何謂Innovation Box Regime？

　　歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日，針對利用雲端運算以及行動設備，將個人資料從歐盟境內傳輸至非歐盟國家之部分，提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時，進行監督審查，當個人資料透過雲端運算服務進行傳輸或處理時，會由EDPS先行確認，以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 　　有鑑於跨境合作或使用傳輸服務等需求，歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增，此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 　　首先，該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明，後續則分別就適當保護之意涵，以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後，該指引則提供確認表，在資料傳輸前應經過一定的確認流程，包括確認資料接收的國家或組織是否已有適當的保護層級，若無，則是否尚有其他資料可證明。如上述皆無法證明，則應考慮是否有例外情況，例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定，基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形，則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後，如無任何安全之保護，則資料將無法進行傳輸至第三國。 　　綜上，歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引，使資料之傳輸與流通更有明確的規範方向，其後續適用之成效為何應可持續觀察。

　　2020年6月3日，愛沙尼亞議會通過了「外國人法（Aliens Act）」修正案，批准了全球首創專為「數位遊牧民族（Digital Nomads, DN）」設計的「數位遊牧簽證（Digital Nomad Visa, DNV）」，並於同年8月1日正式開辦。 　　「數位遊牧民族（DN）」為近年來興起的一種工作與生活型態，意指無需固定的工作時間與地點，只要有網路就能工作，通常是邊工作邊旅遊、經常在各國移動的生活型態，一般傳統的工作簽證或旅遊簽證較難直接適用。 　　今年因COVID-19疫情影響，許多人轉為遠距工作，也使更多人成為DN。而以數位治國聞名全球的愛沙尼亞，於2014年推出e-Residency（數位公民計畫）向全球招收數位公民後，進一步推出「數位遊牧簽證（DNV）」。DNV申請人可以是受雇者、企業經營者或是自由工作者，必須為外國企業工作、經營外國企業或是客戶位於國外（但不禁止在當地兼職）；其次，申請人必須證明近6個月每月3,504歐元（約新臺幣12萬元）的收入，取得DNV者即可到當地居住一年。該政策看重其高收入、高消費能力，以及高專業性，能在IT、金融、行銷或相關領域獨立工作，為當地科技業提供創意與技術，帶動產業、增加產值；其在境內期間的收益亦可成為充實國家稅捐的標的，在經濟上具有正面效益，在社會上亦可增加多元性、開拓國際事業，並提升國際知名度。

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　為強化並有效因應網路安全相關議題，美國總統歐巴馬日前於4月10日提出在2014財政年度（於2013年10月開始起算）增加強化網路安全經費之建議，期待透過藉由加強並建置相關網路安全機制的方式，有效解決目前美國所面臨來自中國、伊朗、俄國、以及其他國家之的網路安全威脅；同時，其亦希望藉此厚植並改善美國政府，以及私人企業的電腦網絡防禦能力。 　　本次由美國總統歐巴馬所提出的國家網路安全策略主要可區分為二部分：1. 加強美國網路事件（cyber incidents）的彈性度，以及2. 減少網路威脅事件。首先針對加強美國網路事件彈性度的部份，主要會透過a. 強化美國數位基礎建設，進而能有效抵禦滲透和干擾，b. 改善美國對於複雜和敏捷的網路威脅防禦能力，以及c. 培養針對不同類型的網路事件，皆能快速應變並恢復的能力，這三個方法來加以落實。而就減少網路威脅事件的部份，則計畫以透過a. 與美國友邦結盟的方式，共同研議國際網路規範，b. 強化網路犯罪的法律執行能力，和c. 遏止潛在對手就現有之美國網路漏洞採取不當行動，三個策略模式的實施來加以實踐。然而除了上述的兩個策略及其子項的具體落實外，美國政府亦強調串連各政府部門，以及私人企業團體間之合作重要性，以及建立一個能夠使得網路維護人員及其他相關人員，得以快速取得相關網路安全資訊的便捷管道亦為重要。 　　隨著全球資通訊網路交流互動以及依賴程度日益增長，如何有效兼顧個人網路安全隱私及使用自由，並同時確保網路資訊流通的安全性，乃為目前強加網路安全的重要關注焦點。本次美國總統歐巴馬所提出的網路安全推動策略走向，及其如何加以落實，實值得持續關注。