RFID應用與相關法制問題研析－個人資料在商業應用上的界限

　　英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊，造成逾300萬客戶及1000名員工的資料外洩，外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。 　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認為涉及之個人資料嚴重影響個人隱私，使得個人資料有被誤用的風險。ICO進一步調查後並發現，駭客僅是透過有效的登入憑證，就能藉由WordPress軟體存取系統，此事件亦暴露該組織技術安全措施之不足，因受影響系統中使用的軟件的重要元素已過時，且公司未能執行例行的安全測試。ICO認為，像Carphone Warehouse此類規模龐大的公司，應積極評估其資料安全系統，確保系統穩健而避免類似的攻擊。 　　據此，ICO判定該公司缺乏妥善的安全措施保障使用者資訊，已嚴重違反《Data Protection Act 1998》資料保護法，判罰40萬英鎊。 　　從今年5月25日起，隨著GDPR的生效，法律將更加嚴格。對此，ICO亦發布了有用的指導，包括GDPR指南，現在採取的12個步驟和工具包。國家網絡安全中心（NCSC）也為組織為保護自己所採取的步驟提供了有用的指導。

　　於去年(2009)年11月20日，歐盟會員國通過了一項關於化妝品上市與安全相關的新規則(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on cosmetic products，以下簡稱化妝品規則)，該項規則也將歐盟過往用以規範化妝品的55項指令化整為零，成為一項單一且更具法律拘束力之規範。 　　化妝品規則中前言中也特別肯認奈米物質於化妝品之應用為未來趨勢，而有必要於消費者保護、貨物自由流通以及對於製造商之法律確定性之間取得一衡平作法。針對此種內含奈米物質化妝品之管理，該規則也十分重視對產品內含奈米物質之事實提供資訊之義務。以標示為例，化妝品規則第19條針對此等化妝品，要求以「nano」字樣標明於包裝上之成分標示。值得注意的是，德國針對是項條款於去年(2009)年11月17日於歐盟理事會之官方文件中表達不同意見。認為此種標示可能被消費者誤解為一警告標示，且亦強調市售的化妝品皆屬通過嚴格的安全測試者，此也表示對內含奈米級物質之化妝品不應再給予額外的檢視。其也認為消費者對於奈米物質所關切之重點，應為此等奈米物質對產品之特性所生之改變，而非產品中是否含有奈米物質。 　　在歐盟綠黨成員和環保遊說團體針對奈米科技刻正鼓吹「沒有數據，就不得上市」原則之際，該項原則將加重業者證明自身產品安全無虞之舉證責任，業者也擔心該項原則將導致市面上有數百種產品自市場中下架，而德國上述聲明的意見，似乎較傾向於業者以奈米物質之功能而非以物質本身作為標示基礎之意見。

所謂「身分」（Identity）是「特徵」（characteristics）或「屬性」（attributes）的組合，可讓個人在特定環境中與其他人區分開來，以證明自己的身分，例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長，線上身分驗證比實體身分驗證更為頻繁，促使犯罪人竊取和濫用身分資訊與資格證明（credentials），使得越來越多人面臨網路犯罪和詐欺的風險，澳洲在2021年時更因為身分竊盜事件橫行，造成超過18億美元的經濟損失。 為此，澳洲資料和數位部長會議（Data and Digital Ministers Meeting, DDMM）於2023年6月23日發布「國家身分韌性戰略」（National Strategy for Identity Resilience），以取代2012年國家身分安全戰略（National Identity Security Strategy），宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力，推動澳洲各州、領地（territory）和聯邦（Commonwealth）採用全國一致的身分韌性方法，使得個人身分難以被竊取，縱然不幸遭竊取，受害人亦能夠輕易自身分犯罪中恢復身分。 該戰略由十項原則組成，包含：(1)無縫接軌的聯邦、州和領地數位身分系統；(2)具包容性的身分辨識機制；(3)個人與公私部門都有各自角色；(4)制定國家實體與數位資格證明標準；(5)建立生物辨識和經同意的身分驗證；(6)便利個人跨機構更新身分資訊；(7)更少的資料蒐集與保存；(8)明確的資料分享協議；(9)資格證明的一致撤銷和重新簽發；(10)明確的問責與責任。搭配短、中、長期的實施規畫，循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。

　　設於英國倫敦的遠距賭博協會(Remote Gambling Association, RGA)於2007年12月向歐盟執委會提出申訴，指美國政府對外國網路賭博業者選擇性執法行為已違反服務貿易總協定(General Agreement on Trade in Services, GATS)規定。歐盟執委Peter Mandelson因此表示，歐盟將會針對美國政府此一差別管制行為進行調查，以瞭解美國政府是否已違反貿易障礙規定。 　　美國在世界貿易組織(World Trade Organization, WTO)談判中曾承諾開放網路賭博，嗣後卻在2006年通過「違法網路賭博執行法」(Unlawful Internet Gambling Enforcement Act, UIEGA)，禁止銀行和信用卡業者對美國境外之網路賭博業者提供支付服務，導致所有歐洲之網路賭博業者選擇退出美國市場。 　　對於美國UIEGA立法，世界貿易組織曾表示，美國政府固然有權透過法規禁止離岸賭博(offshore betting)以保護公共道德，但該規範僅針對外國業者，未一視同仁適用於美國境內業者，已違反貿易法規。對此，美國政府和歐盟、日本、加拿大等國曾達成協議，承諾在其他方面予以補償，以換取各國同意美國退出世界貿易組織在賭博部分之規範。但由於美國司法部仍持續調查歐洲網路賭博業者在前述法規生效前的營業行為，並宣稱渠等已違反美國法規，此一調查行為因此導致此次遠距賭博協會向歐盟提出申訴；待調查結果出爐後，美國與歐盟間的貿易關係預料將受到不小的影響。