美國衛生及公共服務部提出雲端服務適用健康保險可攜與責任法之相關指引

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　日本在2019年6月14日正式施行「確保表演入場券流通正當性之禁止不當轉賣特定表演入場券相關法律」（特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律），簡稱票券不當轉賣禁止法（チケット不正転売禁止法），其以訂立專法之方式，來防止黃牛業者先大量取得票券，再以賺取高額差價之方式牟利。其重點包括： 禁止行為：(1)不當轉賣票券；(2)以不當轉賣為目的而讓售票券。 適用範圍：在日本國內所舉行，且得為不特定多數人得共聞共見之電影、歌劇、舞台劇、音樂、舞蹈及其他藝術或體育活動。 票券應記載事項： (1)發行人在販售時明確表示，禁止未經發行人同意而進行買賣轉讓，並應將禁止事項記載於票券上；(2)舉行表演之時間、地點及具入場資格者之指定座位；(3)發行人在販售時，需採取確認入場者或購票者之姓名和聯繫方式等必要措施，並應將確認事項記載於票券上。 不當轉賣定義：以有償轉賣未得票券發行人事前同意轉讓之票券為業，並以超過售價之價格進行販賣。 　　日本政府並針對2019年9月份在日本所舉辦之橄欖球世界杯及2020年在東京所舉辦之奧運會加強宣導該法令。我國熱門活動、演唱會也常面臨黃牛掃票，再高額轉售之問題。日本之立法模式，不失為我國參考借鏡之對象。

　　美國最高法院於2月22日針對Life Technologies Corp. v. Promega Corp.一案作出判決，對於向美國境外供應多元件侵權產品的其中單一元件，並不構成35 U.S.C. 271(f)（以下稱271(f)）的侵權責任。 　　美國醫療生技公司Promega控告同業LifeTech侵害其專利，指稱LifeTech所製造的基因檢測套件中之組裝元件中之DNA聚合酶元件（Taq polymerase）是由美國製造，運送到英國組裝後，再販售至世界各地。Promega認為LifeTech將單一元件輸出至英國組裝的行為，已違反271(f)(1)中的「境外組裝」規定。 　　該案爭點之一在271(f)(1)之詮釋及適用爭議：「一當事人未經授權自美國向境外供應專利中全部或相當部份（"all or a substantial portion"）之元件，若元件尚未組合，而在美國境外將主要部分加以組合，如同其在美國境內將該元件組合，應視為侵權者而負其責任。」 　　地院認為271(f)(1)中的"all or a substantial portion"不符合本案只提供單一元件之情形，判定侵權不成立。不過CAFC認為地院有不當解釋271(f)(1)，故認定LifeTech所販售的聚合酶元件符合271(f)(1)規定的"substantial portion"應解釋為"重要的部分"，故推翻一審判決，判定侵權成立。 　　最高法院解讀271(f)(1)時，將其中的"substantial portion"解釋為"大量"或"多的"，因此認定所述"單一元件"並不構成271(f)(1)中的"substantial portion"，原因為單一元件並非法條所指的"多量"。 　　最終，最高法院認為，本案被告僅供應"單一元件"在境外組合，因此並不構成35U.S.C.271(f)(1)法條所定義之侵權行為。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media & Sport）於2020年9月9日發布「國家資料戰略」（National Data Strategy），作為英國規劃其政府資料流通運用的整體性框架。數位、文化、媒體暨體育部長Oliver Dowden表示，資料為驅動現代社會經濟發展的關鍵。於今年COVID-19的全球疫情流行期間，政府、企業、組織等彼此及時共享重要資訊，除達成了防疫目標，更維繫了各層面的經濟生活。因此，本戰略則規劃活用此段期間獲得的知識與經驗，試圖透過資料的釋出流通與運用，讓英國經濟自COVID-19疫情中復甦，提高生產力與創造新型業態，改善公共服務，並使之成為推動創新的樞紐。 　　為優化英國資料的運用，本戰略提出了四個核心面向：（1）資料基礎（data foundation）：資料應以標準化格式，且符合可發現（findable）、可取用（accessible）、相容性（interoperable）與可再利用（reusable）的條件下記載；（2）資料技能（data skills）：應藉由教育體系等培養一般人運用資料的技能；（3）提升資料可取得性（data availability）：鼓勵於公共、私人與第三部門加強協調、取用與共享具備適切品質的資料，並為國際間的資料流通提供適當的保護；（4）負責任的資料（responsible）：確保各方以合法、安全、公平、道德、可持續、和可課責（accountable）的方式使用資料，並支援創新與研究。 　　基此，本戰略進一步提示了五個優先任務：（1）釋出資料的整體經濟價值：建立適切的條件，使資料在經濟體系內可取得且具備可取用性，同時保護私人的資料權（data rights）、以及企業的相關智慧財產權；（2）建構具發展性且可信賴的資料機制：協助企業家與新創人士以負責任及安全的方式使用資料，避免產生監管上的不確定性或風險，並藉以推動經濟發展。同時，也期待藉由機制的建立，鼓勵公眾參與資料的數位經濟應用；（3）改變政府運用資料的方式，提升效率及改善公共服務：以COVID-19疫情期間政府對資料積極運用為契機，推動政府間的整體資料有效管理、使用與共享措施，為相關作法建構一致性的標準與最佳實踐方式；（4）建立資料基礎設施的安全性與彈性：資料基礎設施為國家關鍵資產，應避免其遭遇安全或服務中斷的風險，進而導致資料驅動的相關業務或組織服務中斷；（5）推動國際資料流（international flow of data）：與國際夥伴合作，確保資料的流通運用不會因各地域的制度不同，而受到不當限制。