何謂德國「資訊科技安全法(IT-Sicherheitsgesetz)？

　　「數位藥丸(digital pill)」顧名思義就是將藥物與數位科技結合，藥丸上載有感測器(sensor)，在進入人體後傳輸訊號至病人身上的訊號接收器貼片，相關資訊再被傳送給醫療人員。由於許多研究顯示約有半數病人並不會完全遵照醫師指示服藥，使治療效果不彰，並造成醫療資源之浪費。而電子藥丸有助需長期頻繁用藥的族群定時服藥與協助醫療機構追蹤病人服藥狀況，並在臨床試驗中持續觀察病患用藥後的生理反應。 　　日前美國食品藥物管理署(Food and Drug Association)已接受Proteus Digital Health公司之上市審核申請，不久之後人們將有望享受到此數位藥丸帶來的便利。不過其亦存有一些疑慮以及待克服的技術問題，例如：個人資料之保護措施、控制藥物釋放之系統故障或遭惡意攻擊時之應變等等問題。同時，雖然許多人都認為數位藥丸對病人之疾病控制有利，但是病人之拒絕治療權卻可能因而犧牲，雖然醫生不能強迫病人服藥，但法院強制處分常會牽涉特定的治療程序，此時若病人拒絕服藥，其假釋可能被撤銷，該技術將可能成為一個監視的手段。

　　美國聯邦貿易委員會（Federal Trade Commission, 以下稱FTC）在2017年2月6號於其網站中公布， VIZIO, Inc.（以下稱VIZIO），世界最大的智慧電視製造商之一，在未取得購買該公司產品之千萬餘名消費者同意下，即於所生產之智慧型電視中，安裝蒐集消費者收視行為數據之軟體，然此舉業涉及違反美國聯邦貿易委員會法第45條（15 U.S.C. § 45 (n)）以及紐澤西州消費者欺詐法（New Jersey Consumer Fraud Act）。為此VIZIO將支付和解金與美國聯邦貿易委員會及紐澤西州檢察總長辦公室。 　　本案起訴狀內容指出，VIZIO及其相關企業於2014年2月起便開始於其製造之智慧電視中獲取消費者在收視有線電視、寬頻、機上盒、DVD播放機、無線廣播以及串流裝置等相關影像資料時之資訊。這些資訊包含了性別、年齡、收入、婚姻狀況、教育程度、住屋資訊等交付與VIZIO、第三方及其相關企業做為行銷、發送特定廣告使用。 　　起訴狀中並稱該公司所謂之智能互動機制，雖可做為協助節目製作和建議，卻也同時於未對消費者詳細說明之下，逕行蒐集相關收視資訊，而此類追蹤消費者資訊屬不公平且欺騙的行為，已違反了FTC與紐澤西州對於消費者保護之法律。 　　為達成本案之和解，該公司願支付兩百二十萬美元作為和解金，包含向FTC繳納的一百五十萬美元及一百萬美元罰款與紐澤西州消費者事務所。聯邦法院命令並要求VIZIO必須清楚揭露其蒐集資料及分享給他方單位之行為，並取得消費者明示同意；另一方面，該命令亦禁止VIZIO對他們所蒐集消費者之隱私、安全及機密性資訊做誤導性的不實陳述以及刪除於2016年3月1日前所有以不當方式取得之消費者個人資料。該公司尚須接受兩年一次的隱私權安全保障計畫(名詞)，包括全面性隱私風險評估、識別消費者個資之潛在不當使用情形，並制訂相關措施來修復這些風險。另新增一項銷售管理計畫，以確保該公司產品經銷商及售後服務均能就消費者個人資料得到保障。 　　此次事件而言，和解金雖非屬可觀之金額，然重點在於作為世界最大的智慧電視製造商之一的VIZIO，經揭露此一訊息後對其商譽之影響，或許才是最大的打擊。為了在大數據時代中能有效的管控法律風險，任何蒐集消費者行為等個人資料時，均應符合相關法令的規範，如建立個人資料保護機制並事前告知取得消費者蒐集之同意為宜。

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊（下稱《手冊》）》，旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」，藉此將資料價值最大化，並將資料風險最小化。 《手冊》指出，資料驅動著社會發展，資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產，並透過制定相應的政策與規則，確保資料的品質與安全性。同時，考量資料具備易於複製、竄改且流通難以控制的特性，建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎，則仰賴適當且有效的資料管理機制，亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而，資料管理本身要能發揮效益，仍須依賴組織具備足夠的資料成熟度，即具備正確處理與應用資料的整體能力，方能系統性的落實管理與治理工作。 根據《手冊》內容，透過資料治理，企業或組織將能確保資料品質、透明度及安全性，並基於可信任的資料進行決策，進而有效提升決策精準度，實現風險管理與法規遵循，進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，作為制度設計與實務推動之參考，以強化資料治理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）