德國「智慧聯網倡議」

　　美國聯邦第9巡迴上訴法院日前針對一項於2005年制定之加州法律進行罕見的聽審程序，以便決定此一州法是否因違反聯邦憲法第一修正案而無效。 　　此一法律之內容係禁止販售或出租暴力電玩予任何未滿十八歲之人，且要求此種電玩均須加以明確標誌。而電玩廠商則宣稱此一法律已侵犯了未成年人受憲法第一修正案所保護之言論自由。而值得注意者為，除去年下級法院已對此一案件做出電玩廠商勝訴之判決外，其他的州法院也紛紛做出具有類似限制內容之法律為違憲無效之判決。 　　然而，儘管如此，加州檢察總長Zackery Morazzini依然表示：州政府本即有權協助家長使未成年人遠離暴力電玩的不良影響。且美國聯邦最高法院亦已肯認禁止未成年人接觸明顯「性資訊」之法律為合憲。與此相同，暴力電玩可說亦同樣具有「猥褻」之特性。 　　而電玩廠商於訴訟中則表示：倘若此一法律得以合憲，則勢必會產生滑坡效應，即州政府勢必將會以保護兒童為藉口，而對於其它資訊，諸如同性戀、性教育、生育控制等等之提供作出更多的限制。而此種滑坡效應，顯然亦是第9巡迴上訴法院所關切的重點之一：如Alex Kozinski及Sidney Thomas兩位法官，均在聽審程序中特別表達對於此一效應的關注。 　　無論如何，上訴法院亦將於未來幾個月內對於此案做出判決。然而，顯而易見的是，無論上訴法院會如何裁判，本案最終仍須經聯邦最高法院裁決後方能有最終決定。

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).

　　Facebook宣布改名為「Meta」，決心投入巨額資金發展虛擬實境並研發相關app提供用戶社交會面和辦公場所，藉此定位自己為元宇宙（Metaverse）公司。臉書創辦人Mark Zuckerberg在今（2021）年10月28日宣告將「Facebook」改名為「Meta」的公開信中提及，在元宇宙中，您幾乎能做到所有能想像到的事情，與朋友和家人聚會、工作、學習、購物等行為。 　　元宇宙這名詞是如此新穎，以至於沒有一個被普遍接受的定義。它被認為是網路的未來。由臉書創辦人上述的公開信可以得知，元宇宙是個讓使用者能身歷其境且包羅萬象的世界，將超脫電玩與娛樂而進入工作和商業的領域。現實生活中一切的行為幾乎都可以在元宇宙中進行，也因此，現實世界的法律問題，也可能發生在元宇宙中，進而影響法律秩序。 　　隨著區塊鏈和加密貨幣這類科技被廣泛採用，在元宇宙或Web3.0這樣的虛擬空間經營公司、買賣持有商品將順勢發展而來。財產的標記化（tokenization）也意味著任何實體或虛擬物的所有權可以被認證，也在無法竄改的帳本擁有權限碼，使得虛擬世界的交易更可靠。 　　非同質化代幣（Non-Fungible Tokens，下稱NFTs）是近來彰顯所有權的新興表現方式，這將會在元宇宙的經濟體系中扮演重要角色。所有因契約、租約而來的財產將被標記化，使人們有可能在Opensea這樣的平台購買數位土地、數位房產或者任何其他的數位虛擬物品，且一樣能證明所有權。可以說，數位財產標記化將對法律業產生最大影響。元宇宙將很有可能發展出一個數位城市，使消費者們能在數位世界購買土地，在土地上面建造房屋且將透過NFTs把房子放滿藝術品。消費者們可以好好裝扮自己在元宇宙內的分身，買電影院或者演唱會的票。所有的商品和服務可以透過NFTs標示所有權的方式跟企業購買。 　　在元宇宙裡，交易行為將與現實世界一模一樣。財產可以被交易、關係可以被建立，也可以成立公司，更會創造出智慧財產，也會產生著作權的爭端，或者發生利用數位資產洗錢、逃漏稅等新型態的犯罪，但元宇宙中的行為人與現實世界行為人不一定有明確連結，使得執法機關更難以追查，甚至產生管轄權之衝突。在元宇宙中存在和營運的公司也如同現實世界一樣，需要法律專家和保險制度降低他們的風險。 　　元宇宙對法律產業和監管機構帶來的影響是多方面的。Facebook，或者說改名後的Meta，有意激發世人對元宇宙的討論以及關注元宇宙的發展，而律師們和法律事務所也必須熟稔於這個領域，以應付那些即將要投入這項產業的客戶們。

　　美國哥倫比亞地方法院於今（2010）年8月23日發出暫行性禁制令（preliminary injunction），判定由聯邦政府經費補資助進行的人類胚胎幹細胞研究應暫時停止，此裁判嚴重打擊歐巴馬政府在去年新發布的幹細胞研究政策（Executive Order 13505 - Removing Barriers to Responsible Scientific Research Involving Human Stem Cells）。新政策允許對胚胎幹細胞株進行研究，不論該幹細胞株為前布希政府所允許的有限細胞株，或使用人工授精過程中經明文同意且無償提供研究用之剩餘胚胎。 本禁制令源於去年在新政策公布後，部分反對胚胎研究的團體及成人幹細胞研究科學家主張，美國國家健康研究所（NIH）根據歐巴馬政府新政策所制定的指導方針（NIH Guidelines on Human Stem Cell Research），違反Dickey-Wicker修正案，並侵蝕成人幹細胞的研究經費分配，因此對NIH提出此項訴訟。 　　Dickey-Wicker修正案禁止NIH從事破壞生命的研究，其為1996年以來國會每年在審理聯邦政府的綜合撥款法時所附帶通過的法律，等於是對NIH研究自由的界線設定。本案承審法官認為，人類胚胎幹細胞研究可能涉及摧毀人類胚胎，違反Dickey-Wicker修正案，因此這項告訴可能勝訴，法院因此同意發出暫時性禁制令。 地方法院此項裁判引發不少爭議，除相關利害關係人悲觀表示美國幹細胞研究因此將受到重創外，對於裁判內容究竟代表什麼意義，各方看法也不盡相同。裁判法官稱此裁判不過使幹細胞研究「維持現狀」（status quo），然而對於所謂的「現狀」，卻有不同解讀，有認為裁判結果意味全面禁止胚胎幹細胞的研究，亦有認為是回歸到布希政府的政策態度。 　　歐巴馬政府方面認為，其幹細胞政策並不違反Dickey-Wicker修正案，因其資助的研究使用的是「已經製造」出來的胚胎幹細胞株，而非資助破壞胚胎的「程序」，目前聯邦司法部已對此裁判提出上訴；另為了徹底解決此項爭議，眾議院於9月新會期一開始，已有議員正式提出法案（Stem Cell Research Advancement Act of 2010, S. 3766），內容除將歐巴馬總統之政策予以法制化外，也明文排除Dickey-Wicker修正案於幹細胞研究之適用，希冀徹底解決美國胚胎幹細胞研究爭議。