加拿大配合數位隱私法之推行，公告安全防護措施違反之規則草案

　　BS 10012:2009個人資訊管理系統近期轉版，英國標準協會已於2017年3月31日發布BS 10012:2017新版標準，此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準，新標準採用ISO/IEC附錄SL之高階架構（High Level Structure），該架構為通用於各管理系統的規範框架。 　　2017新版架構由原本的6章變為為10章，新架構如下： 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 　　新標準主要修改內容如下： 個資盤點單需增加「法規」盤點項目，且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用： （1）蒐集前須先告知當事人並取得其同意。 （2）蒐集應有必要性且最小化。 （3）兒童個資蒐集、利用須先經監護人同意。 （4）若個資利用目的為開放資料（Open data）須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權，例如：網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測，包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 　　BS 10012:2009版本將於2018年5月25日廢止，公司驗證轉版的過渡期為24個月，因此2019年3月未轉版者證書失效。

　　日本納稅作業效率和全世界其他先進國家相比仍然偏低，根據世界銀行之調查，日本企業每年花費納稅作業的時間約330小時，是OECD會員國平均時間的1.9倍。為有效提高企業處理稅捐事務作業之效率，日本財務省研擬要求企業申報法人稅和消費稅時必須以電子方式進行，目標是在今年6月前提出具體草案，納入2018年度的稅制改正大綱。 　　日本自2004年起開辦法人及自然人透過網路申報納稅，各地稅務署可透過國稅綜合管理（SKS）系統讀取申報書類並取得其內容，且由於相關申報書類依法應保存9年，利用電子申報方式可有效節省空間成本程序負擔。 　　以2015年為例，法人稅全年總申報件數約196萬件，其中已有75%是經由網路申報。但另一方面，資本額1億元以上的日本企業經由網路申報者則僅有52%，理由除了大企業多有自成一格的總務會計系統，以及普遍仍存在以收據等文件進行報帳的習慣外，佔稅收全體約4成的地方稅目前仍有許多地方政府尚未提供電子申報之服務也是重要原因，就此總務省亦將持續進行基礎設施之整建以克服此問題。 　　我國自1998年擘劃電子化政府起至今已邁入第五階段，為能達成「便捷生活」、「數位經濟」及「透明治理」三大目標以及「打造領先全球的數位政府」之願景，應可參考前述日本政府之各項作法。

　　隨著個人資料保護意識的興起，各國也持續增修法律來保護人民權益以及協調產業標準，但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。 　　如美國同時會有聯邦法與州法兩個層次的法律，當兩者分別發展隱私權相關法律規範時，難免會缺乏協調，出現定義不明的重疊規範，進而提高企業之法令遵循成本與管理成本。最終導致的結果，就是非必要地降低了產業發展速度，以及提高了消費者獲得服務的成本。 　　日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法（California Consumer Privacy Act, CCPA）」，使該部法案對於個人資料保護與利用之規範日漸完備，並減少與聯邦政府重複管轄項目，進而達到合理降低州內企業的遵法成本。美國加州州長紐松（Gavin Newsom）簽署的CCPA修正案「AB-713號法案」（Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code ）通過後，CCPA之適用範圍將限縮。若「同時符合」下列二者條件，則可免受CCPA規範： 受「加州醫療資訊保密法」（the California’s Confidentiality of Medical Information Act, CMIA）所規範的的醫療資訊及個人健康資訊之衍生資訊，或受「美國聯邦受試者保護通則」（Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」（Health Insurance Portability and Accountability Act, HIPPA）之標準，已去識別化的資訊。 　　換言之，已經依HIPAA標準去識別化之第一點資訊，即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範，但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。 　　「AB-713號法案」對於已去識別化資訊之利用或販售行為，增設了契約須載明下列規範架構之條款內容： 如有利用或販售去識別化資訊涉及病患資料者，須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定，或第三方受到相同或更嚴格限制之個資保護約束，買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。 　　「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業，其隱私政策聲明應納入以下內容： 將出售或揭露去識別化病患之資訊； 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式，進行病患資訊之去識別化。 　　整體來說，「AB-713號法案」讓CCPA的規範稍加鬆綁，明確排除CCPA對特定去識別化資訊之適用，並擴張對研究行為之豁免範圍，在處理上有更多彈性，惟同時也要求企業須充分揭露其個人資料處理原則。

　　日本總務省召開的「通信‧放送政策懇談會」，於本月 6 日進行今年第 14 次集會，提出該會之最終報告。 　　其中，有關 NTT （日本電信電話公司）之改革，預計於 2010 年解散目前所採行的控股公司架構，將其所掌控的 NTT 東日本、 NTT 西日本（主要經營固接電話以及上網服務），以及 NTT DoCoMo （主要經營行動通訊業務）三者完全分割，成為三間各自獨立的公司；且分割以後以上三者之間的合作關係亦應受到嚴密規制。至於 NHK （日本放送協會）之改革，則計畫釋出一個衛星頻道，兩個廣播頻道，同時娛樂以及體育節目相關部門，以及網路傳輸、國際播送業務等，應與 NHK 之核心業務切割，成立子公司自行獨立經營。 　　上開內容雖然是因應通信與放送兩大體系日漸匯流之趨勢而生，惟論者以為勢將引發輿論以及各大政黨之議論甚至反彈；而最終能否納入政府以及執政黨目前正在研擬規劃的施政綱領，仍在未定之天，有待持續追蹤觀察。