英國個人資料保護最新案例發展及其對我國法制之啟示

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

國土交通省於2023年5月12日公布「道路設置電動車充電設施指引」（電気自動車等用充電機器の道路上での設置に関するガイドライン，簡稱本指引），回應經濟產業省於2021年6月所公布「2050年伴隨碳中和之綠色成長戰略」（2050年カーボンニュートラルに伴うグリーン成長戦略），加速電動車充電設施建置，以達推動電動車普及之目的。依日本《道路法》第32條規定，在道路上或路邊設置充電設施，需向地方行政機關申請設置許可，故本指引整理機關審查時應注意事項，重點如下： 一、充電設施設置場所：應注意是否配合當地需求整合停車場，並應考量行人、自行車、車輛等之通行動線，避免影響用路人通行。 二、審查標準：審查時需注意充電設施本身與所在位置之安全性；申請人是否具備管理、維護充電設施之能力；充電設施是否提供不特定多數人使用；充電設施設置期間以5年為原則，期滿應回復原狀等。此外，若申請人係出於營利目的申請設置充電設施，應限於設置地點不會顯著影響交通或道路完整性，且可增進用路人便利等情形。 三、其他：為確認充電設施安全性，地方行政機關可額外要求申請人提出文件說明，但應避免造成申請人負擔。

　　依據本（2013）年9月26日中國大陸國家統計局、科學技術部、財政部聯合發布之統計公報顯示，去（2012）年全中國投入在研究與試驗發展（R&D）之經費支出達人民幣（以下同）10,298.4億元，較前（2011）年增加1,611.4億元，成長約18.5%。而大陸地區之研究與試驗發展經費約佔其國內生產總值（GDP）之1.98%，較2011年的1.84%提高0.14個百分點。惟同期（2012年，即民國101年）我國研發經費總計為新台幣4,312.96億元，佔臺灣地區GDP比率為3.07%，較中國大陸1.98%之比率略高。 　　另據大陸統計公報顯示，在中國大陸10,298.4億元之研發經費內，用於「基礎研究」之支出為498.8億元，比2011年增長21.1%；在「應用研究」之經費則為1,162億元，增長13%；至於「試驗發展」經費支出則為最大宗，達8,637.6億元，增長19.2%。總體來說，大陸地區之基礎研究、應用研究和試驗發展3項，佔其研發經費總支出之比率分別為4.8%、11.3%和83.9%；而臺灣地區則是以基礎研究、應用研究及技術發展等3類為區分，在2011年時分別為9.7%、23.7%及66.6%，說明臺灣地區在基礎與應用研究2部份佔研發經費總支出之比率較中國大陸為高。 　　然而相關研發經費投入至後續產出專利、運用，能否有效結合，或因而強化國家競爭力、減少需用單位間之落差，已是兩岸或其他國家所關切的焦點。因此，為利知己知彼，除了瞭解競爭國家之資源投入情形外，其研發成果相關運用情形等，亦實值得我們後續觀察、研究。

歐盟REACH規則之登錄義務與化學品創新商業模式 資訊工業策進會科技法律研究所 2019年12月 　　依據「聯合國化學品管理策略方針 」（UN Strategic Approach to International Chemical Management SAICM）要求在化學品的製造、使用及管理上，應盡可能地減少對環境及人體健康的負面衝擊，並以聯合國2030年永續發展目標為基礎，持續推動化學品管理，減少有毒物化學物質與危險材料的釋出，將全球的回收與安全再使用率提高，使化學品健全管理成為實現永續發展的必要條件，透過開發創新的化學品商業模式與經濟活動，來促進綠色化學及永續發展之目標前進。 壹、歐盟REACH規則與登錄義務之要求 一、歐盟REACH規則之立法目的及意旨 　　歐盟於2006年以「化學品登錄、評價、許可及限制規則」（Registration, Evaluation, Authorization and Restriction of Chemicals, REACH）[1]，作為歐盟境內統一性化學物質管理法制。依據REACH規則第1條規定「本規章之目的為確保人類健康及環境之高度保障（high level of protection），包括促進對於因化學物質（substance）產生之危險之替代評估方法，維護物質於歐洲內部市場之自由流通，及同時提高競爭力和創新。」其目的除管制歐盟境內之化學物質，來保護人類健康與環境安全，達到永續發展之目的外，亦期望透過歐盟境內一致性的協調性規範，使化學物質的流通能夠順暢，以促進經濟的發展。 二、歐盟REACH規則之登錄義務要求 　　為掌握歐盟境內化學物質之風險管理與因應措施，REACH規則第5條以下要求製造者或輸入者須完成化學物質本身或混合物或成品中化學物質之登錄後，始得製造或輸入。登錄制度之建立有助於獲取更多化學物質的資訊，並使相關產業之供應鏈及公眾獲知更多相關物質資訊。特別是，對於後續進行化學物質之風險管理，具有重要性之影響與作用。依REACH規則第5條至第14條規定，登錄義務人（化學物質之製造者與輸入者）須提供其生產或輸入之化學物質的相關資訊及暴露情境、暴露評估及風險特性等資訊，並且針對該物質應提出適當之風險管理措施的建議。 三、歐盟REACH規則之登錄義務對於產業之影響 　　由於製造商與輸入商須提供暴露情境、暴露評價與風險評估報告之義務，該報告內容包含簡易資訊卡（the simple infocard）、細節性摘要檔案（the detailed brief profile）及完整來源數據（the full source data）之資訊。該登錄義務對於上游供應鏈業者而言，往往面臨缺乏對物質情境與風險管理之相關資訊，例如其對於勞工與消費者接觸之危害程度、化學物質之用途以及對於評價之風險應提出何安全建議等[2]。除此之外，中小企業由於資源有限性、人力及成本的考量，相較於大型企業容易在物質資訊交換論壇（Substance Information Exchange Forums, SIEF）遇到困難[3] 。 貳、創新化學品商業模式與REACH規則登錄義務之交互作用 一、以服務為導向之化學品租賃商業模式 　　國家發展與經濟成長的同時，化學工業的生產、製程與發展的過程中，為人們生活條件與經濟物質帶來許多便利性；然而，過程中所排放的廢氣、廢水與廢棄物等污染，可能為人類健康與環境安全，帶來直接、間接或隱藏性的危害。有鑑於此，聯合國工業發展組織（United Nations Industrial Development Organization, UNIDO）與奧地利政府合作，推動「以服務為導向」的化學品租賃服務（Chemikalienleasing, ChL），此一創新化學品之商業模式有助於循環經濟體系之推動，除同時確保化學品內廢棄物回收物質之風險，更有利於降低人類健康及環境安全之危害物質[4]。 二、化學品租賃有助於REACH登錄義務之履行 　　化學品租賃係供應商以「化學品的產品週期」的產品服務取代傳統「數量或容量」之實物作為契約交付方式；從客戶端而言，其得按其對於化學品之實際需求，購買相關使用化學品之提供及後續產品維護等服務[5] 。從而，由於化學品之製造或輸入商提供化學品使用之服務，即實質地掌握物質的物質資訊、使用情境與風險危害資訊，相對於傳統線性模式有較完整之風險評估與防範措施。就此而論，其符合REACH規則之建置基礎，精準地掌握物質風險、有效控管物質危害及減少客戶依據REACH規則遵守登錄要求[6]。 三、化學品租賃有助於達成綠色化學與永續發展之目標 　　當下游使用者或客戶不再以擁有化學品的所有權為主，反而係享受化學品的使用服務時，除加深產業鏈之間的資訊交流緊密度，更有效地擺脫傳統線性經濟之取得、製造、丟棄之線性經濟模式，降低原物料的成本與減少對環境之污染，成為有效推動綠色經濟轉型與提升產業競爭力之關鍵綠色轉型契機例如SAFECHEM業者將汽車金屬製品的洗劑，改用租借整套清洗機台與洗劑給使用者，除讓清潔劑（化學品）可以被循環使用，並為客戶減少93%的溶劑使用量[7]。。 參、小結與建議 　　化學工業產業作為所有產業的一切基礎，如何讓化學工業發展對環境更有好的技術研發、降低危害性質之安全替代物質，以及發展更節省成本與降低污染的商業模式，固有發揮其重要性意義與亟迫需求。環保署現無一統籌性推行創新化學品商業之單位與措施，根據「107年至109年資源回收再利用推動計畫」建議加強推動化學品級產品租賃服務，藉以延長產品之壽命[8]。關於化學品租賃之推動多由民間業者自主發起與推行。 　　由於使用後之化學品，依據廢棄物清理法第28條規定，須委託經許可清理、處理廢棄物之公民營廢棄物清除處理機構予以清理、處理，造成供應商無法回收、再利用使用後之化學品、溶劑或副產品等。現行解套措施為環保署同意改以資源物處理，經專案申請核可後，同意供應廠商收回純化、再製循環使用，以協助廠商推動化學品租賃制度。惟僅係個案性解套化學品租賃之法規障礙，對於回收使用後之化學物質之風險資訊及危害程度，並無法實質性與國內「毒性及關注化學物質管理法」做鏈結與接軌。 　　從而，國內若能透過調修相關化學物質管理法制之規範，由此通盤性打造有利於「創新化學品商業模式」之制度框架，建置符合循環經濟利用資源不斷循環、再利用為基礎，善用化學品租賃之新型商業模式與創新合作關係，將有助於協助引導化工產業之企業進行永續化學之綠色轉型，降低使用化學品所產生之空氣污染、廢水及廢棄物等，俾利於保護人類健康及環境安全之雙贏目標。 　　 [1] Regulation (EC) No 1907/2006 of the European Parliament and of the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH). [2] ECHA, ECHA, Report on the Operation REACH and CLP 2016 (2016), at 10, https://echa.europa.eu/documents/10162/13634/operation_reach_clp_2016_en.pdf (last visited Dec. 1, 2019). [3] id. at 32. [4] United Nations Industrial Development Organization [UNIDO], https://www.unido.org/our-focus/safeguarding-environment/resource-efficient-and-low-carbon-industrial-production/chemical-leasing (last visited Dec. 1, 2019) [5] Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit [BMU], Chemikalienleasing als Modell zur nachhaltigen Entwicklung mit Prüfprozeduren und Qualitätskriterien anhand von Pilotprojekten in Deutschland (Mar. 1, 2010), S. 7, https://www.bmu.de/fileadmin/Daten_BMU/Pools/Forschungsdatenbank/fkz_370767407_chemikalienleasing.pdf (last visited Dec. 1, 2019) [6] United Nations Industrial Development Organization [UNIDO], GLOBAL PROMOTION AND IMPLEMENTATION OF CHEMICAL LEASING BUSINESS MODELS IN INDUSTRY (2016), at 13-14, http://www.recpnet.org/wp-content/uploads/2016/08/10-Years-Chemical-Leasing-Report.pdf (last visited Dec. 1, 2019). [7] SAFECHEM, https://safechem.com/de/metallreinigung/compleasetm.html (last visited Dec. 1, 2019) [8] 行政院環保署，推動循環經濟—廢棄物資源化，頁12，網址：https://www.ey.gov.tw/File/A7633C551685F1CC?A=C （最後瀏覽日：2020/1/8）。