以「公私夥伴關係(PPP)」發展科技之作法

　　歐洲數位權利中心（The European Center for Digital Rights，下稱noyb）為提倡網路隱私權、消費者隱私的非營利組織，其於2021年11月12日向奧地利資料保護局（Austrian Data Protection Authority, DSB）投訴Grindr公司，抗議該公司的Grindr應用程式違反歐盟的一般資料保護規範（即General Data Protection Regulation，下稱GDPR）。 　　Grindr是款交友約會軟體，主要的使用者為男同性戀、雙性戀以及跨性別者。使用者註冊帳號時，僅需提供電子郵件信箱帳號及密碼和一些個人基本資料即可。然而，若使用者想了解Grindr公司如何使用其個人資訊時，Grindr公司要求使用者需手持記載其電子郵件的字條，或拿著護照自拍，經該公司確認使用者身分後，才會配合使用者的請求。noyb直言，Grindr公司的認證政策不僅荒謬，更違反了GDPR。 　　 noyb代表一個名為「Hunk_69」的帳號使用者提出投訴，這個帳號因為身分認證失敗而遭到Grindr公司拒絕透露該公司如何使用其個人資料。noyb指出Grindr公司對於使用者提供個人資料的政策前後不一，儘管使用者在使用Grindr交友時可以保持匿名狀態，但在向Grindr公司請求提供個人資料用途時，卻需要提供真實身分。noyb主張Grindr公司已經違反歐盟GDPR第5條（1）©「資料最少化原則」。多數公司多半以「安全理由」要求客戶提供個人資料供其認證，但這樣的要求是不當的，根據奧地利聯邦行政法院、愛爾蘭資料保護委員會（the Irish Data Protection Commissioner, DPC），以及丹麥資料保護局（Danish Data Protection Agency, Datatilsynet）近期裁決見解，認證客戶身分必須個案評估使用者的身分是否有疑慮，而非一概的要求使用者進一步提出個人資料以供公司認證。因此，使用者在Grindr註冊帳號時，既然毋庸提供真實姓名，則Grindr公司於認證使用者身分要求提出真實姓名，實際上是無任何幫助，反而違反了GDPR第5條「資料最少化原則」及第12條（6）規定。 　　noyb創辦人Max Schrems表示，Grindr的設計就是讓使用者保持匿名狀態，因此使用者僅須使用電子郵件信箱和密碼，就可以在Grindr上與人互動，甚至分享最私密的照片，但想要實行GDPR相關權利時，卻須自行揭露身分並提供身分證明。 　　Grindr公司則認為，如果使用者想要實踐GDPR賦予使用者的權利，不願與Grindr分享任何個人資訊，可以刪除Grindr帳號。

由美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, 簡稱CISA）自2024年以來，持續主導並規劃《SBOM網路安全之共同願景》（A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity）之指引訂定，作為保障網路安全之國際共通指引。於2025年9月3日，由日本內閣官房網路安全統括室為首，偕同經濟產業省共同代表日本簽署了該份指引，包含日本在內，尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門，皆同步完成簽署。以下為指引之重點內容： 1. 軟體物料清單的定位（Software Bill of Materials, 簡稱SBOM） SBOM於軟體建構上，包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。 2. 導入SBOM的優點 (1) 提升管理軟體弱點之效率。 (2) 協助供應鏈風險管理（提供選用安全的軟體，提升供應商與使用者之間溝通效率）。 (3) 協助改善軟體開發之進程。 (4) 提升管理授權軟體之效率。 3. SBOM對於利害關係人之影響 (1) 使軟體開發人員可選擇最符合需求的軟體元件，並針對弱點做出適當處置。 (2) 軟體資訊的透明化，可供採購人員依風險評估決定是否採購。 (3) 若發現軟體有新的弱點，使軟體營運商更易於特定軟體與掌握弱點、漏洞。 (4) 使政府部門於採購流程中，發現與因應影響國家安全的潛在風險。 4. SBOM適用原則與相關告知義務 確保軟體開發商、製造商供應鏈的資訊透明，適用符合安全性設計（Security by Design）之資安要求，以及須承擔SBOM相關告知義務。 近年來軟體物料清單（SBOM），已逐漸成為軟體開發人員與使用者，於管理軟體弱點上的最佳解決方案。然而，針對SBOM的作法與要求程度，各先進國家大不相同，因此透過國際共通指引的簽署，各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計，以確保所有類型的資通訊產品（特別是軟體）之使用安全，也鼓勵製造商為每項軟體產品建立SBOM並進行管理，包含軟體版本控制與資料更新，指引更強調SBOM必須整合組織現有的開發與管理工具（例如漏洞管理工具、資產管理工具等）以發揮價值。此份指引可作為我國未來之參考借鏡，訂定相關的軟體物料清單之適用標準，提升政府部門以及產業供應鏈之網路安全。

　　美國環境保護署（Environmental Protection Agency，以下簡稱EPA）於2010年9月17日聯邦政府公報中，依據毒性物質管制法（Toxic Substances Control Act，以下簡稱TSCA）section 5(a)(2)授權，發布了顯著新種使用規則（Significant New Use Rules，以下簡稱SNURs）的最終規則（final rule）。此項規則於2010年10月18日生效，任何想要製造、輸入以及加工單壁奈米碳管（single-walled carbon nanotubes，以下簡稱SWCNTs）及多壁奈米碳管（multi-wall carbon nanotubes，以下簡稱MWCNTs）兩項化學物質者，必須依照TSCA section 5(a)(1)要求，在進行上述利用活動的至少90天前，報經EPA核准，否則不得使用。 　　事實上，EPA曾於前（2009）年6月24日發布上述SNURs的直接最終規則（direct final rule），徵詢公眾意見，並在同年8月21日撤回該規則。在重新提案的規則中，主要是新增SWCNTs、MWCNTs釋放於水中的顯著新種使用態樣，並將已完全反應、結合或嵌入已完全反應之聚合物基（polymer matrix）以及嵌入不再進行機械加工外其他處理之永久硬性聚合物形式（permanent solid polymer form）之SWCNTs、MWCNTs物質，排除在新SNURs適用範圍之外。 　　目前，依照TSCA section 5(e)之規定，若系爭之化學物質已列名於TSCA section 8(b)所建立之現存(existing)化學物質目錄(INVENTORY)中，其他化學物質生產者欲生產該種化學物質時，並不需再向EFA進行通報程序。然而，若EFA對該列名之化學物質曾發出TSCA section 5(e)下之具風險性命令(risk-based order)，則相關之化學物質生產者須於生產前依據TSCA section 5(a)(2)規範中之SNURs規定通報EFA，使得EFA於生產前仍有再次檢驗該系爭化學物質的機會。 　　這一次，EPA以制訂SNURs之方式，要求所有製造、輸入、加工該項化學物質者，有義務通報任何與原同意命令所定條款不同的使用活動。這樣的規範變動，預計將對奈米材料的製造及運用活動造成不小的影響。

　　韓國文化體育觀光部（Ministry of Culture, Sports and Tourism, MCST）為推動著作權認證制度，依其著作權法第56條及施行令第36條第7項規定，指定韓國著作權委員會（Korea Copyright Commission）作為著作權認證業務之負責機關，期達到維護著作權海外交易秩序及提升交易雙方之信賴度之目標。 　　所謂「著作權認證」，是指任何人欲證明自己為合法享有權利者，可透過具有公信力之第三方機關確認權利關係，並取得認證書後，藉以證明自己是權利人或被授權人。今年係以輸出海外市場(中國等)之音樂、電影、電視劇等內容為第一階段著作權認證對象，並提供免手續費之優惠服務。欲進行著作權認證之申請人（如著作權人、受讓著作權或取得授權之個人或企業等），應提出認證申請書和客觀上可確認其本身擁有權利事實之證明資料（如權利變動或授權相關契約等），向韓國著作權委員會申請，該委員會須於15天內進行審查，確認權利後即發予申請人認證書。 　　韓國著作權委員會相關人士表示，韓國著作權委員會此次被指定為著作權認證機關之目的，係因韓流文化擴散，帶動韓國內容產業進入國際市場，然針對海外著作權交易，權利歸屬狀態不清楚常成為雙方甚至包括第三方的爭執點，故擬透過推動著作權認證制度，克服外國人利用韓國著作過程中，難以分辨權利人真偽或找不到權利人之困境。透過韓國政府機關確認著作之權利關係所給予具公信力之認證書，確保著作權交易秩序之穩定與信賴。 　　韓國著作權認證制度目的在於：協助韓國企業得以在海外順利進行著作權交易，以活絡著作權交易流通。反觀我國並無著作權相關認證制度，加上著作權並非採登記對抗主義，為降低海外著作權交易可能衍生之紛爭，未來或可借鏡韓國作法，推動一套符合我國產業環境之著作權認證機制。