以色列政府採購之創新實踐

　　加拿大數位隱私法（Digital Privacy Act）於2015年6月18日獲得皇室御准，該法目的係為修訂規範私部門運用個人資料的聯邦個人資料保護及電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）。該法有多個章節於公告時便即刻施行，但仍有部分章節需待日後其他行政機關公告配套之法規後始能正式施行，例如該法的重點章節之一：「安全防護措施之違反」（Breaches of Security Safeguards）。 　　歷經約莫兩年，加拿大創新、科學及經濟發展部（Innovation, Science and Economic Development Canada）於2017年9月2日公告安全防護措施違反之規則草案（Breaches of Security Safeguards Regulations），以及規則衝擊分析聲明（Regulatory Impact Analysis Statement）。草案自公告時起開放30天供相關利益關係人發表意見，未來將和數位隱私法的「安全防護措施之違反」同時生效施行。 　　草案制定目的在於確保加拿大本國人若遇有資料外洩且具有損害風險時，可收到精確的相關資訊。私部門對本人的通知應包含使本人可理解外洩的衝擊和影響的詳細資訊。草案確保加拿大個人資料保護公署（Office of the Privacy Commissioner of Canada）之專員亦能獲得有關資料外洩的確實且對等資訊，並可監督、確認私部門遵守法規並執行。草案詳載私部門於通報個人資料保護公署時應提交的資訊，以及通知本人時應提供的資訊，且不限制私部門額外提供其他資訊。遇有資料外洩情事而故意不即時通報個人資料保護公署或通知本人者，最高將可處十萬美金罰鍰。

　　歐盟執委會（The European Commission）於2022年2月23日發布《企業永續盡職調查指令》草案（Proposal for a Directive on corporate sustainability due diligence），其目的在於促進永續及負責任企業行為，並使企業將人權與環境考量內化至企業營運與公司治理。 　　本指令要求各歐盟成員國，須確保企業確實執行人權及環境盡職調查，具體要求企業之作為如下： (1) 將盡職調查納入公司政策（第5條）； (2) 採取適當的措施，以鑑別企業自身或子公司於營運及其既有商業關係價值鏈之現有或潛在的不利衝擊（adverse impacts）（第6條）； (3) 採取適當措施，預防及減緩潛在的不利衝擊，並消弭現有不利衝擊或縮小其影響範圍（第7、8條）； (4) 建立並維持申訴制度，確保受前述不利衝擊影響或有相當理由信其將受影響之人、價值鏈中之工作者代表以及關注相關領域的民間社團等利害關係人之申訴管道暢通（第9條）； (5) 定期針對自身及子公司之盡職調查政策及措施進行評估，以確保其有效性（第10條）； (6) 企業須於每年4月30日前揭露盡職調查相關資訊，受《企業永續報告指令》（Corporate Sustainability Reporting Directive, CSRD）規範之企業須於企業年報中揭露，其他企業則須於企業網站揭露（第11條）。 　　另一方面，本指令也明定公司董事義務，依據第25、26條，董事於其決策過程須考量短、中、長期之人權、氣候及環境因素；企業亦須指定部分董事負責盡職調查相關治理作為，並定期向董事會進行報告。 　　適用本指令的歐盟企業有兩種：(1) 員工人數500人以上且全球年營業額1億5,000萬歐元以上之大公司；(2) 員工250人以上之且全球年營業額4,000萬歐元的高衝擊產業（如：紡織、農業、採礦業等）。另外，非歐盟企業若符合前述員工人數之要求，且於歐盟境內之營業額達到前述標準，亦適用本指令。

台南市低碳自治條例與國際促進能源效率立法趨勢 科技法律研究所 2013年3月26日 壹、事件摘要 　　根據自由時報3月5日報導，台南市為將該市打造為國際指標性之低碳城市，在去年制訂了「台南市低碳城市自治條例」，並在未來規劃對大建築面積、及用量超過800千瓦之用戶，要求必須裝置一定比例太陽光電系統的強制規定。該條例同時要求公有、及供公眾使用的建築物，須為銀級以上綠建築之規定，亦在近日吸引了媒體的關注。 貳、重點說明 一、臺南市政府低碳城市自治條例 　　台南市政府於2012年12月22日以府法規字第1011084760A號令公布了「台南市低碳城市自治條例」，共六章、三十八條，並於第四章「低碳城市推動與管理」，做了前述對耗電大的用戶為一定比例太陽能光電系統設置要求之規範。 　　在綠建築的部分，依據該條例第21條第1款之規定，台南市公有或經該市公告指定地區之新建建築物於申請建造執照時，若非供公眾使用之建築物，須為合格級以上之綠建築。而公有及供公眾使用之建築物，則須進一步符合為銀級以上之綠建築。此策略採取賦予公部門較高的法規遵循義務，與國外立法例趨勢相當吻合。詳述如下。 參、事件評析 一、國外立法例 (一)從一定面積以上面積建築著手 　　根據自由時報的報導，台南市政府在未來將針對大建築面積用戶，強制其裝設用電量一定比例的太陽光電系統。關於面積的細部規範雖然未見於該市低碳自治條例，但此一規劃無疑符合國際間為提高節能效率所採取的規範趨勢。 　　例如美國在2007年能源獨立及安全法架構下，由總統在2009年所發佈的行政命令第13514號的第2條第g項第3款，即要求確保既有聯邦建築或聯邦機構(agency)所承租之建築，面積超過5000平方英呎者，應在財政年度2015年前，使其面積的15%完全符合「聯邦永續建築指導原則」(Federal Leadership in High Performance and Sustainable Building, 在該行政命令中簡稱 Guiding Principle)。 　　而新加坡也有類似的規範。根據該國「2008年建築管制(環境永續)規定」(Building Control《Environmental Sustainability》2008)第3條與第4條之規定，所有總樓板面積(gross floor area) 超過2,000平方公尺的建築之建設或有關總樓板面積超過2,000平方公尺既有建築之面積增建(increasing the gross floor area)，或關於建築外殼或建築服務的提供、擴大或實質的改變，皆應至少達到依據建築環境永續規範(Code for Environmental Sustainability of Buildings)的綠色標誌積分(Green Mark scores) 50分。 (二)對公部門採取較民間更高標準 　　由前述關於南市低碳自治條例中關綠建築之規範可知，該市在為相關管制的規劃時，所採取的政策是讓公部門先承擔較高的法規遵循義務(在該條例第21條的規定中，公有建築物在申請建照時須符合銀級綠建築之標準，而不若一般非供眾使用之建築物，僅要求其須合格)。此種作法亦為國際間為引領民間部門推動節能減碳常見的法制政策規劃。 　　除了上述美國的規定也是先對公部門作要求外，歐盟能源指令第5條第1項也有類似之規範。該條款要求歐盟各會員國自2014年1月1日起，就其中央政府所擁有或佔有之面積超過500平方公尺之建築，每年應翻修總樓板面積的3%，使其至少符合建築效率指令(2010/31/EU, Directive on Energy Performance of Buildings)第4條關於最低建築能源效率(minimum energy performance requirements for buildings)之要求。 二、短評與小結 　　由上述介紹可知，台南市低碳自治條例，為促進節能減碳而採行諸如由一定面積以上建築物著手，並對公部門此取更高標準之規定皆與國際趨勢相符。無獨有偶，高雄市於去年通過的綠建築自治條例，也有類似規定。我國在各級地方政府皆能與國際接軌的共同努力下，能否在促進能源效率方面達成較歐美等先進國家更耀眼的成積，著實令人期待。

　　澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為，在符合特定條件之情形下，亦即，去識別化過程符合OAIC認定之最高標準時，去識別化後之資料不適用「1988隱私法案」(Privacy Act)；澳洲企業組織目前所進行之個人資料去識別化，是否已符合「1988隱私法案」之規範要求，OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 　　澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs)，就非公務機關蒐集、利用、揭露與保存設有規定，APPs第6條更明文限制非公務機關揭露個人資料，於特定情況下，APPs允許個人資料經去識別化後揭露。例如，APPs第11.2條規定，若非公務機關當初之蒐集、利用目的已消失，須以合理方式將個人資料進行銷毀或去識別化。 　　如非公務機關係合法保有個人資料，即無銷毀或去識別化義務；此外，若所保有個人資料屬健康資料者，因係澳洲政府機關以契約方式委託非公務機關，非公務機關亦無銷毀或去識別化義務。應注意者，APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的，主動蒐集個人健康資料 (APPs第16B(2)條)，同時亦禁止基於學術研究、公共衛生或安全目的，就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的，且符合APPs第16B(2)條之要件者，非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 　　其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等，均就個人資料去識別化訂有相關規範。 　　未來以資料為導向之經濟發展，將需堅實的隱私保護作為發展基礎，澳洲去識別化個人資料認定標準之提出，以及標準之認定門檻，殊值持續關注。