美國國家製造創新網絡2016年度報告

與時俱進的新興科技法制－美國無人飛行器（UAS）管理法制初探 科技法律研究所 法律研究員　陳世傑 2015年07月30日 壹、事件摘要 　　因電子與無線傳輸科技的進步，俗稱Drone的無人飛行器（Unmanned Aerial Vehicles，UAV），自美國亞瑪遜公司（Amazon）擬採為運送網路購物商品的工具後，無人飛行器的運用，已逐步從單純娛樂用途跨向商業用途的應用。無人飛行器的廣泛運用，是否可能影響安全、隱私、甚至政府監視的警察國家爭議，已經引起美國各級政府的重視，也紛紛立法加以因應。聯邦議會與各州議會亟思如何在法規上妥善調適，以因應越來越多商用無人飛行器的用途需求與其他公益保護之考量，例如飛航安全、隱私安全、甚至國土安全等，美國已經採取相關法制規劃，以完善UAV之管理。 貳、重點說明 一、美國聯邦管理法規 　　無人飛行器在美國由其聯邦航空總署（Federal Aviation Administration，FAA）主管，2012年2月14日生效的FAA現代化及改革法（The FAA Modernization and Reform Act of 2012，FMRA），為美國聯邦法律主要的管理法源。 　　FMRA對無人飛行器所採正式名稱為無人飛行機（Unmanned Aircraft），依其第331節定義，UAS指，而小型UAS（Small unmanned aircraft）則指55磅以下之UAS。 　　FAA指出，無人飛行系統（Unmanned Aircraft Systems，UAS）依其用途區分為公務用（Public Operations）、民用（Civil Operations）、娛樂用（Model Aircraft）三種，並有不同的管理規定。 　　公務用無人飛行器使用管理相關聯邦法律，有49 U.S.C. § 40102(a)(41)及49 U.S. Code § 40125就「公務用飛行器」（Public Aircraft）使用範疇之相關規定。 　　法律規定之公務用無人飛行器，FAA得發給飛航許可（Certificate of Waiver or Authorization，COA），而在其許可之特定空間範圍、操作方式或使用目的下操作公務用無人飛行器。FAA發給公務用無人飛行器之COA時多會附加公共安全之要求，例如不得於人口密集區域使用、避免影響其他飛行器路權（right-of-way rules）的使用。 　　民用無人飛行器之使用，可向FAA申請兩種使用許可，一為FMRA第333節之特許（Section 333 Exemption），其次為FAA第8130.34號行政命令特別適航性許可（Special Airworthiness Certificate，SAC）。 　　FMRA第333節之特許規定要求，美國聯邦運輸部得經申請，在一定體積、重量、飛行速度、安全性等要求下，特許申請人以無人飛行器進行商業使用（Certificate of Waiver or Authorization，COA），文前所述Amazon所遞交之申請即為此種COA。 　　SAC特別適航性許可則是要求申請人，於檢具所申請之飛行系統之硬體結構與軟體開發、控制與其管理（configuration management）之設計、規劃、製造上具適航性之說明以進行SAC申請。 　　娛樂用無人飛行器之使用，依照FMRA第336節規定，毋須經主管機關許可，惟仍須符合以下規定，包括飛行高度須低於400呎且維持飛行區域之淨空，且飛行器應隨時處於使用者目視可及之範圍。 二、美國各州管理法規 　　在聯邦層級法律以外，除華盛頓特區已為無人機禁用區（No Drone Zone）外，美國各州對於無人飛行器之使用，也各自有不同的立法。至2015年6月為止，美國共有25州對無人飛行器之定義、使用、管理等已有相關法律施行。2015年美國已有45州計151個法案與無人飛行器之使用管理進行規定。阿肯色州等15州完成立法，阿拉斯加等4州通過提案交付審查，喬治亞洲決議交由州議會成立特別委員會進行無人飛行器法案研究、新墨西哥州則由州參眾兩院通過備忘錄就無人飛行器的使用對於野生動物保護之影響進行研究。 參、事件評析 　　美國自聯邦乃至各州法規對於UAS之管理密度與保護面向各有不同，惟就聯邦FAA受理申請之情形，與各州之立法進度，顯見UAS此一新興科技所帶來的法制調適已經如火如荼的展開。UAS的逐漸普及所帶來的法規相應調整或跟進的需求，已促使美國聯邦與州政府的重視。甚至除了使用的管制外，有關UAS的輸出，美國國務院亦於2015年2月發布有關軍事用途UAS的出口管制政策，其中也同時對商用無人機之出口進行一定程度之管理，可見無人機技術的進步，未來將逐步帶動法制面從使用管理、產品管理甚至朝向技術管理發展。

　　歐盟於2018年4月19日宣布通過「第五洗錢防制指令」(the Fifth Anti-Money Laundering Directive)，並於同年6月19日公布確定案文，其要求歐盟成員國必須於18個月內將該命令納入國內法律中。 　　歐盟在本次指令中，特別針對恐怖主義組織財政和運作方式揭示出所觀察的新趨勢，其指出某些作為替代金融體系的新技術服務越來越受歡迎，但卻不受法令所拘束，或是被豁免於相關法律適用外等不合理情事，因此「第五洗錢防制指令」為了跟上不斷進步的科技環境，乃要求法人、其他法律實體(legal entities)、信託及具有與信託類似結構或功能的法律協議(類似的法律協議) 應採取進一步措施，以確保提高金融交易的透明度，並藉此改進現有的預防框架，達到更有效地打擊資助恐怖主義行為的目的；另外歐盟亦於該指令中提醒所有採取的措施應和洗錢風險成比例。 　　有關「第五洗錢防制指令」主要新增及修正包含： 迎接新技術：託管錢包供應商(custodian wallet providers)和虛擬貨幣交換平臺將被視為新的義務主體而納入於洗錢防制法的範圍。另外「第五洗錢防制指令」還允許使用電子身分證明進行客戶盡職調查。 改進執法：各成員國須建立自身國家的銀行帳戶登記系統，以便執法當局能夠方便地查閱在該成員國內的所有銀行帳戶資訊。另外該登記系統須與其他成員國互相連線，並且即便在沒有提交可疑活動報告的情況下，執法當局也可以要求義務主體提供資料。 明確定義"重要政治性職務人士"：各成員國都必須發佈一份清單，列出哪些屬於 "重要的公共職能"。 針對高風險第三國為更嚴格的管制：「第五洗錢防制指令」要求涉及高風險第三國的商業關係或交易須採取強化盡職調查措施,，並允許成員國限制義務主體在高風險第三國設立分支機搆或子公司，亦禁止總部設在高風險第三國的義務主體於成員國設立分支機搆。 提高公司實質受益權的透明度：各成員國的公司實質受益權登記將放寬查詢限制，公眾無須提出任何合法權益證明即可查閱基本資訊。另外還要求企業(登記義務主體)必須針對持有資訊與在登記系統上資訊的差異提出報告。 信託的實質受益權：「第五洗錢防制指令」擴大實質受益權申報義務主體範圍，要求任何類似信託的法律安排及租稅中立性的信託均須申報；另外還擴大該實質受益權申報的查閱至任何能提出具有合法利益的人，但其並未對合法利益提出定義，而是讓各成員國自行訂定。然而「第五洗錢防制指令」指出，該合法利益的定義不應侷限在行政或法律訴訟未決的案件，而是應針對洗錢防制及反資助恐怖組織領域的預防工作為考量。 禁止匿名保險箱。 調整預付工具(prepaid instruments)需進行盡職調查的門檻(如禮品卡、旅遊卡)：價值要求從250歐元降低到150歐元。

　　美國國家衛生資訊科技協調辦公室（The Office of the National Coordination for Health Information Technology, ONC）於2020年5月公告的「資訊封鎖最終規則（Information Blocking Final Rule）」，於2021年4月5日正式生效。 　　ONC依21世紀醫療法（21st Century Cure Act）授權，制定有「21世紀醫療法：協同操作性、資訊封鎖與ONC健康IT認證計畫」（21st Century Cures Act: Interoperability, Information Blocking, and the ONC Health IT Certification Program）最終規則，包含各面向關於新興醫療IT技術之規範，其中特別針對資訊封鎖的相關條文，又稱為「資訊封鎖最終規則」。 　　21世紀醫療法為了確保病患資料近用權利，在法條中明定禁止資訊封鎖行為。「資訊封鎖」，根據資訊封鎖最終規則的定義，是指健康照護業者或健康資訊技術廠商，包括受認證的健康資訊技術（health IT）、健康資料交換 （health information exchange）或健康資料網絡（health information network），在欠缺法律授權或非屬美國公共衛生服務部（Health and Human Service, HHS）認定合理且必要的情況下，所為之干擾、防止或嚴重阻礙電子健康資料（Electronic Health Information, EHI）獲取、交換及使用行為。但以下八種情況，不適用資訊封鎖最終規則：預防傷害（Preventing Harm）、隱私（Privacy）、安全（Security）、不可行性（Infeasibility） 健康IT性能（Health IT Performance）、內容與方式（Content and Manner）、費用（Fees）、授權（Licensing）。 　　21世紀醫療法在資訊封鎖章節中規定，資訊封鎖相關條文在資訊封鎖例外類型被定義出來後，始生效力。換言之，在資訊封鎖最終規則生效後，病患將有權依法近用其電子健康資料，資料持有者原則上不得拒絕。值得注意的是，資訊封鎖最終規則生效後至2022年10月6日止，適用資訊封鎖條文的電子健康資料範圍，係以美國協同操作核心資料（United States Core Data for Interoperability, USCDI）中所定義之電子健康資料為準。USCDI，是由ONC主導建立的一套資料標準格式，以統一健康資料交換格式，促進資料流通。2022年10月6日起，資訊封鎖最終規則所指的電子健康資料範圍將不僅只局限於USCDI標準所定義之電子健康資料，將擴及健康保險流通與責任法（Health Insurance Portability and Accountability Act， HIPAA）所定義的所有電子健康資料。

歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》（Guidelines on measures to ensure a high level of privacy, safety and security for minors online，下稱指引），依據《數位服務法》（Digital Services Act）第28條未成年網路保護規定，未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障，且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料，前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務，及其服務面向包含未成年人或主要由未成年人使用，或其提供者知曉部分接收者為未成年人，則該數位平臺可被視為提供未成年人存取，數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡，常見的年齡確認方式有三種：自我聲明、年齡估測、年齡驗證，數位平臺提供者應評估所採方式之必要性及適當性，以最小侵害措施達成高度安全性，並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮，歐洲數位權利組織（European Digital Rights, EDRi）認為政府忽略數位平臺設計與商業模式的根本性問題，依賴年齡認證可能限制未成年人的權利，且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性，但歐盟執委會已將指引作為合規評估標準，使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界，該如何避免未成年人接觸不良網路內容成為許多國家關心的議題，值得持續追蹤相關動態作為我國未成年網路安全政策之參考。