從國內外實務見解談企業對員工之電子郵件監控

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見，認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案，檢視與歐盟憲章有關規範之一致性。 [背景] 　　PNR協議草案於2010年5月開始協商，2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外，歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題，歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 　　佐審官認為，協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊，未違反歐盟憲章；然PNR協議草案仍有部分內容違反歐盟憲章：即草案允許歐盟、加拿大主管機關使用乘客姓名等數據，已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 　　因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案，隨後雖起草隱私保護協議(Privacy Shield)，但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出，可窺歐盟關於隱私保護之立場。

歐洲議會於2026年3月10日通過「關於著作權與生成式人工智慧－機會與挑戰」決議（European Parliament resolution on copyright and generative artificial intelligence – opportunities and challenges）。有鑑於生成式 AI 經常發生未經授權在網路上抓取作品、無視權利保留或使用非法來源作品等侵權行為，歐洲議會特別通過本決議，闡明其就生成式 AI 相關著作權議題之立場，並就歐盟未來在此領域之政策方向與法制建構，向執委會提出具體作法建議。其重點摘要如下： 一、保障權利人對 AI 作品利用之完整掌控權 權利人對其作品用於 AI 訓練或後續應用（如推論與 RAG）應擁有完全控制權。執委會應建立保障機制，並針對新聞媒體遭大規模抓取利用之困境，研擬專門的保護措施。 二、推動自願性集體授權協議，衡平權益保障與資料需求 為兼顧權利人獲得公平報酬與 AI 業者取得高品質訓練資料之需求，執委會應推動自願性集體授權協議，平衡雙方利益。 三、落實退出權（opt-out） 執委會應評估可行的技術方案，以識別並尊重權利人拒絕其作品被用於AI訓練的權利保留聲明，並指定歐盟智慧財產局（EUIPO）擔任受信任之中介機構(trusted intermediary)，負責管理相關opt-out事項。 四、完善透明度架構，並導入「可推翻推定」機制強化執行 執委會應建立全面的透明度架構，在溯源管理方面，要求通用 AI 模型和系統業者提供受保護作品清單及來源證明，以及網路爬蟲紀錄，且網路爬蟲需具備可識別性；在內容識別方面，執委會應制定AI生成內容標註行為準則，落實AI生成內容之偵測與告知義務，強化對提供創意內容之平台履行透明度義務狀況之監督。執委會應建立「可推翻推定」（Rebuttable Presumption）機制，相關業者如未遵守上述透明度義務，即推定其已使用受保護作品，權利人於訴訟中勝訴時，訴訟費用將由AI業者承擔。 五、落實著作權授權報酬制度，強化自主授權 歐洲議會反對以「總額支付」（Flat-rate）方式進行全球授權；權利人對授權條件與報酬應擁有自主決定權。執委會應建立相關框架，鼓勵業者尋求合法授權並支付合理報酬；同時，應針對業者「過去」利用受著作權保護作品之行為，研究具體補償方案。 六、完善補充性法律框架以強化監管 歐盟現行著作權法規已不足以應對生成式AI之挑戰，尤其《數位單一市場著作權指令》（CDSM 指令）針對 AI 訓練之規範仍存在模糊地帶，執委會應建立補充性法律框架（Supplementary Legal Framework），明確生成式AI相關著作權授權規則，以有效遏阻AI開發者違規行為。 歐洲議會之決議案並不具法律約束力，然依歐盟立法程序，執委會所提出之立法草案，須經歐洲議會與理事會共同審議通過始能生效，本決議暨已揭示歐洲議會於相關議題上之政策立場與建議，執委會於後續研擬立法草案時，勢必將其納入重要考量，以利後續立法程序之推進。是以，本決議內容實具重要之實務參考價值。