何謂「Regtech」？

　　今年7月31日最新一期的巴伐利亞邦政府公報(Allgemeines Ministerialblatt, AllMBl)，揭露今年6月5日的巴伐利亞內閣會議紀錄─關於巴伐利亞邦執行DSGVO的方式。　　 公報內容指出幾個重點： 業餘體育俱樂部(Amateursportverein)、樂隊(Musikkapelle)或由志願者投入者組成的協會(Verein)，不須任命資料保護官員(Datenschutzbeauftragten, DSB)。 如果因為對法律的不熟悉而初次違反DSGVO，並不會被罰款；相關單位的指示和建議將優先於處罰。因依據DSGVO第83條第1項規定，處罰應該是有效、適當且具有懲戒性的。故對於非第一次違反的情況，就可能直接依據DSGVO第83條規定處以罰款。 巴伐利亞邦不能接受「警告律師」(Abmahnanwälten)告誡企業資料保護行為違規的做法。 邦政府將向有關單位進一步確認DSGVO中的相關規定，其應用尤其必須能夠確保正確且適當的符合DSGVO的目標。 邦政府將與協會和中小企業進行進一步有關DSGVO適用的討論。 　　在巴伐利亞邦政府公布的新聞稿中，總理馬庫斯索德進一步表示：「DSGVO實現了更大程度的隱私保護，但不應該成為官僚主義的怪物。巴伐利亞將提供對協會及中小企業都友善的DSGVO適用方式。我們提供的是幫助，而不是懲罰。」內政部長Joachim Herrmann則表示：「DSGVO希望促使人民接受，但不是在人民的日常生活製造更多的困擾和額外的官僚主義。最重要的是，所有的協會、許多有志願者投入的地方或中小企業，必須透過適當和正確地應用DSGVO，來保護其免受過度的資料保護要求。」 　　巴伐利亞資料保護監督辦公室(BayLDA, Bayerische Landesamt für Datenschutzaufsicht)並進一步公布了對許多中小企業，如：協會、醫療診所(Arztpraxis)、稅務顧問(Steuerberater)……等行業，遵循DSGVO的參考指引，提供進一步的遵循指示。

　　BS 10012:2009個人資訊管理系統近期轉版，英國標準協會已於2017年3月31日發布BS 10012:2017新版標準，此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準，新標準採用ISO/IEC附錄SL之高階架構（High Level Structure），該架構為通用於各管理系統的規範框架。 　　2017新版架構由原本的6章變為為10章，新架構如下： 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 　　新標準主要修改內容如下： 個資盤點單需增加「法規」盤點項目，且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用： （1）蒐集前須先告知當事人並取得其同意。 （2）蒐集應有必要性且最小化。 （3）兒童個資蒐集、利用須先經監護人同意。 （4）若個資利用目的為開放資料（Open data）須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權，例如：網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測，包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 　　BS 10012:2009版本將於2018年5月25日廢止，公司驗證轉版的過渡期為24個月，因此2019年3月未轉版者證書失效。

　　美國加州議會於2019年9月12日通過《加州法案AB 824，商業：保持人們對負擔得起的藥物之近用（California AB 824 - Business: preserving access to affordable drugs）》（下稱AB 824法案），其主要規範藥品專利侵權和解協議中之「遲延給付（pay for delay）」條款，推定其具有反競爭性，為美國第一部規範製藥公司之間簽訂遲延給付條款之州法。 　　於AB 824法案中，其規範對象為學名藥與生物相似性藥物之藥證申請人，統稱為「非參照藥物申請者（Nonreference drug filer）」。其規定若用來解決專利侵權之協議為「非參照藥物申請者」從主張專利被侵害的公司處接受任何有價值之物，且同意於一段期間內限制或放棄學名藥或生物相似性藥品的研究、開發、製造、上市、銷售，則該協議推定具有反競爭效果。惟例外若能證明「非參照藥物申請者」所獲得之價值僅對其他商品或服務是公平合理的補償、協議直接產生了競爭優勢，協議的競爭優勢大於協議的反競爭效果，則反競爭性之推定可舉上述事由為證而推翻。每次違規行為可處以高達2000萬美元或「非參照藥物申請者」收到的價值三倍的罰款，以數額高者為準。 　　AB 824法案減輕政府舉證責任的負擔，將主張和解協議不具反競爭效果之舉證責任轉移至和解協議當事人身上，且因此種推定，當事人必須向政府揭露更多和解協議之資訊，而增加協議之透明度。

　　法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）基於cookie聲明（cookie banner）違反法國資料保護法（Act N°78-17 of 6 January 1978 on Information Technology, Data Files and Individual Liberties）裁罰微軟愛爾蘭分公司（Microsoft Ireland Operations LTD，下稱微軟）搜尋引擎Bing，並根據cookie蒐集資料間接產生的廣告收入、資料主題數量及處理的資料範圍定出6千萬歐元之罰鍰額度，且要求微軟應於3個月內限期改正，如逾期按日處以6萬歐元罰鍰。本案是繼2022年1月6日以來，CNIL以相同理由分別對Google與Facebook裁罰1.5億及6千萬歐元罰鍰後，再增1件科技巨頭因違法運用cookie遭受裁罰之案例。本案對我國隱私執法機關參酌於數位環境中，應就cookie聲明如何進行管理之理由與細節，具有參考價值。 　　而本案微軟之搜尋引擎Bing遭受裁罰之理由，主要可分為二面向： 　　一、未經使用者事前同意，逕於使用者設備中設置cookie 　　依法國資料保護法第82條規定，業者利用cookie或其他追蹤方式針對使用者終端設備上的資料進行讀取或寫入資料前，應盡告知義務並取得使用者同意。惟搜尋引擎Bing在使用者造訪網站時，未經使用者同意便設置一種具有安全及廣告等多種用途的cookie（MUID cookie）於其電腦設備，且當使用者繼續瀏覽網站時，將會另設置其他廣告cookie，然微軟亦未就此取得使用者同意。 　　二、拒絕設置cookie與給予同意之方式便利性應相同 　　在有效同意的標準與具體判斷上，由於搜尋引擎Bing的cookie聲明第一階層僅提供「接受」與「設定」兩類按鈕，並未提供「拒絕」按鈕，因此使用者同意或拒絕設置cookie之流程便利性有其差異，並未一致，如下說明： 　　（一）使用者同意設置cookie 　　如使用者同意設置cookie，僅需於cookie聲明的第一階層點擊「接受」按鈕，即完成設置。 　　（二）使用者拒絕設置cookie 　　若使用者欲拒絕設置cookie，需於cookie聲明的第一階層點擊「設定」按鈕；其後進入第二階層，使用者可於各類型cookie選擇開啟或關閉，再點擊「保存設定」按鈕，始完成設置。 　　是以使用者拒絕同意設置cookie與給予同意之方式，兩者的便利性並未一致。又因第二階層顯示默認未設置cookie，恐導致使用者誤以為網站並未設置cookie，故CNIL認為此種同意欠缺自願性而屬無效者。