right to be forgotten）適用範圍過大，聲稱所搜尋到之姓名等資訊，屬於事實或來自新聞報導和政府網站之合法公開網站資訊，認為CNIL將隔絕原本在法國可為其他人所知之合法資訊；第二，Google主張向來遵守各國個人資料保護政策，將遵照CNIL要求，但僅限刪除在法國網域內之歐洲公民姓名，無法及於全球網域，除非法國政策已為全歐盟或全球所適用，不然法國個人資料保護審查制度不能延伸至其他國家。 　　對於網路公民權利推廣不遺餘力之「電子前線基金會」（Electronic Frontier Foundation, EFF）認為CNIL對法國公民資料保護之特別要求，將對Google造成損害。

研發成果下放就不適用國有財產法嗎? 資訊工業策進會科技法律研究所 2020年3月26日 　　科學技術基本法（下稱科技基本法）下放研發成果予執行單位，授權各部會機關按其對研發成果管理運用的需求，彈性制訂該部會之科學技術研究發展成果歸屬及運用辦法（下稱成果運用辦法）。然據悉某些公立學校或公立機關(構)曾在盤點財產時，因漏未將研發成果登入為國有財產，或列帳時未列載相關費用而遭主計處指正，從而對研發成果是否為國有財產及如何適用國有財產法有所疑問。因此，本文先回歸科技基本法，探討國有財產法之適用範圍，再論成果運用辦法和國有財產法間互補適用的關係，以解答上述疑問。 壹、科技基本法排除國有財產法適用之範圍 　　按科技基本法第6條第1項及第2項[1]，當研發成果歸屬於公立學校、公立機關（構）或公營事業等公部門單位時，僅排除適用國有財產法中保管、使用、收益及處分之規定，改由各部會之成果運用辦法規範，故當研發成果歸屬於公部門時，並非完全排除適用國有財產法，係僅於前揭特定管理運用事項適用科技基本法及其授權訂定之成果運用辦法。因此其他未被排除的國有財產法規定[2]，包括何謂國有財產與國有財產種類之總則、國有財產登記、設定產籍與維護，以及有關國有財產之檢查與財產報告等仍須依循相關規範。前述遭主計處指正之案例，或許就是忽略歸屬於公部門之研發成果仍有前揭國有財產法之適用，致漏未將研發成果依該法登入國有財產或將相關支出列帳。 貳、成果運用辦法的適用範圍 　　另一可能造成執行單位在運用其研發成果時產生疑問的原因，是現行各部會之成果運用辦法中，有部分規定與前述科技基本法第6條第2項，將歸屬於公立學校與公立機關(構)之研發成果定性為國有財產之意旨扞格。以衛生福利部科學技術研究發展成果歸屬及運用辦法（下稱衛福部成果運用辦法）為例，雖然按該辦法第2條第5款定義國有研發成果為研發成果歸屬國家所有者。然該辦法第30條第1項第1款[3]，卻出現執行單位為公、私立學校、公立研究機關（構）之「非國有」研發成果收入之上繳交比率規定，恐使適用本辦法之公立學校、公立機關（構），誤以為其所有之研發成果可為非國有，而產生無庸適用國有財產法之誤解，亦與該辦法第2條第5款對國有研發成果的定義產生內部矛盾，更與科技基本法第6條第2項相衝突。 　　當研發成果歸屬公立學校、公立機關（構）時，因上述公部門單位本即為政府機關（構)，故歸屬上述單位等同歸屬於國家，凡屬上述單位所有之研發成果即為國有研發成果，也會適用國有財產法；邏輯上不應出現公部門單位擁有非國有研發成果之情況，顯然衛福部成果運用辦法第30條第1項應修正第1款，將非國有研發成果上繳比率規定之適用主體排除公立學校、公立研究機關（構）。 參、結論 　　現行科技基本法第6條第1項與第2項，使研發成果是否適用國有財產法，會因為其歸屬而有不同。研發成果歸屬於公部門者為國有財產原則上應適用部分國有財產法，例外於特定管理運用事項始適用各該部會的成果運用辦法；而研發成果歸屬於私部門者非國有財產，無國有財產法之適用，僅適用各該部會辦法管理。在這套體制下，執行單位須注意國有研發成果仍是國有財產，仍須依國有財產法進行財產列帳、登記及財產檢查；而出現規定公立學校、公立研究機關（構）「非國有研發成果」條文之成果運用辦法， 　　則顯與現行科技基本法有違，反致生誤會，建議進行修正。公立學校與公立研究機關(構)在進行研發成果之管理、運用時，除依循各部會成果運用辦法外，應注意科技基本法的意旨，以避免造成被認為未依法處理之情況。 [1]科技基本法第6條第1項及第2項：「政府補助、委託、出資或公立研究機關（構）依法編列科學技術研究發展預算所進行之科學技術研究發展，應依評選或審查之方式決定對象，評選或審查應附理由。其所獲得之研究發展成果，得全部或一部歸屬於執行研究發展之單位所有或授權使用，不受國有財產法之限制。前項研究發展成果及其收入，歸屬於公立學校、公立機關（構）或公營事業者，其保管、使用、收益及處分不受國有財產法第十一條、第十三條、第十四條、第二十條、第二十五條、第二十八條、第二十九條、第三十三條、第三十五條、第三十六條、第五十六條、第五十七條、第五十八條、第六十條及第六十四條規定之限制。」 [2]未被排除而應適用的國有財產法條為：第1條到第8條總則、第9、10、12、16條之管理機構、第17條到第19條國有財產登記、第21條到第24條設定產籍、第26條有價證券保管處所、第27條之損害賠償責任、第30、31條不動產維護、第32、34條公用國有財產之使用和非公用國有財產之變更、第37條受贈財產，第38到41條非公用財產撥用、收益、第42到44、45條不動產與動產出租、第46到48條不動產與動產之利用，處分第49到55條不動產與動產標售、第59條非公用財產之估價、第61到63條財產檢查、第65到70條財產報告、第71到73條之刑責和舉報獎金、第75到77條之施行日期等。內文未提及之其它未排除適用的條文，主要是針對有體物，即動產與不動產的相關規範，和非公用國有財產之管理；而研發成果多為無體財產，即智慧財產權等，且多為公用財產，故使用這部分條文的情況較少，在此不贅述。 [3]衛福部成果運用辦法第30條第1項第1款：「執行單位因管理及運用其非國有研發成果之收入，應依下列規定辦理：一、執行單位為公、私立學校、公立研究機關（構）者，應將其研發成果收入之百分之二十繳交本部。」