電信產業號碼資料庫之應用與法制議題－以個人隱私保護為中心

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 國際特赦組織（Amnesty International）與法國數位隱私權倡議團體La Quadrature du Net（LQDN）等組織於2024年10月15日向法國最高行政法院提交申訴，要求停止法國國家家庭津貼基金機構（Caisse nationale des allocations familiales，CNAF）所使用的歧視性風險評分演算法系統。 CNAF自2010年起即慣於使用此系統識別可能進行福利金詐欺的對象，該系統演算法對獲取家庭與住房補助的對象進行0至1之間的風險評分，分數越接近1即越可能被列入清單並受調查，政府當局並宣稱此系統將有助於提升辨識詐欺與錯誤的效率。 LQDN取得該系統的原始碼，並揭露其帶有歧視性質。該等組織說明，CNAF所使用的評分演算法自始即對社會邊緣群體如身心障礙者、單親家長，與低收入、失業、居住於弱勢地區等貧困者表現出懷疑態度，且可能蒐集與系統原先目的不相稱的資訊量，這樣的方向直接違背了人權標準，侵犯平等、非歧視與隱私等權利。 依據歐盟《人工智慧法》（Artificial Intelligence Act，下稱AIA），有兩部分規定： 1. 用於公機關評估自然人是否有資格獲得基本社會福利或服務，以及是否授予、減少、撤銷或收回此類服務的人工智慧系統；以及用於評估自然人信用或建立信用評分的人工智慧系統，應被視為高風險系統。 2. 由公機關或私人對自然人進行社會評分之人工智慧系統可能導致歧視性結果並排除特定群體，從此類人工智慧總結的社會分數可能導致自然人或其群體遭受不當連結或程度不相稱的不利待遇。因此應禁止涉及此類不可接受的評分方式，並可能導致不當結果的人工智慧系統。 然而，AIA並未針對「社會評分系統」明確定義其內涵、組成，因此人權組織同時呼籲，歐盟立法者應針對相關禁令提供具體解釋，惟無論CNAF所使用的系統為何種類型，因其所具有的歧視性，公機關皆應立即停止使用並審視其具有偏見的實務做法。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　美國眾議院於2013/10/22提出法案（Sensible Oversight for Technology which Advances Regulatory Efficiency Act of 2013，簡稱Software Act，HR3303），擬限制食品藥物管理局 (Food and Drug Administration，FDA)在與健康醫療有關軟體制訂規範的權限。 　　根據美國聯邦法典第21編第301條以下（21 U.S.C. § 301）規定，FDA對醫療器材擁有法定職權進行規範。FDA近來亦開始嘗試對醫療軟體APP制訂規範，包括附有生物識別裝置（如血壓監視器和照相機）、讓消費者可以蒐集資料、供醫生可遠距離進行部分檢測行為的行動設備。這項法案的支持者以為，FDA此舉將阻礙醫療創新，故擬透過Software Act界定FDA的規管權限。 　　這項法案主要增加了3個定義：醫療軟體（medical software）、臨床軟體（clinical software）和健康軟體（health software）。醫療軟體仍在FDA的管轄範圍內，但其他2類則否。惟本法案只確立FDA無權對資料蒐集類軟體進行規範，但對此類軟體得使用的範圍、或是否需另授與執照等議題並沒有著墨。提案者以為，後續應由總統和國會應共同努力，對臨床軟體和健康軟體制訂和頒佈立法，建立以風險為基礎的管制架構，降低管制負擔，促進病患安全與醫療創新。 　　所謂醫療軟體，指涉及改變身體（changing the body）的軟體。包括意圖透過市場銷售、供消費者使用，直接改變人體結構或功能的軟體；或，意圖透過市場銷售、供消費者使用，以提供臨床醫療行為建議的藥物、器材或治療疾病的程序；或其他不需要健康照護提供者參與的情境，但實施後會直接改變人體結構或功能的藥物、器材或程序。 　　僅從人體蒐集資料者，被歸類為臨床軟體（由醫療院所、健康照護提供者裝設）或健康軟體（由民眾自為）。兩者的區別，主要在由誰提供並裝設。 　　所謂臨床軟體，是醫療院所或健康照護提供者在提供服務時使用，提供臨床決策支援目的之軟體，包括抓取、分析、改變或呈現病患或民眾臨床數據相關的硬體和流程，但不會直接改變人體結構或任何功能。 　　根據Research2Guidance於2013年2月發表的調查報告（Mobile Health Market Report 2013-2017），目前在APPLE的APP Store上已有97,000個行動健康類的APP程式，有3百萬個免費、30萬個付費下載使用者。15%的APP是專門設計給健康照護提供者；與去年相比，已有超過6成的醫生使用平板提供服務。預測消費者使用智慧型手機上的醫療APP的數量，在2015年將達5億。這個法案的出現，外界以為，提供了科技創新者較明確的規範指引，允許醫療的進步和創新。

　　歐洲藥物管理局（European Medicines Agency, EMA）今（2012）年7月6日修正發布「藥品交互作用試驗指針」（Guideline on the Investigation of Drug Interactions），EMA表示這是該指針自1997年發布以來最大的修正，內容包括藥廠如何進行新藥與已經流通使用的藥品的潛在交互作用研究，以及新藥與食品的交互作用研究。 　　「藥品交互作用試驗指針」內容包括用藥建議方案，其乃基於臨床相關交互作用以及調整用藥劑量、監控病人用藥情形之可行性研究為基礎。同時，有關草藥使用的建議方案也包括在內。 　　EMA表示，新的修正內容使「藥品交互作用試驗指針」與藥品交互作用研究科學之發展現況趨於一致，例如現已能透過少數的精密設計研究，即可預測臨床相關藥品交互作用的結果，以及在了解近年酵素觸發技術（enzyme induction）與藥物載體（drug-transporter）間的交互作用上的科學進展。 　　藥物交互作用對於用藥的安全與效用極為重要，許多病人，尤其是年長者經常需要同時服用多種藥物，因多種藥物交互作用而產生的負作用（adverse effects）是患者反覆就醫的重要因素之一，且可能減低個別藥物原有的療效。 　　「藥品交互作用試驗指針」新修正內容將於2013年1月1日生效，全文共計七部分，主要重點在第五部分的藥物動力學（Pharmacokinetic）交互作用研究，內容包括：從研究進行方式即藥品的吸收、分布、代謝、移轉到人體試驗設計、草藥與特殊食品產品、以及產品特性標示事項等都有建議規範，其全文可至EMA官方網站下載。