無線網路溢波盜用之法律議題初探

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　歐盟在2013年12月3號正式通過「展望2020」(Horizon 2020)計劃，將在未來7年(2014-2020)之間，在10大領域投入770億歐元發展「尖端科學」(Excellent science)、「領導性工業」(Industrial leadership)與「社會挑戰」(Societal challenges)三大項目，以此承繼歐盟第七期科技研發計畫架構(7th research Framework Programme,FP7)所建立的基石。目前，歐盟在三大項目中，在今(2014)年發展項目分別是： 1.「尖端科學」：歐洲理事會將編列30億歐元，資助頂尖的科學家從事相關研究。此外，歐盟亦將透過獎學金的方式，鼓勵優秀的年輕研究者。 2. 「領導性工業」：透過18億的預算資助歐盟在產業領先的項目，包括是通訊技術、奈密、機器人等產業。 3.「社會挑戰」：歐盟將透過28億元解決2020年可能遇到的七個社會挑戰，例如是衛生、農業、海洋、生物科技、能源、交通、氣候行動、環境、與資源利用等領域。 　　在各大項目當中，因資通訊(ICT)產業占整體經濟4.8%外、且資通訊的研發設計(Research and Development) 又佔企業整體營收約25%。因此，促使歐盟在「展望2020」在ICT領域發展預算編列，高於歐盟FP746%，藉此加速資通訊技術、知識之革新與發展。至於，今(2014)年ICT在「領導性工業」發展項目中，將朝向以下6點發展： 1.下世代零組件與系統(A new generation of components and system)。 2.先進的計算(Advanced Computing)。 3.未來網際網路(Future Internet) 4.內容技術與資訊管理(Content technologies and information management)。 5.機器人(Robotics) 6.微型、奈米科技、與光電(Micro- and nano-electronic technologies, Photonics)。 　　綜觀上述六點，除了機器人、微型、奈米科技之新穎性，格外受人注目外，在「未來網際網路」與「內容技術與資訊管理」，亦須值得持續追蹤。在「未來的網際網路」發展上，歐盟將「智慧網路與新穎網路體系」(Smart Networks and novel Internet Architectures)、「先近雲端基礎建設與服務」(Advanced Cloud Infrastructures and Services )與「智慧光學與無線網路技術」(Smart optical and wireless network technologies)列為發展方向。 　　在「內容技術與資訊管理」上，巨量資料的研究(Big data-research)與創新與社群行銷的整合(Big data Innovation and take-up)，則是歐盟未來1年發展項目之一。我國從2010年推動「數位匯流發展方案」(2010-2015年)，其中如何促進新興媒體的發展與增加網路間競爭，一直為我國發展重點。因此，我國除了可透過歐盟所推動的「展望2020」為參考，從中思索是否具有政策盲點外，亦可成為2015年後科技政策進行先導計畫。

　　歐盟理事會與歐洲議會於2020年12月14日，針對歐洲軍民兩用出口管制法規《第428/2009號歐盟理事會規章》（COUNCIL REGULATION (EC) No 428/2009）達成修正協議，並獲得歐盟理事會下設常駐代表委員會（Committee of Permanent Representatives, COREPER）認可後正式通過。《規章428/2009》用以規範歐盟軍民兩用出口管制，監管歐盟涉及「軍民兩用」敏感貨品、服務、軟體和技術的對外出口、內部轉口及過境貿易。因兩用貨品包含軍事用途及商用用途，故此次歐盟調整軍民兩用出口管制的相關規則，主要考量面向包括：英國脫歐對歐洲出口管制的影響；如何確保歐盟出口管制條例與國際反武器擴散制度相一致；以及解決網路監管和新興技術帶來的安全威脅等。本次歐洲軍民兩用出口管制修正重點如下： 提升出口管制力度，防止濫用網路監管等新興技術：管制項目具備監視、取得、蒐集或分析資通訊系統資料功能者，因涉及國家內部鎮壓或嚴重違反國際人權和國際人道法（International Humanitarian Law），即使未明列在歐盟軍民兩用法規的附件中，也應加強管制。 新增兩項歐盟一般出口許可證（EU General Export Authorisations, EU GEAs）：包括集團內部技術轉讓（EU007）及加密（EU008），允許軍民兩用貨品出口至特定目的地。 統一歐盟軍民兩用貨品規則：例如技術協助屬於特定軍事用途且與軍民兩用相關者須經授權，歐盟成員國得配合擴張軍民兩用貨品清單。 強化企業調查和報告義務，遵守並適用出口管制規則：實施出口及授權作業的出口商，應落實內部合規計劃，確保企業遵守出口管制的政策和程序。 歐盟成員國間加強合作機制：促進資訊交流、政策調整和執法行動。

　　歐盟執委會（European Commission）於2020年2月19日提出「歐洲資料戰略」（the European data strategy），其將建立單一資料市場（single data market）。針對少數大型科技公司（big tech）往往透過定位、社群網路等服務，掌控全球大量資料，且嚴重阻礙由資料驅動之商業型態（data-driven business）的發展與創新，透過建立單一資料市場，開放未使用的資料，使資料可於歐盟內部及跨部門自由流動，以對抗美國大型科技公司，例如：Facebook、Google或Amazon等資料壟斷之情況，確保市場開放和公平。 　　依據文件內容，歐洲資料戰略主要目標在於，善用歐盟巨量產業資料和創新科技，建立一個公平的歐盟資料空間，鼓勵資料共享，並建議制定資料監管規則。歐盟相關措施包含公布更多地理空間、環境、氣象學等公共資料（public data）；免費提供企業街區資料；針對阻礙資料分享之規範訂定競爭法；提供新跨境資料使用和整合規範；針對製造、氣候變遷、自動產業、健康照護、金融服務、農業、能源等提供相關標準；廢除阻礙資料共享的相關規則，避免線上平臺對資料限制利用或獲利顯失公平之情況。歐盟執委會預計於2020年底提出數位服務法（Digital Services Act），提供企業於單一市場營運更清楚規則，強化數位平臺責任和保護基本權利。