物聯網時代的資料保護防線－以歐盟GDPR為中心

歐盟執委會（European Commission）於2023年6月28日提出第三版支付服務指令（Third Payment Services Directive, PSD3）草案，目前預計於2024年底前通過最終版本，並於2026年施行。 相較第二版支付服務指令（PSD2），PSD3強化歐盟電子、數位支付和金融服務規範，補強安全性（Security）、透明度（Transparency）與促進創新（Innovation），建立更適合歐盟的支付架構。其旨在保護消費者權益和個人資訊，改善支付產業競爭環境，提高消費者對資料掌控度，促進創新金融產品服務發展。 PSD3修正重點歸納如下： 一、消費者保護：強化對未經授權交易之保護，完善支付詐欺或支付錯誤之賠償方案，減少消費者潛在損失。 二、開放銀行（Open Banking）：持續推動開放銀行發展，透過加強規範第三方支付服務提供者（Third party payment provider, TPP）與提供更標準化與更安全的應用程式介面（Application Programming Interface, API），促進創新金融產業服務發展。 三、支付系統安全性：強化客戶身分認證（Strong Customer Authentication, SCA），促進支付過程的透明度與安全性。 四、因應新型詐欺：導入新規定與工具對抗日益增加的網路詐欺風險。 五、跨境支付：加強跨境支付措施與降低成本，推動歐盟市場一體化。 六、支付創新與多元化：導入區塊鏈或其他更先進的即時支付系統。 七、監管：制定更明確的法規，加強各方監管，確保市場公平與穩定。

　　歐盟執委會於2019年6月正式通過「歐盟網路與資訊安全局暨網路安全認證規則(EU Regulation on ENISA and Cyber Security Certification)(Regulation (EU) 2019/881)。規則新增歐盟網路與資訊安全局（European Union Agency for Network and Information Security,ENISA）之職責，負責推行「網路安全認證機制(European cybersecurity certification scheme)」。 　　網路安全認證機制旨在歐盟層面針對特定產品、服務及流程評估其網路安全。運作模式是將產品或服務進行分類，有不同的評估類型（如自行評估或第三方評估）、網路安全規範（如參考標準或技術規範）、預期的保證等級（如低、中、高），並給予相關之認證。為了呈現網路安全風險的程度，證明書上可以使用三個級別：低、中、高（basic，substantial，high）。若資訊安全事件發生時，對產品、服務及流程造成影響時，廠商應依據其產品或服務之級別採行相對應的因應對策。若被認證為高等級的產品，則表示已經通過最高等級的安全性測試。 　　廠商之產品或服務被認可後會得到一張認證書，使企業進行跨境交易時，能讓使用者更方便理解產品或服務的安全性，供應商間能在歐盟市場內進行良好的競爭，從而產生更好的產品及性價比。藉由該認證機制所產生的認證書，對於市場方將帶來以下之效益： 一、產品或服務的提供商（包括中小型企業和新創企業）和供應商：藉由該機制獲得歐盟證書，可以在成員國中提升競爭力。 二、公民和最終使用者（例如基礎設施的運營商）：針對日常所需的產品和服務，能做出更明智的購買決策。例如消費者欲購買智慧家具，就可藉由ENISA的網路安全認證網站諮詢該產品網路安全資訊。 三、個人、商業買家、政府：在購買某產品或服務時，可以藉此機制讓產品或服務的資訊透明化，以做出更好的抉擇。

　　加拿大廣播電視及電信委員會（Canadian Radio-Television and Telecommunications Commission，CRTC）於2009年10月之Telecom Regulatory Policy CRTC 2009-657中，公佈網路流量管理架構（Internet Traffic Management Pratices，ITMPs）之決定，作為管理ISP業者進行差別待遇之依據。該管理架構是加拿大維護網路中立性原則的實踐。 　　當時CRTC並未決定該架構是否一併適用於行動無線網路，直至2010年7月CRTC發布Telecom Decision CRTC 2010-445，決定將該規則一併適用於行動無線網路，以解決潛在的差別待遇行為發生於行動無線資料服務。 　　根據2009年之管理架構，CRTC宣示了四項管理原則： 1.透明度(Transparency) ISP必須透明揭露他們所使用的ITMPs，使消費者能根據這些資訊決定服務的購買與使用。例如經濟條件的透明，使消費者能夠有符合其支付意願之選擇，使市場機制能夠正常運作。 2.創新(Innovation) 解決網路壅塞最基本的方式是透過對網路之投資，也仍是最主要的解決方案。但依靠投資並不能解決所有的問題，CRTC認為，ISP業者之ITMPs在某些時候，仍需要適當的管理措施介入。業者之ITMPs應針對明確的需求而設計，不可過度。 3.明確(Clarity) ISP業者必須確保他們所使用的ITMPs不會有不合理的歧視，也不會有不合理的優惠。CRTC所建立之ITMP的管理架構，提供一個清晰和結構化的方法，來評估既有與未來的ITMPs是否符合加拿大電信法（Telecommunications Act）第27(2)條規範。 4.競爭中立(Competitive neutrality) 對於零售服務，CRTC將採取事後管制原則，即接受消費者投訴後處理之原則，進行管制評估。而在批發服務部份，則較為嚴格。亦即，當ISP在批發服務使用了比零售服務較多的限制性ITMPs時，必須得到CRTC之批准。當ISP將ITMPs用於批發服務時，必須遵守CRTC之管理架構，不得對次級ISP（Secondary ISP）的流量造成顯著和不相稱的影響。 　　值CRTC並將採取行動以確保因實施ITMPs而收集之個人資訊，不被洩漏與使用至其他目的。 　　在本項決定公佈之後，代表加拿大提供接取網際網路的ISP，無論使用何種技術，都將適用同樣的ITMPs管理原則。在Google-Verizon於美國遊說網路中立性應不適用於行動無線網路之時，CRTC之決定可做為不同方向之參考。