歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業

美國華盛頓州《我的健康我的資料法》（My Health, My Data，以下簡稱該法）於2024年3月31日生效，該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料，特別是生殖健康相關資料（data related to reproductive healthcare）。所拘束對象並不在HIPAA之監管範圍內，包括穿戴式裝置（wearables）、特定零售購物和非HIPAA 所規範之遠距醫療服務（telehealth services）所蒐集之資料。 該法最繁瑣合規要求之一為，受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策（下統稱隱私權政策）連結，連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業，則設有三個月之緩衝時間，即應於 2024 年 6 月 30 日前遵循該要求。 隱私權政策必須清楚且醒目地揭露以下內容： 1. 所蒐集之健康資料類別和蒐集目的，包括將如何使用這些資料； 2. 所蒐集健康資料來源及類別； 3. 共享之健康資料類別； 4. 共享消費者健康資料的第三方或相關企業之類別；以及 5. 消費者如何行使該法所賦予之權利，包括撤銷同意和要求刪除之權利。 最重要的是，除特殊情形外（即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意），受監管對象不得基於隱私權政策中未明確揭露之任何其他目的，蒐集、使用或共享消費者健康資料。 若違反該法相關規定，即被視為違反《華盛頓州消費者保護法》（the Washington Consumer Protection Act），可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律，顯現對消費者資料保護監管逐漸嚴格之趨勢。

淺談中國網絡文化內容自審制於手機遊戲管理之影響 科技法律研究所 2013年12月31日 壹、前言 　　中國大陸文化部日前依據互聯網文化管理暫行規定第19條規定，頒布施行「網絡文化經營單位內容自審管理辦法」(簡稱自審管理辦法)。要求以營利爲目的提供「網絡文化產品及服務」之單位（即所謂的「網絡文化經營單位」），應進行自我審核，以確保內容之合法性。所謂「網絡文化產品及服務」依據互聯網文化管理暫行規定，包括網絡音樂、動漫、遊戲等文化產品及以此所為之製作、複製、進口、發行、播放等活動。據中國大陸文化部表示，制定本辦法是為了落實其國務院轉變政府職能、簡政放權的政策方向，特別是網絡遊戲中的手機遊戲部分，期待能透過企業自律機制，達到市場的有效管理。 貳、自審管理辦法重點說明 　　在具體做法上，自審管理辦法規範「網絡文化經營單位」必須符合四項具體要求，包括：(1)內容管理制度與部門：企業須建立內容管理制度與審核部門，明定內容審核之工作劃分、標準、流程及責任追究辦法；(2)內容審核人員：企業內部設置之內容審核部門須配置至少3名以上領有「內容審核人員證書」之審核人員，並指定其中1名審核人員為內容管理負責人，負責簽核其餘審核人員之審查意見；(3)踐行備案程序：企業內部於建立上述之審核程序後，應向所在地省級文化行政部門申報備案；(4)持續參與審核訓練：針對內容審核人員，省級文化行政部門將負責相關培訓考核及檢查監督工作，其中對於經考核合格者發給證書者，每年至少應參加1次後續培訓，以持續掌握內容審核的政策法規和相關知識。 　　針對未依該辦法實施自審制度之「網絡文化經營單位」，依據自審管理辦法第14條規定，則得由縣級以上文化行政部門或者文化市場綜合執法機構依照「互聯網文化管理暫行規定」第29條規定責令改正，並可根據情節輕重處20000元以下罰款。此外，依據自審管理辦法第13條規定，倘若內容審核人員出現重大審核失誤時，發證部門得注銷其「內容審核人員證書」。 　　最後，依照自審管理辦法第15條規定，相關「網絡文化產品及服務」在自審管理辦法施行前，如應踐行備案或批准程序，在施行後仍須按相關規定辦理，不會因企業自審制度建立而得以免除。 參、規範簡評 　　依照自審管理辦法規定，自審制度適用範圍涵蓋了所有應依法取得「網絡文化經營許可證」的網絡文化經營單位。據中國大陸文化部新聞稿指出，此舉將有助於端正手機遊戲市場亂象。其具體理由，本文簡要歸納如下，並附帶說明此措施對於台灣手機遊戲業者進入中國大陸市場將帶來之影響。 　　過去中國大陸文化部管理「網絡遊戲」，主要是透過「網絡遊戲管理暫行辦法」(簡稱暫行辦法)。當中針對「國產網絡遊戲」採取備案制，要求於營運日起30日內向其文化行政部門進行備案(暫行辦法第13條參照)；「進口網絡遊戲」則採審查制，須事前獲得其文化行政部門審查批准，方可上線營運(暫行辦法第11條參照)。且解釋上所謂「網絡遊戲」並未排除「手機遊戲」，故外國業者在提供手機遊戲服務予中國大陸時，皆應授權當地具備「網絡文化經營許可證」之「網絡遊戲運營企業」進口並履行相關申報作業。 　　但現實上，基於手機遊戲開發成本低、週期短之特性，手機遊戲業者存在為數不少小規模企業，所開發遊戲數量自2011年以來呈現爆炸性成長。因而暫行辦法之相關管理要求，實際執行通常難以落實，便常見有手機遊戲規避上述申報作業，使得整體手機遊戲管理呈現真空狀態。 　　但此一管理困境，在施行自審管理辦法後，預期將有所改善。根據中國大陸文化部新聞稿指出，目前中國大陸手機遊戲市場主導權，已逐漸由遊戲開發商轉移至平台商。因此透過自審管理辦法下放內容審查權於大型平台上，再強化對大型平台的監管，可集中政府資源、擺脫過去針對個別遊戲業者的查緝困難。 　　同時，由於自審管理辦法要求企業應賦予內容審核人員獨立審核職權，官方新聞稿亦進一步指出內容管理負責人層級應提升至副總經理以上。一旦內容審核人員發生重大失職時，最重得注銷其審核權限。因而運作上將可間接影響企業人事權限分配，對於企業高層業務執行帶來一定程度箝制，進而達到有效管理之目的。 　　對於台灣業者而言，由於按照暫行辦法第12條規定，申報進口網絡遊戲內容審查者，必須為取得獨占授權之「網絡遊戲運營企業」。因此，台灣遊戲業者未來在授權遊戲於大陸業者營運時，應留意其合作之大陸「網絡文化經營單位」，是否有建立上述自審制度，以避免對其產品拓展產生不利影響。同時，應留意其是否有踐行相關進口網絡遊戲內容審查申報，以避免觸法。 資料來源： 《文化部關于實施〈網絡文化經營單位內容自審管理辦法〉的通知》（文市發〔2013〕39號），http://big5.gov.cn/gate/big5/www.gov.cn/zwgk/2013-08/22/content_2471896.htm （最後瀏覽日：2013/12/25）。 新华网，〈文化部放权网络文化企业内容自审 网游网络音乐先行试点〉，2013/08/20，http://news.xinhuanet.com/politics/2013-08/20/c_117021657.htm（最後瀏覽日：2013/12/25）。 中华人民共和国文化部文化市场司，〈庹祖海同志在贯彻落实《网络文化经营单位内容自审管理办法》视频会议上的讲话〉，2013/11/29，http://www.ccnt.gov.cn/sjzz/whscs_sjzz/whscs_zhxw/201312/t20131202_424345.htm（最後瀏覽日：2013/12/25）。

　　2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定，擴大解釋《資料保護指令》（Directive 95/46/EC）之「資料控制者」範圍，認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》（GDPR）相同，因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 　　本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用，其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利，然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資，當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益，即使未實際擁有任何個資，仍被視為負共同責任（jointly responsible）的資料控制者，應依具體個案評估每個資料控制者責任程度。 　　在原《資料保護指令》並未有「資料控制者需負共同責任」之規定，本案擴大解釋資料控制者範圍，對照現行GDPR屬於第26條「共同控制者」之規範主體，然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者，是否過於嚴格？且未來如何劃分責任與義務，皆有待觀察。

　　美國最高法院於2010年6月28日對Bilski v. Kappos案作出5比4的拉距判決。原告Bilski為一家能源產品公司，其就一種讓買家或賣家在能源產品價格波動時，可用來保護、防止損失或規避風險的方法申請商業方法專利（Business Method Patent）。但美國商標專利局審查人員以此發明只是一種解決數學問題，而為抽象而無實體呈現的想法為理由而拒絕。經該公司於專利上訴委員會上訴無效後，繼續上訴至聯邦巡迴法院與最高法院。 　　最高法院拒絕適用前審以美國專利法第101條（35 U.S.C. §101），創造發明是否為有用的、有形的及有體的結果作為認定方法專利的標準。而最高法院多數意見係採用「機械或轉換標準」（machine or transformation test）為專利法第101條可專利性之標準，認定如果創造發明的方法能與機械器具或配件相結合或轉換為另外一種物品或型態時，即認定此方法具可專利性。惟經法院適用此標準後，仍認定原告的商業方法不具可專利性。 　　一些批評認為，目前「方法」和「轉換」等關鍵字的定義還不清楚，而該判決並沒有澄清這些爭議，甚至帶來更多的疑惑。美國律師Steven J. Frank認為，雖然最高法院的意見放寬了可專利性的標準，但是並沒有提及認定可專利性的其他標準。 　　該判決亦未明確指出商業方法究竟要符合哪些實質要件，方具有可專利性。相當多的電子商務中所使用的「方法」都有專利，最有名的大概就是亞馬遜公司的「一鍵購買（one-click）」的網路訂購方法，還有Priceline公司「反向拍賣」（reverse auction）的方法等。許多電子商務、軟體及財務金融相關業者在這個判決之後，對於商業方法的可專利性也感到相當的困惑。如果有方法專利的存在，那麼擁有這些專利的公司就可以放心了；但是，如果方法沒有可專利性，那麼對於現在擁有方法專利的權利人不啻是一個很壞的消息。是否一些比較不抽象的方法就具有可專利性，而比較抽象的方法就專利性，判定的標準又在哪裡，對此，法院並沒有加以說明，在法院明訂出更明確的標準之前，目前仍留給美國商標專利局來判定。