從RFID的應用談科技變遷下的人權議題

馬來西亞個人資料保護委員會（Personal Data Protection commissioner，下稱個資保護委員會）於2023年度收受與個人資料（下稱個資）濫用、外洩相關申訴案件數量達779件，成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步，並加強個資遭洩漏時即時採取應變措施等相關政策，以解決前述憂心狀況，數位部（Ministry of Digital）於2024年7月10日提出《個人資料保護法》（Personal Data Protection Act 2010, PDPA）修正案，並於同年7月16日經下議院（Dewan Rakyat，馬來語直譯）表決通過。 本次PDPA修正重點包含： 1.設立個資保護官（data protection officer, DPO）制度：強制要求蒐集、處理、利用個資之資料控管者（data controller），及受資料控管者委託而實質處理個資之資料處理者（data processor），均需指派個資保護官。 2.擴張對於敏感性個資（sensitive personal data）定義：與個人身體、生理或行為特徵相關之技術處理所生個資（即生物辨識資料），皆屬之。 3.制訂個資外洩通報制度：強制要求發生個資外洩時須通報個資保護委員會，以及可能受到任何重大損害之個資當事人，惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性：在遵守技術可行性（technical feasibility）與資料格式相容性（data format compatibility）之情境下，允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務：舊法僅要求資料控管者須遵守PDPA所規定的安全原則（security principle）；新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則：舊法對於違反個資保護原則者，最高僅得處300,000馬幣和/或2年監禁；新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正：原則允許資料控管者將個資傳輸至馬來西亞以外，惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當；並將跨境白名單制度調整為黑名單制度，不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA，彰顯該國政府對個資保護之重視，惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範，則仍須待修正案通過後，經個資保護委員會發布相關指引再行釐清。

　　英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media & Sport）於2020年9月9日發布「國家資料戰略」（National Data Strategy），作為英國規劃其政府資料流通運用的整體性框架。數位、文化、媒體暨體育部長Oliver Dowden表示，資料為驅動現代社會經濟發展的關鍵。於今年COVID-19的全球疫情流行期間，政府、企業、組織等彼此及時共享重要資訊，除達成了防疫目標，更維繫了各層面的經濟生活。因此，本戰略則規劃活用此段期間獲得的知識與經驗，試圖透過資料的釋出流通與運用，讓英國經濟自COVID-19疫情中復甦，提高生產力與創造新型業態，改善公共服務，並使之成為推動創新的樞紐。 　　為優化英國資料的運用，本戰略提出了四個核心面向：（1）資料基礎（data foundation）：資料應以標準化格式，且符合可發現（findable）、可取用（accessible）、相容性（interoperable）與可再利用（reusable）的條件下記載；（2）資料技能（data skills）：應藉由教育體系等培養一般人運用資料的技能；（3）提升資料可取得性（data availability）：鼓勵於公共、私人與第三部門加強協調、取用與共享具備適切品質的資料，並為國際間的資料流通提供適當的保護；（4）負責任的資料（responsible）：確保各方以合法、安全、公平、道德、可持續、和可課責（accountable）的方式使用資料，並支援創新與研究。 　　基此，本戰略進一步提示了五個優先任務：（1）釋出資料的整體經濟價值：建立適切的條件，使資料在經濟體系內可取得且具備可取用性，同時保護私人的資料權（data rights）、以及企業的相關智慧財產權；（2）建構具發展性且可信賴的資料機制：協助企業家與新創人士以負責任及安全的方式使用資料，避免產生監管上的不確定性或風險，並藉以推動經濟發展。同時，也期待藉由機制的建立，鼓勵公眾參與資料的數位經濟應用；（3）改變政府運用資料的方式，提升效率及改善公共服務：以COVID-19疫情期間政府對資料積極運用為契機，推動政府間的整體資料有效管理、使用與共享措施，為相關作法建構一致性的標準與最佳實踐方式；（4）建立資料基礎設施的安全性與彈性：資料基礎設施為國家關鍵資產，應避免其遭遇安全或服務中斷的風險，進而導致資料驅動的相關業務或組織服務中斷；（5）推動國際資料流（international flow of data）：與國際夥伴合作，確保資料的流通運用不會因各地域的制度不同，而受到不當限制。

　　2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」，並進行廣泛的公眾意見徵詢，舉辦公聽會，最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出，2015年10月歐洲議會通過，今年1月12日生效，預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎，因為本次修正將會大幅提升支付創新應用的發展可能，尤其是行動支付。 　　PSD2之重大修正包含針對支付服務的內容作出修正，新增第三方支付服務提供人(third party payment service provider，簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取，提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定，TPP服務提供者具備下列義務： 1.確保支付服務使用者的個人化安全資訊不會被其它人取得。 2.以明確的方式向帳戶之支付服務提供者認證自己的身分。 3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。 　　除此之外，PSD2明確將純粹的技術服務提供者排除於支付機構之範圍，無需適用支付服務指令。 　　PSD2亦授權EBA發布相關規定制定技術門檻，包含強力的客戶身分認證以及通訊資訊標準。

　　日本本土所栽培且有登記證照的農作物種子被拿到中國、南韓等地的案例日增，日本政府除了將提高取得品種證照者的收入之外，在六月即將完成的「智慧財產權二00六」報告中，日本政府也將擬定品種保護制度，明示未來在農業領域應該如何因應日本本土研發、栽培的農作物品種，被擅自拿到海外利用。 　　蔬果等種子很容易被攜帶到海外，通常在外國都遭違法大量栽培，然後再回銷日本，尤其近年來這種例子激增，迫使日本政府不得不思考對策。日本政府打算針對開發植物新品種的人或團體，根據現行的種苗法給予「育種家權利」。日本農林水產省並呼籲中、韓等亞洲國家，應該趕緊制訂完備的法令，禁止日本開發的品種未經許可被擅自生產、販售。