RFID應用發展與相關法制座談會紀實

　　2017年美國統一法律委員會（Uniform Law Commission, ULC）於2017年9月公布「統一虛擬貨幣事業監管法」（Uniform Regulation of Virtual Currency Business Act, 以下簡稱VCBA）全文、總說明以及利害關係人意見，對於虛擬貨幣（virtual currency）提供管制架構，囊括虛擬貨幣定義和適用範圍、營業執照要求、跨州互惠原則、消費者保護、網路安全、反洗錢和對進行虛擬貨幣商業活動者之監管等重要問題，作為各州相關立法參考。迄今美國夏威夷州和內布拉斯加州分別向州議會提案，朝向採用VCBA作為該州虛擬貨幣管制參考規範之方向討論。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。

　　為了滿足行動寬頻時代對於無線頻譜的需求，美國規劃了多種不同的頻譜釋出、分享或共用的政策，以增加可用的頻寬或提高使用效率，其中針對既有的數位無線電視服務所使用的頻譜，則提出「獎勵拍賣機制(incentive auctions)」。此機制最初於2010年由FCC提出，其特色在於具備自願性及市場導向兩項內涵。本次美國啟動獎勵拍賣機制，主要目的為藉由新業務之頻譜拍賣，將所得之部分標金作為誘因，以鼓勵廣播電視業者繳回原有頻譜使用權，並促進美國寬頻計畫(National Broadband Plan)之發展。目前針對此機制，美國國會已於2012年2月22日正式授權FCC執行。而FCC則於2012年10月2日發布FCC 12-118法規制定建議通知(Notice of proposed rulemaking, NPRM)，並依據美國「2012年中產階級稅收減免及創造就業法案」(Middle Class Tax Relief and Job Creation Act of 2012)之授權，針對廣播電視頻譜獎勵拍賣機制進行商擬，並廣徵各界建議。 　　本次廣播電視頻譜獎勵拍賣機制主要可區分為三個步驟，(一)反向拍賣(reverse auction)，指廣播電視業者藉由投標之方式，標得原持有頻段之自動放棄權。(二)頻譜重組(reorganization or repacking)，此步驟是為了讓廣播電視頻譜藉由重組後，可釋出部分的超高頻(UHF)頻段以作為其他業務使用。(三)正向拍賣(forward auction)，即針對頻譜進行重新授權，對此FCC提出將以更為彈性的概念使用頻譜。 　　目前整體拍賣機制尚處發展階段，各步驟內部運作應如何規劃，FCC仍積極尋求外界建議。不過從FCC所提出的五項關鍵政策目標(key policy goals)中，亦可歸納出未來整體機制的規劃方針包含(一)提升頻譜效能，期望未來得以5MHz為拍賣單位，並且支持各類無線行動技術如W-CDMA、HSPA以及LTE技術之發展、(二)確保不干擾鄰近國家頻譜之使用、(三)發展各頻段之通用性(interchangeable)，促進各頻譜區段在重新配置後具備可替換性、(四)刺激頻譜回收達理想數量，以及(五)促進頻譜技術中立概念。面對美國在提升頻譜使用效率策略上又一記新嘗試，即便目前仍有許多不確定因素亟待突破，但就促進頻譜使用效率而言，亦不失為頻譜交易機制之外，另一可參考之方向。

　　2012年3月，Google 公告使用者的新網路隱私權政策條款，這項措施將Google 所提供的各項服務適用同一個隱私權政策，並整合多項服務於同一帳號之中，隨著隱私權政策的變動，使用者條款也一併更新，這項措施並同時透過電子郵件通知所有的使用者。然而，Google 此項新政策在歐洲地區實施時卻碰到困難，歐盟表示該隱私權條款適法性受到質疑，將可能受到有關單位的調查。 　　歐盟資料保護相關指令乃建構基礎架構規制網路使用者個人的隱私，相關機構與業者都必須遵守。關於此項Google 新隱私權政策條款，規定使用者的資料可以合併使用於各個不同的服務中，將可能造成使用者的個人資料將可能透過不同的服務而洩漏，並且遭受第三人使用，而有違反歐盟資料保護指令之虞。針對此問題，法國資料保護管理機構（The Commission Nationale de l'Informatique, CNIL）已對Google 提出詢問，詢問的內容包含Google是如何保存使用者的資料；如何將使用者於不同服務中揭露的資訊加以整合等問題。由於既存的使用者若要繼續使用Google相關服務，就必須同意該新訂隱私權政策條款，因此CNIL也透過此次機會了解使用者退出資料不被揭露的機制內容，以避免使用者在未經同意下個人隱私受到侵害。不過，屆至目前為止，包含英國在內的歐洲各國仍普遍認為，該隱私權政策條款並未充分賦予使用者掌握個人資料的權限。 　　相較於歐盟，美國聯邦交易委員會（Federal Trade Commission, FTC）對於使用者於使用網路時隱私權的保護，著重於業者隱私權保護的承諾；亦即歐盟著重於隱私權為個人基本權利，而美國普遍要求網路業者能於條款中，明確承諾保護使用者使用網路時的各項權利。無論如何，各國對於保護使用者使用網路服務的原則與概念雖然不同，但對於使用者資訊揭露的透明化要求均為一致。