日本內閣官房提出法案規範醫療個資去識別化業者，以促進研發利用

　　美國現任總統川普（Donald J. Trump）於美國時間2020年12月4日簽署物聯網網路安全法（IoT Cybersecurity Improvement Act of 2020），針對美國聯邦政府未來採購物聯網設備（IoT Devices）制定了標準與架構。 　　該法要求美國國家標準技術研究院（National Institute of Standards and Technology, NIST）應依據NIST先前的物聯網指引中關於辨識、管理物聯網設備安全弱點（Security Vulnerabilities）、物聯網科技發展、身分管理（Identity Management）、遠端軟體修補（Remote Software Patching）、型態管理（Configuration Management）等項目，為聯邦政府建立最低安全標準及相關指引。如果使用政府機關所採購或獲取之物聯網設備無法遵守NIST制定的標準或指引，則不得續簽採購、獲取或使用該設備之契約。 　　安全標準和指引發布後，美國行政管理和預算局（the Office of Management and Budget）應就各政府機關的資訊安全政策對NIST標準的遵守情況進行審查，NIST每五年亦應對其標準進行必要的更新或修訂。此外，為促進第三方辨識並通報政府資安環境弱點，該法要求NIST針對聯邦政府擁有或使用資訊設備的安全性弱點制定通報、整合、發布與接收的聯邦指引。 　　雖然該法適用範圍限於聯邦政府機關，惟因該法限制聯邦政府機關採購、獲取或使用不符合NIST標準或指引的物聯網設備，將促使民間業者為獲取美國政府訂單而選擇遵循NIST標準，未來該標準可能成為美國物聯網安全的統一標準。

　　2018年3月21日，歐盟執行委員會（European Commission）發布數位經濟公平課稅（Fair Taxation of the Digital Economy）指令草案，指出在數位經濟模式中，由於創造利益的用戶資料地並不受限於營業處所，因此銷售貨物與提供勞務之增值發生地，與納稅主體之納稅地點分離，而無法為現行來源地原則所評價，嚴重侵蝕歐盟境內稅基。對此，該草案分別提出了數位稅（Digital Tax）與顯著數位化存在（Significant Digital Presence）兩份提案，用以針對特定數位服務利潤制定共同性數位稅制，以確保數位服務業者與傳統的實體公司立於平等的市場競爭地位。 　　值得關注的是，該草案之長遠解決提案以「顯著數位化存在」（Significant Digital Presence）修正國際間課稅權歸屬之重要人事（Significant People function）功能判斷，並認為建立利潤分配原則時，應參考經濟合作暨發展組織（Organization for Economic Cooperation and Development）稅基侵蝕與利潤移轉（BEPS，Base Erosion and Profit Shifting）行動計劃中DEMPE模式（Development Enhancement Maintenance Protection Exploitation function），決定獲利之分配，作為未來增值利益的認定。 　　然而不少持反對意見的國家認為，數位經濟只是傳統公司面對數位化，利用無形資產的商業模式改變而已，而此種新興模式並不足以作為開徵數位稅收新稅種。縱使數位經濟下無形資產產生之價值必須重新界定，現行稅收歸屬與國際間租稅協定本身並無不妥，而應強調各國稅捐機關之租稅資訊之合作。愛爾蘭已與捷克共和國、芬蘭、瑞典發表反對聲明，表示數位經濟課稅的方案不應背離BEPS行動計畫之期中報告，並應考慮到國際間因租稅引起的貿易戰爭，以及避免對數位經濟的扼殺。對此，歐盟監管審查委員會（Regulatory scrutiny Board）亦認為，草案並未針對數位稅的有效稅率進行量化分析，嚴重忽略了數位稅對於區域內經濟的衝擊。 　　由於未能獲得歐盟會員國的共識，法國為了回應黃背心運動（Mouvement des gilets jaunes）的要求， 12月17日法國財政部長已公開表示2019年3月前，將自行針對數位廣告所得與數位資料所得稅收法案送交國內立法程序，該法案將直接以境內網路社群利潤推估大型數位企業之應稅所得，並支持「顯著數位化存在」的認定原則。同時奧地利財政部長也表示，會跟進數位稅收的立法並於2019年1月底公布稅收草案。

英國資訊專員辦公室（Information Commissioner's Office，下稱ICO）於2025年8月18日讉責南約克郡警方（South Yorkshire Police，下稱SYP）刪除超過9萬6千筆穿戴式攝影機影片（body-worn video，下稱BWV）證據，強調SYP未落實資料識別、第三方監督及備份機制等資料管理措施。 警方使用BWV作為記錄警方執法過程之取證方式，目的為提高透明度、公眾信賴及取得最佳證據等。由於BWV證據具備公正性及準確性，亦可減低對於受害者證據之依賴。當警員換班時，需要將BWV證據下載至指定地點，先傳送至「數位證據管理系統（Digital Evidence Management，下稱DEM系統，該系統由第三方業者管理）」後，再傳輸至「儲存網格（Storage Grid）資料庫」。倘若發生爭議，SYP將檢視「儲存網格資料庫」中的BWV證據。 2023年SYP發生遺失大量BWV證據之爭議事件，事實整理如下： 2023年5月升級DEM系統後，SYP改將資料儲存於本地硬碟。同年8月7日時，SYP發現在儲存網格資料庫中，具錯誤刪除96,174筆原始BWV證據之紀錄，經調查發現，在同年7月26日，第三方將本地資料傳輸到儲存網格時，曾發生大規模的資料刪除事件。 由於在進行備份時，未使用特定的檔案名稱或其他可識別的資料標記等方式標記資料，即使SYP內部已針對95,033筆BWV證據進行備份，仍無法比對確認「已被永久刪除的BWV證據」數量，且遺失之資料共涉及126起刑案，其中更有3案受影響，甚至有1起案件指出，若BWV證據存在，則相關案件的檢調程序應能夠有所進展。 ICO亦指出SYP雖與第三方簽署契約，卻未明定處理程序，且未監督第三方的遠端存取行為。SYP早在2019年，已發現備份機制存在問題，但當時未向高階管理人員報告相關問題的完整狀況，導致未採取補救措施。 綜上述，ICO提出SYP應確保所有紀錄應以清晰、可識別的方式進行標記；在允許第三方存取系統前，應完成風險評估及確認管控要求，並持續監督第三方等改善建議；以及應建立能夠有效還原任何遺失BWV證據的備份方案。 另外依英國皇家檢察署（Crown Prosecution Service）的統計顯示，因缺乏定罪的必要證據，包含缺乏數位證據，如受害者詢問或隨身攝影機影片遺失等各類原因，導致無法進行審判的皇家檢察署案件，整體呈現上升趨勢，從2020年的7484起案件，上升到2024年的8180起案件。 為系統性建立及強化數位證據管理機制，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，其以「b-JADE證明標章」檢視既有的數位證據監管制度，其他司法機關亦可參照「b-JADE證明標章」以確保採取有效之資料識別、第三方監督及備份控管作法，除了控管數位證據的相關業務流程、內外部人員等，亦應促使內部滾動式檢視問題及須定期向主管回報，以利調整規劃。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

論科學資料之開放與共享—以美國國家衛生研究院之資料政策為核心 資訊工業策進會科技法律研究所 蔡立亭 2020年12月25日 　　科學研究以提升全人類之福祉為本，醫療健康研究資料的共享，有助於促進整體科學研究的量能。為促進由政府支持之科學資料與研究發現的近用，美國政府原則上肯定科學之發展與資料之留存、近用相關，資料之公開不僅應遵守法律之限制，尚應注意資料之生命週期，並訂定時限；受政府資助之研究，所產出之資料以免費近用為原則，政府之政策亦應考量國際合作之實際情況[1]。申言之，科學研究資料的近用，有助於提升科學發展，政府於制定共享政策的同時，亦應一併考量國際合作的情況，並以免費近用為原則，研議資料公開策略。 　　為增進科學資料的效益，美國國家衛生研究院（National Institutes of Health，簡稱NIH）設置科學政策辦公室（Office of Science Policy，簡稱OSP）制定完整的政策，領域擴及生物安全、基因檢測、基因資料共享、人類受試者保護、NIH的組織與管理，和受NIH資助研究的成果與價值；藉由廣泛的分析與報告，提出新興政策建議[2]。在科學資料共享的層面，NIH聚焦於「基因與健康」和「科學資料管理」，生物醫學研究的進展，取決於科學資料的近用；共享科學資料，有助於驗證研究結果，研究者整合資料以強化分析，提升難以生成資料的再次應用，加速研究進展[3]。NIH藉由資料的管理，促進科學資料的近用，以驗證並共享研究成果。 　　為輔助資料之開放共享，NIH公告資料管理與共享政策（NIH Policy for Data Management and Sharing，以下簡稱DMS政策），目的為促進由NIH資助或進行研究的科學資料共享[4]。DMS政策將科學資料定義為：「在科學社群普遍接受記錄事實的素材，研究發現能反覆的驗證，不論該資料是否用以支持學術出版物。科學資料並不包含實驗室筆記、初步分析、完整的個案報告表、科學報告的草稿、未來的研究計畫、同儕評論、與同事的溝通、物理實體，例如實驗室標本[5]。」。換言之，並非僅以該資料是否能佐證學術出版物為科學資料之認定基準，而係以該科學資料是否屬事實之記載，和研究成果能否反覆驗證為判斷。 　　另，NIH、NIH研究院、中心、辦公室已有資料預期的共享，如：科學資料的共享、相關標準、資料庫的選擇、時限，適用並於計畫中呈現；若不適用則研究員應在計畫中提出資料共享與管理的方式，NIH並建議資料的管理與共享應實踐FAIR（Findable、Accessible、Interoperable、Reusable）原則，共享的資料類型，首先為一般性的描述、估計在研究中生成或使用的科學資料，次為列出後設資料等有助於解釋科學資料的文件；NIH鼓勵科學資料盡快共享，不遲於資料的出版或執行期間[6]。申言之，即使各該研究計畫不適合既有的共享策略，於計畫提案時，研究團隊仍應研擬適合共享與管理的方式，並以FAIR原則為依準。 　　研究團隊提供的科學研究資料，將儲存於由政策或資助方指定的資料庫。NIH提出推薦的資料庫列表[7]，並描述理想的儲存資料庫特色為：「具有獨特且永久的識別碼、具有長期持續管理資料的計畫、設置後設資料、整理資料並保證品質、免費並簡易的近用、廣泛且可估計的重複使用、明確的使用指引、安全性與完整性、機密性、共通格式、引用機制，及資料保留策略[8]」。由此觀之，資料庫的設計應易於科學資料的檢索；並在資料的近用上，維護資料之安全、完整、機密等。 　　NIH共享資料之實際應用上，為共享基因研究資料，NIH於2014年提出基因資料共享政策（Genomic Data Sharing Policy，以下簡稱GDS政策），包含NIH資助指南與契約；NIH的GDS政策適用於所有NIH資助的研究，生成之大規模人類或非人類之基因資料，將應用於後續的研究[9]。藉此能有效率的推動基因研究向前邁進。 　　GDS政策課予研究者提供基因資料的義務；研究者近用基因資料，亦應遵守基於研究使用控制近用資料（Controlled-Access Data）的條款[10]。研究人員受NIH核准後，方能將NIH控制近用的資料，應用於第二次研究（secondary research）[11]。由NIH資料近用委員會（Data Access Committee）審查，研究員近用資料並須遵守基於研究使用控制近用資料的條款[12]。另，基因摘要結果（Genomic Summary Results，以下簡稱GSR）隸屬於NIH政策[13]，並依據GDS政策目的，將GSR定義為由研究者提供的摘要統計（summary statistics），非敏感性的資料列入NIH指定的資料庫中[14]。換言之，NIH以對控制近用資料的應用核准，在資料之限制近用與科學發展間，取得平衡。 　　為回應COVID-19，加速治療與疫苗的研發，NIH的資料共享與管理政策，緩解全球科學社群開放共享科學資料的需求，該政策並建立資料共享為研究過程的基礎成分[15]。綜上所論，將資料共享內化於研究過程中，有助於全球同步更新研究的進程，共同面對全人類之科學挑戰。 [1] NATIONAL SCIENCE AND TECHNOLOGY COUNCIL, COMMITTEE ON SCIENCE, SUBCOMMITEE ON INTERNATIONAL ISSUES, INTERAGENCY WORKING GROUP ON OPEN DATA SHARING POLICY, Principles For Promoting Access To Federal Government-Supported Scientific Data And Research Findings Through International Scientific Cooperation (2016), 1, 整理自Principles, at 5-8, https://obamawhitehouse.archives.gov/sites/default/files/microsites/ostp/NSTC/iwgodsp_principles_0.pdf (last visited December 14, 2020). [2]About Us, Welcome to NIH Office of Science Policy, NIH National Institutes of Health Office of Science Policy, https://osp.od.nih.gov/about-us/ (last visited December 7, 2020). [3]NIH Data Management and Sharing Activities Related to Public Access and Open Science, NIH National Institutes of Health Office of Science Policy, https://osp.od.nih.gov/scientific-sharing/nih-data-management-and-sharing-activities-related-to-public-access-and-open-science/ (last visited December 10, 2020). [4]Final NIH Policy for Data Management and Sharing, NIH National Institutes of Health Office of Extramural Research, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-013.html (last visited December 11, 2020). [5]Final NIH Policy for Data Management and Sharing, NIH National Institutes of Health Office of Extramural Research, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-013.html (last visited December 12, 2020). [6]Supplemental Information to the NIH Policy for Data Management and Sharing: Elements of an NIH Data Management and Sharing Plan, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-014.html (last visited December 13, 2020). [7]資料庫列表請參見以下網址：Open Domain-Specific Data Sharing Repositories, NIH National Library of Medicine, https://www.nlm.nih.gov/NIHbmic/domain_specific_repositories.html (last visited December 24, 2020). [8]Supplemental Information to the NIH Policy for Data Management and Sharing: Selecting a Repository for Data Resulting from NIH-Supported Research, Office of The Director, National Institutes of Health (OD), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-21-016.html (last visited December 13, 2020). [9]NIH Genomic Data Sharing, National Institutes of Health Office of Science Policy, https://osp.od.nih.gov/scientific-sharing/genomic-data-sharing/ (last visited December 15, 2020). [10]NIH Genomic Data Sharing Policy, National Institutes of Health (NIH), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-14-124.html (last visited December 17, 2020). [11]NIH Genomic Data Sharing Policy, National Institutes of Health (NIH), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-14-124.html (last visited December 17, 2020). [12]id. [13]NIH National Institutes of Health Turning Discovery into Health, Responsible Use of Human Genomic Data An Informational Resource, 1, at 6, https://osp.od.nih.gov/wp-content/uploads/Responsible_Use_of_Human_Genomic_Data_Informational_Resource.pdf (last visited December 17, 2020). [14]Update to NIH Management of Genomic Summary Results Access, National Institutes of Health (NIH), https://grants.nih.gov/grants/guide/notice-files/NOT-OD-19-023.html (last visited December 17, 2020). [15]Francis S. Collins, Statement on Final NIH Policy for Data Management and Sharing, National Institutes of Health Turning Discovery Into Health, https://www.nih.gov/about-nih/who-we-are/nih-director/statements/statement-final-nih-policy-data-management-sharing (last visited December 14, 2020).