行動生活之隱私爭議－現行法制能否妥善處理位置資訊衍生問題

　　日本經濟產業省所屬「研究開發與創新附屬委員會」於2020年5月29日統整了有關2020年創新願景的期中建言並作成報告。本次的願景建言，係著眼於日本於IT等領域無法推動新興產業的現狀，且在原本具有競爭優勢的領域上，又因新興國家崛起導致實質獲益降低，加之新型冠狀病毒疫情使經濟活動停滯等結構性變化，產生全球性的典範轉移等問題。故認為應自長遠觀點出發，視「從未來需求中發掘創新價值」的途徑為創新關鍵，化危機為轉機，並同步觀察國內外的動向，針對企業、大學、政府各界應採取的行動，綜整出2020年的期中建言。 　　本次期中建言以產業為核心，主要包含以下幾個面向：（1）政策：例如，為積極參與新創事業的企業規劃認證制度；透過修正產學合作指引、簡化〈技術研究組合（為成員針對產業技術，提供人力、資金或設備進行共同研究，並為成果管理運用，且具法人格的非營利組織型態）〉設立與經營程序、擇定地區開放式創新據點等手段深化與落實開放式創新；以「創造社會問題解決方案」與「保護關鍵技術」的研發活動為重心，鬆綁相關管制，並調整計畫管理方式等以協助技術投入市場應用；以2025年與2050年為期，就次世代運算（computing）技術、生化、材料與能源領域提出科技與產業發展的願景；藉由改善人才制度、數位轉型等方式，強化企業研發能量；（2）「從未來需求中發掘創新價值」概念：現行研發與導向商品化的模式，主要以既有的技術、設備等資源為基底，進行線性且單向的創新研發，重視短期收益與效率化，使成果應用未能貼近社會的實際需要，故未來應在此種模式之外，另從創造社會議題解決方案與切合未來需求的觀點出發，結合既有技術資源來擬定長期性的研發創新戰略並加以實踐；（3）產官學研各界角色定位與任務：大學與國立研發法人應強化其研發成果之商轉合作，調整課程內容以削減知識與人才產出不符合社會議題需要的問題；企業的創新經營模式，則應透過ISO56002創新治理系統標準、日本企業價值創造治理行動指針（日本企業における価値創造 マネジメントに関する行動指針）等標準實踐，擴大開放式創新的應用；政府則應採取調整稅制、建置活動據點等方式，建構並提供有利於開放式創新的環境，並針對產業發展願景中的關鍵領域（如感測器等AI應用關聯技術、後摩爾時代（post moore's law）運算技術、生化技術、材料技術、環境與能源技術等）進行投資。

　　三菱電機informationsystems公司所研發用於圖書館的系統封包MELIL/CS造成引進系統的圖書館發生個人資訊外洩與Web館藏檢索系統當機的系統障礙。從2010年7月到9月因系統障礙，總共有3間圖書館，共2971人的姓名、出生日期、住址、電話及圖書名稱等個人資料外洩。 　　有關個人資料外洩的經過，是因為三菱電機informationsystems公司在研發MELIL/CS系統時，先在引進系統的圖書館進行系統測試，於測試之後再將系統程式帶回公司修改，此時就不知情的將存有個人資料的程式帶回公司，也把這些資料登錄到產品的原始碼上。因此將進行測試的2間圖書館使用人約210人的個人資料登錄於該產品的原始碼上。 但發生個資外洩的直接原因更在於負責三菱電機informationsystems公司產品運作、維修的銷售伙伴千代田興產公司，該公司所設置的伺服器完全沒有設定權限區分，甚至不需密碼就可以連接該公司伺服器存取資料。因此發生第三人進入該公司伺服器，下載3個引進該系統圖書館約3000人的個人資料。 　　另外對於Web館藏檢索系統當機的發生，是因為圖書館使用人為了獲取圖書館新增加館藏圖書的資訊，以自動蒐集資訊程式直接存取館藏資料庫所發生。三菱電機informationsystems公司當初在設定網路連接圖書館系統，是以一次存取可以連接10分鐘的方式，所以只要以連接頻率高的機械性存取，只要超過資料庫的同時連接數的設定數值，就會發生存取障礙。 　　對於三菱電機informationsystems公司系統設計失當及千代田興產公司未設定伺服器存取權限所造成個人資料外洩事件，因為這兩家公司都是屬於財團法人日本情報處理開發協會（JIPDEC）的取得隱私標章企業，所以由JIPDEC依據隱私標章營運要領中的「有關賦予隱私標章規約」第14條規定，各處以由2011年1月起3個月的隱私標章停權處分。

　　美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到：法院所據以決定監護權之證據之一，乃是未經她同意即被其他人標示出該女子姓名，並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法，其在判決中指出：目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相，並上傳至臉書或其他網站；此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 　　暫撇開其他法律不談，此一案件引人思考之與個人資料保護相關之處至少有二：首先，是關於法律適用的部分，亦即，如本案發生在日後個人資料保護法開始施行後的台灣，則該法第51條第1項(註1)之排除規定是否適用的問題；其二則是法律政策的部分，究竟在這個資訊數位化且易於搜尋的網路時代，為個人或家庭活動目的而毫無設限（例如本案之供不特定人瀏覽）的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要？（在肯塔基州這個案子裡，此一「無規範」的結果或許是正面的，但在其他的許多狀況，可能並非如此。） 　　註1：個人資料保護法第51條第1項：「有下列情形之一者，不適用本法規定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」