電信產業號碼資料庫之應用與法制議題－以個人隱私保護為中心

　　為重塑美國先進製造技術領導地位，發展創新研發與就業，美國總統歐巴馬陸續啟動先進製造國家戰略計畫、先進製造夥伴計畫（Advanced Manufacturing Partnership, AMP）與國家製造創新網絡（National Network of Manufacturing Innovation, NNMI）等框架計畫，並於2014年10月由美國總統執行辦公室和科技顧問委員會發布「先進製造夥伴2.0」（Advanced Manufacturing Partnership 2.0, AMP2.0）。 　　其中新版的先進製造夥伴計畫，除續行原先之計畫目標，例如：對於「研發技術政策形成」、「區域創新機構」與「全國製造創新網絡」等要項外，「先進製造夥伴2.0」框架強調「製造業資源如何有效匯集」，另透過「組織角度設計」、「法制環境建構」與「商業化運用促進」等面向提出具體執行建議。

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 在2024年11月11日至22日舉辦第29屆聯合國氣候變化大會（COP29）上，國際標準化組織（ISO）發佈全球第一部ESG國際標準：ISO ESG IWA 48《實施環境、社會和治理（ESG）原則框架》（Framework for implementing environmental, social and governance (ESG) principles）（簡稱為IWA 48:2024），為全球各地區、不同規模的企業提供統一管理標準，同時提供實施指引和行動範例，應對永續發展挑戰。 IWA 48有以下幾大重點： 1. ESG原則和實踐（Principles and practices in ESG）：強調誠信、成效、公平、風險與機會、證據、持續改善等原則。 1.1風險與機會：風險跟機會應由高階管理階層從組織整體評估，因風險可能同時伴隨機會；同時，管理層面要運用科學方法及可靠數據紀錄，評估與建立行動方案與追蹤管控。 1.2負責及公開透明：在ESG原則為關鍵要素，清楚揭露經營績效和永續資訊，不僅可增強利害關係人信心，也有助於保護組織商譽。 1.3利害關係人參與：組織應重視內、外部利害關係人的意見，如員工、股東、客戶、供應商等；舉例來說，組織落實資訊公開，並藉由問卷或會議形式，請利害關係人回饋期望或意見。 1.4重大主題：組織評估內外部之營運狀況所可能遭遇挑戰，且考量利害關係人回饋、產業特性，進而辨識各項議題之衝擊程度與關聯性，及排定優先順序來制訂行動方案。 1.5關鍵績效指標（KPI）評估：針對各項重大主題依可靠數據紀錄，進而運用量化或質化手段，設定短期、中期和長期之具體目標。 2. 環境（Environmental）：評估組織營運活動與環境變化之相互關係，因此須要根據科學方法建立基準與制訂目標，確保營運過程能有效執行策略。 3. 社會(Social)：主要關注組織如何承擔社會責任，推動具有社會價值行為和政策，除遵循當地勞動法令外，可額外提供福利或照顧措施，如組織接納各國人民，公平方式進行面試，培訓應保障不會發生任何歧視情事。 4. 治理（Governance）：董事會或管理階層要明確公告組織永續政策與要求，並建立道德規範，如誠信經營，法令遵循、風險管理等，尤其鑑別永續相關風險，如當地法令異動、環境變化，更要與利害關係人保持溝通與合作，進而評估組織政策與執行方向，再依據營運需求調整。 5. 合規性和一致性（Compliance and conformity）：組織可採用第三方查（驗）證方式，協助組織評估有無符合當地法令、達到ESG要求標準，及組織對於ESG之承諾。 6. 報告（Reporting）：組織可公開揭露永續資訊，如永續報告書或年報等；再者，組織應確保揭露內容之準確、清楚與可靠，並正面及負面資訊均清楚完整揭露，以讓利害關係人了解狀況與趨勢。 7. 持續改善（Continual improvement）：透過關鍵績效指標（KPI）檢核，定期確認組織達成永續目標狀況，如有未達預期情事者，應落實根因分析、制訂矯正預防措施，並予以揭露與執行改善，以確保能達到長期目標。

　　2012年3月Google將世界各地總共60個相異的個人資料隱私權政策統一後，即受到歐盟個人資料保護機構「第29條工作小組」的關注，該小組認為Google修訂後的個人資料隱私權政策違反歐洲資料保護指令（European Data Protection Directive (95/46/CE)），將難以讓使用者清楚知悉其個人資料可能被利用、整合或保留的部分。同時，Google亦可能利用當事人不知情的情況下，大量利用使用者個人資料。因此，2012年10月歐盟要求Google在4個月內對該公司的個人資料隱私權政策未符歐盟規定者提出說明，惟至今Google仍無回應。因此，歐洲6個國家，包括法國、德國、英國、義大利、荷蘭及西班牙的個資監管機構，將聯合審視Google的個人資料隱私權政策是否違反各國的法律，並依據各國法律展開後續措施，如鉅額罰款等。法國之資訊自由國家委員會（Commission nationale de l'informatique et des libertés，簡稱CNIL）率先表示，若Google於4月11日前未改善其資料隱私權政策，法國將首先採取法律行動。然Google對此僅簡單回應，表示其資料隱私政策尊重歐盟的法律，且可以讓Google提供更簡單、更有效率的服務。