歐盟食品安全與標示近期發展－以歐盟法院Teekanne案為例

簡介「歐洲共同資料空間」 資訊工業策進會科技法律研究所 2022年09月30日 壹、前言 　　歐盟為促進數位經濟的發展，於2015年5月發布「數位單一市場(Digital Single Market)」政策，並指出資料(data)對於發展數位經濟的重要性 [1]。經過了5年的規劃，歐盟於2020年2月發布了「歐洲資料戰略(European Data Strategy)」，勾勒出建立歐洲「單一資料市場(single data market)」的具體措施與進程。 　　歐盟執委會(European Commission)在「歐洲資料戰略」中指出，為確保歐洲數位經濟的競爭力，應採取相關措施創造一個有吸引力的市場環境，其目標就是建立「歐洲共同資料空間 (Common European data space)」[2] 。本文以下將介紹「歐洲共同資料空間」的發展背景與現況。 資料來源：作者自繪 圖一 「歐洲共同資料空間」的政策發展脈絡 貳、「歐洲共同資料空間」的發展背景 一、源起 　　歐盟期待能建立一個真正單獨且對全世界開放的資料市場，各類資料能安全地存放其中，企業可輕易地近用高品質的產業資料，以加速企業的成長並創造更高的經濟價值[3]。在此資料空間中，資料的使用需要符合歐盟的法規，且所有資料驅動(data-driven)之服務和產品應符合歐洲「數位單一市場」的規範。因此，歐盟陸續制定相關法律和標準，建設相關基礎設施，期望能促進更多的資料在歐盟境內儲存和處理[4] 。歐盟執委會初期以「歐洲開放科學雲(European Open Science Cloud, EOSC)」的經驗為基礎[5] ，聚焦9個重點產業領域發展資料空間，其介紹如下表： 表一：「歐洲共同資料空間」9個重點產業領域 產業/領域 發展資料空間的目標 1 工業/製造業資料空間 挖掘「非個人資料」的潛在價值，以強化歐盟工業的競爭力，預計在2027年可以創造1.5兆歐元的產值 2 綠色協議(Green Deal)資料空間 支持氣候變遷、循環經濟、零污染、生物多樣性等行動 3 交通移動(Mobility)資料空間 強化運輸和交通移動資料庫的近用、整合、共享，確保歐盟的智慧運輸系統在全球的領先地位。 4 健康資料空間[6] 提升疾病預防、檢測、治療的發展，促進實證醫學發展的加速 5 金融資料空間 提升金融領域的資料共享、創新、市場透明度、永續金融 6 能源資料空間 透過安全和可信任的方式進行跨部門的資料共享，提升資料的可利用性，促進低碳的落實 7 農業資料空間 透過對農業生產等資料的分析，提升農業部門的競爭力。 8 公行(Public administrations)資料空間 提高政府支出的透明性和問責，強化政府科技、法遵科技、法律科技的應用 9 技能(Skills) 資料空間 降低教育培訓體系和勞動市場需求的落差 資料來源：整理自歐盟執委會2022年2月發布的工作報告 二、設計原則 　　歐盟執委會原訂於2020年第4季提出「歐洲共同資料空間」的具體規劃，但進度有所延遲。2021年3月歐盟理事會（European Council）認為需要加速建立共同資料空間，並請歐盟執委會說明各產業領域資料空間的進展及未來需要採取的必要措施。[7] 　　根據歐盟執委會2022年2月出版的工作報告指出，所謂的資料空間可以定義為相互信任夥伴間的一種資料關係，參與夥伴在儲存和共享資料時必須適用相同的標準和規則[8]。此外，在資料空間中，資料並非中心化儲存，而是儲存在其來源處，只有在必要時才會透過語義互操作性（semantic interoperability）共享資料[9]。而「歐洲共同資料空間」將根據以下的原則進行設計[10]： 1.資料控制（Data control） 　　資料空間可以促進資料工具的開發，以彙集、近用、使用、共享各種類型的資料。資料持有者可使用這些資料工具，簡化資料上傳的流程、授予或撤銷其資料授權、更改資料近用權限等。 2.治理（Governance） 　　建立適當的治理結構，確保以公平、透明、符合比例、非歧視的方式，近用、共享、使用資料，此治理結構應遵守歐盟現有的相關規範，如《非個人資料自由流通框架（Framework for the Free Flow of Non-Personal Data in the European Union）》、《歐盟一般個人資料保護規則（GDPR）》、等。 3.尊重歐洲的規範和價值觀（Respect of EU rules and values） 　　資料空間應遵守相關的歐盟法律框架，如GDPR、網路安全、基本權利、環境保護、競爭法、歐盟關於提供資料服務相關的規則等；此外，應採取適當的技術和法律措施，防止未經授權的資料近用。 4.技術基礎設施（Technical data infrastructure） 　　鼓勵資料空間之參與者使用共通的技術基礎設施，並整合網路安全的設計原則，建構能確保資料彙集、近用、共享、處理、使用之安全和隱私保護的基礎設施。 5.互連接性及互操作性（Interconnection and interoperability） 　　為避免資料碎片化(fragmentation)、整合成本過高、產生資料孤島等問題，「歐洲共同資料空間」參考國際標準、歐洲空間資料基礎設施(INSPIRE[11]) 、FAIR原則[12]，強化資料空間的互操作性，並透過歐盟運算基礎設施[13]共享和近用資料，以達到相互連接和互相操作。 6.開放性（Openness） 　　只要願意遵守歐盟規範、尊重歐洲價值觀的使用者都可以利用「歐洲共同資料空間」。開放性將有助於創造不同產品和不同服務提供商間的競爭，避免因產品或服務製造商的特定協定(protocols)產生鎖定效應（lock-in）。 三、近期整體發展 　　首先，歐盟執委會強調，由於「歐洲共同資料空間」涉及各產業領域，每個產業領域都有其特性；即便是同一產業中，所涉及之利害關係人多元，其資料需求也會不同。因此，為避免對特定產業領域正在發展之資料共享解決方案產生影響，歐盟將著重於建立各產業共通的技術基礎設施和資料治理框架[14]。根據2022年5月歐盟正式發布的《資料治理法(Data Governance Act) 》，第六章中規定未來將成立「歐洲資料創新委員會(European Data Innovation Board, EDIB)」；依據該法第30條的規定，EDIB的任務之一是制定促進「歐洲共同資料空間」的指引，內容包含建立跨產業領域資料共享的標準、強化互操作性等[15]。 　　其次，根據歐盟執委會2022年8月出版的調查報告指出，截至2022年上半年為止，歐盟關於資料空間徵案的結果，主題不僅有最初規劃的9個產業領域[16]，還擴及智慧城市、文化資產、媒體、財政、語言、旅遊、公部門採購與安全執法等產業領域[17]。此外，與這些產業領域相關的公部門開放資料集部分已經編目並放在歐盟data.europa.eu[18]的網站上，譬如該網站上目前有48,000筆關於交通運輸的資料集，未來可能對於「交通移動」領域資料空間的建立有幫助[19]。 　　再者，歐盟執委會為了瞭解歐洲目前所有資料空間的發展現況，以國際資料空間協會（International Data Spaces Association, IDSA）的「國際資料空間雷達(International Data Space Radar)」、歐洲非營利組織所倡議的「歐洲雲和資料基礎架構專案(Gaia-X)」、「歐洲工業數位化開放平臺（Open DEI）」為調查對象。根據研究結果，這3個組織目前共有151個和資料空間有關的計畫或措施，但其中僅只有21個使用了開放資料，且僅19個計畫有公部門參與其中[20]。歐盟執委會認為開放資料社群和各國公部門長期以來，在推動開放資料與建立開放資料標準已經累積一定的經驗，未來可以對「歐洲共同資料空間」提供更多的建議[21]。 　　最後，歐盟執委會將「歐洲共同資料空間」的利害關係人區分為四大類別，包含核心參與者、中介者、軟體/服務提供商、治理機構，並選定相關人士進行訪談，以聚焦「歐洲共同資料空間」未來的推動方向。根據訪談結果，所有受訪者皆指出目前「歐洲共同資料空間」發展的一個重大問題，亦即缺乏完整的資料集目錄。因此，受訪者建議未來「歐洲共同資料空間」的重點可放在發展資料集目錄[22]。 參、結論 　　從上述的整理可以發現，歐盟相當有系統性地推動「歐洲共同資料空間」，期待透過不同產業領域資料空間的互相連接，強化資料近用和互操作性，在促進資料共享和使用的同時，亦充分保護個人與企業的資料權利[23]。雖然歐洲各產業領域的資料空間仍在持續發展，但歐盟對於發展資料經濟的政策規劃，不管在基礎設施的建設、標準化的制定、法制面的配套，都值得我國持續關注。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1] A Digital Single Market Strategy for Europe, at 14-15, COM (2015) 192 final (May. 6, 2015). [2] A European strategy for data, at 4, COM (2020) 66 final (Feb. 19, 2020). [3] id. at 4-5. [4] id.. [5] 關於「歐洲開放科學雲」的介紹可參考蔡立亭 ，〈論臺灣科研資料治理機制推行之模型－以歐洲開放科技雲為例〉，《科技法律透析》，第33卷第5期，頁21，（2021）。 [6] 關於「歐洲健康資料空間」近期的發展可參考施雅薰，〈歐盟執委會發布「歐洲健康資料空間」規則提案，旨在克服健康資料利用之障礙〉，資訊工業策進會科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=67&tp=1&d=8858（最後瀏覽日：2022/09/27）。 [7] European Commission, Commission Staff Working Document on Common European Data Spaces 1（2022）。 [8] European Commission, data.europa.eu and the European Common Data Spaces 6（2022）。 [9] id. at 2. [10] European Commission, supra note7, at 3-4. [11] 關於「歐洲空間資料基礎設施」的介紹請參考INSPIRE KNOWLEDGE BASE，https://inspire.ec.europa.eu/(last visited Sep. 26, 2022). [12] Fair原則是可查找(Findable)、可近用(Accessible)、可相互操作(Interoperable)、可再使用(Re-usable) 的英文縮寫，相關介紹可參考GO FAIR，https://www.go-fair.org/fair-principles/(last visited Sep. 26, 2022). [13] 如歐洲雲服務或歐洲高效能運算(HPC)。 [14] European Commission, supra note7, at 4-5. [15] id. at 29-30. [16] 關於這9個產業領域2021-2023年間的規劃進度可參考European Commission, supra note 7, at 41-42. [17] European Commission, supra note 8, at 7. [18] 該網站設立於2021年4月，是整合European Data Portal及EU Open Data Portal兩個網站而成立。 [19] European Commission, supra note 8, at 8. [20] id. at 13. [21] id. at 5. [22] id. at 18. [23] European Commission, supra note 7,. at 2.

　　在世界各國，無論是公務機關或非公務機關，均無可避免地大量蒐集個人資料，這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此，加拿大隱私委員會辦公室（Office of the Privacy Commissioner of Canada,簡稱OPC）發布關於「個人資料保存與處理指引文件：原則與良好實作」（Personal Information Retention and Disposal：Principles and Best Practices），以協助聯邦機構與私人機構對組織內部保有之個人資料，做好妥善保存與處理。 　　OPC建議組織應在內部制定相關管理政策與程序，並於指引文件中提出11項參考要點，其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性？多久審查一次；2.對於保有之個人資料及保存目的是否進行清查與盤點？多久確認一次？3.個人資料儲存的形式與地點為何？是否有備份？4.法律是否有規定最低保存期限？5.組織如何處理個人資料與相關備份檔案？6.對於儲存個人資料之裝置或設備，是否採行適當地安全維護措施？7.個人資料保管與處理相關政策的核決人為誰？8.對於利用資料生命週期追蹤資料，是否存在適當管制程序？9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定？；是否有制定文件銷毀之安全措施？10.資料等候處理期間是否受到安全妥善之保管？11.對於使用資料之第三方，是否有透過合約或其他機制進行有效監督管控措施？是否制定定期查核機制？等，期以協助組織掌握政策與程序制定要領。

　　美國衛生部隸屬之醫療資訊科技標準委員會（Health IT Standards Committee）為了因應「2009年經濟復甦暨再投資法」（America Recovery and Reinvestment Act, “ARRA”）的通過，制定了新的電子醫療紀錄的隱私、安全標準，以擴大保護電子醫療紀錄的使用安全。   　　這次制定的電子醫療紀錄的隱私、安全標準，將透過具有足夠防護能力的醫療資訊科技系統標準，來保護電子醫療紀錄的交換，並且擴大適用範圍到醫療照護廠商與提供者，要求其必須在2011年前達到幾項資訊的使用控制標準，包括「醫療保險可攜與責任法」（Health Insurance Portability and Accountability Act, “HIPAA”）與「加密促進標準」（Advanced Encryption Standard）之相關規定，以完備個人電子醫療資訊的保護網。   　　在此次訂立的標準之下，任何人員或是應用程式欲使用與接近電子醫療紀錄，應符合法律所授予的接近與使用之要件。同時，處理個人醫療資訊的系統，也必須具備對個人醫療資訊加密與解密的能力，以保障個人醫療資訊的安全與完整。除了以上的要求，這些標準也要求相關的適用機構，必須在2013年以前完成符合病歷交換格式（HL7）的使用接近控制、安全宣示標記語言（Security Assertion Mark-up Language, “SAML”）、網路服務認證（Web Service Trust, “WS-Trust”）以及促進資訊標準建置組織（Organization for the Advancement of Structured Information Standards, “OASIS”）的機制，以保障醫療資訊的安全。

　　加州公共事業委員會（California Public Utilities Commission, CPUC）於2020年11月19日宣布兩項新的自駕車布建計畫，包括有配置駕駛人之自駕車布建計畫（the Drivered Autonomous Vehicle Deployment Program）以及無配置駕駛人之自駕車布建計畫（the Driverless Autonomous Vehicle Deployment Program），並同意服務商於確保安全的前提下，進行自駕載客服務測試並進行收費。 　　本次新的布建計畫之實施，希望達成以下四項目標： 保護旅客之安全（protect passenger safety）。 擴大自駕技術之的優點至加州所有社區（expand the benefits of autonomous vehicle technologies to all of California’s communities）。 改善所有人（特別是針對弱勢及低收入社區）之交通方式（improve transportation options for all, particularly for disadvantaged communities and low-income communities）。 減少（特別是針對弱勢及低收入社區）溫室氣體空氣污染物之排放（reduce greenhouse gas emissions and air pollutants, particularly in disadvantaged communities）。 　　依該計畫規定，申請人必須具備載客等級P的許可（Charter-Party Carrier Class P permit）或A等級之載客認證（Class A charter party certificate）並取得加州汽車管理局（California Department of Motor Vehicles, DMV）自駕布建之許可。此外，申請人亦須提交提出針對COVID-19之防疫宣導措施以及《乘客安全計畫》（Passenger Safety Plan），該計畫應包含降低自駕載客實驗過程中所有乘客（包括身心障礙及輪椅人士）風險之規劃。 　　參與計畫之申請人亦需向加州公共事業委員會繳交以下資料： 按季繳交以匿名之方式記錄個別乘客之上下車地點資料。 自駕車上無障礙空間之設置面積。 對於弱勢社區的服務水平（service levels）。 車輛之燃料類型。 車輛行駛與乘客搭乘之里程。 申請人願意加強服務無障礙和弱勢社區之保證。