日本於2018年7月25日發布關鍵基礎設施資訊安全對策第4次行動計畫修正版

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 　　隨著網路科技的進步，伴隨著資安風險的提升，世界各國對於資安防護的意識逐漸升高，紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量，我國於107年5月經立法院三讀通過「資通安全管理法」（以下簡稱資安法），並於同年6月6日經總統公布，期望藉由資通安全管理法制化，有效管理資通安全風險，以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外，另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法，建置了我國資通安全管理之法制框架。然而，資安法及相關子法於108年1月1日實施後，各機關於適用上不免產生諸多疑義，故本文擬就我國資通安全管理法之規範重點為扼要說明，作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 　　資安法所規範之對象，主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義，指依法行使公權力之中央、地方機關（構）或公法人，但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣（市）政府機關、依公法設立之法人（如農田水利會[1]、行政法人[2]）、公立學校、公立醫院等，均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊，故資安法排除軍事及情報機關之適用[3]。 　　特定非公務機關依資安法第3條第6款之規定，指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定，須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定，報請行政院核定，並以書面通知受核定者。須注意者為該指定行為具行政處分之性質，如受指定之特定非公務機關對此不服，則可循行政救濟程序救濟之。目前各關鍵基礎設施領域，預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 　　此外，政府捐助之財團法人，依該法第3條第9項之規定，指其營運及資金運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人，則非屬資安法所稱特定非公務機關之範圍。公營事業之認定，則可參考公營事業移轉民營條例第3條之規定，指（一）各級政府獨資或合營者；（二）政府與人民合資經營，且政府資本超過百分之五十者；（三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 　　資安法之責任架構，可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段，分述如下： （一）事前規劃 　　就事前規劃部分，資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」，使各機關得據此落實相關之資安防護措施，各機關並應依據資通安全責任等級分級辦法之規定，依其重要性進行責任等級之分級，辦理分級辦法中所要求之應辦事項[5]，並將應辦事項納入安全維護計畫中。 　　此外，在機關所擁有之資通系統[6]部分，各機關如有自行或委外開發資通系統，尚應依據分級辦法就資通系統進行分級（分為高、中、普三級），並就系統之等級採取相應之防護基準措施，以高級為例，從7大構面中，共須採取75項控制措施。 （二）事中維運 　　事中維運部分，資安法要求各機關應定期提出資通安全維護計畫之實施情形，上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件，應於機關知悉資通安全事件發生時，於規定時間內[7]，依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施，以避免資通安全事件之擴大。 （三）事後改善 　　在事後改善部分，如各機關發生資通安全事件或於稽核時發現缺失，則均應進行相關缺失之改善，提出改善報告，並應針對缺失進行追蹤評估，以確認缺失改善之情形。 三、情資分享 　　為使資通安全情資流通，並考量網路威脅可能來自於全球各地，資安法第8條規定主管機關應建立情資分享機制，進行情資之國際合作。情資分享義務原則於公務機關間，就特定非公務機關部分，為鼓勵公私間之協力合作，故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 　　我國已於107年1月將政府資安資訊分享與分析中心（G-ISAC）調整提升至國家層級並更名為「國家資安資訊分享與分析中心」（National Information Sharing and Analysis Center, N-ISAC）。透過情資格式標準化與系統自動化之分享機制，提升情資分享之即時性、正確性及完整性，建立縱向與橫向跨領域之資安威脅與訊息交流，以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 　　為使資安法之相關規範得以落實，資安法就公務機關部分，訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容，配合機關內部之人事考評規定訂定獎懲基準，而獎懲辦法適用之人員，除公務人員外，尚包含機關內部之約聘僱人員。就特定非公務機關部分，資安法則另訂有相關之罰則，針對未依資安法及相關規定辦理應辦事項之特定非公務機關，中央目的事業主管機關得令限期改正，並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分，因考量其影響範圍層面較廣，故規定特定非公務機關如未依規定進行通報，則可處以30萬元至500萬元之罰鍰。 參、事件評析 　　公務機關及特定非公務機關為落實資安法之相關規範，勢必投入相關之資源及人力，以符合資安法之要求。考量公務機關或特定非公務機關之資源有限，故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌，以避免資源或相關措施重複建置，以下則列舉幾點建議： 一、風險評估與安全措施 　　資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制，與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似，故各機關於適用上可協調內部之資安與隱私保護機制，共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 　　資安法第18條要求機關應訂定資通安全事件通報應變機制，而個人資料保護法第12條亦規定有向當事人通知之義務，兩者規定雖不盡相同，惟各機關於訂定通報應變機制上，可將兩者通報應變程序進行整合，以簡化通報流程。 三、委外管理監督 　　資安法第9條要求機關負有對於委外廠商之監管義務，個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同，惟均著重對於資料安全及隱私之保護，故各機關可從資料保護層面著手，訂定資安與個人資料保護共同之檢核項目，來進行委外廠商資格之檢視，並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 　　資安法施行細則第6條要求於建置安全維護計畫時，須先進行內部之資產盤點及分級，而個人資料保護法施行細則第12條中，則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時，可建立內部共同之資料盤點清單及資料管理措施，並增加資料使用軌跡紀錄，建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定，軍事機關指國防部及其所屬機關（構）、部隊、學校；情報機關指國家情報工作法第3條第1項第1款（包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊）及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定，行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關（構），於其主管之有關國家情報事項範圍內，視同情報機關。 [4] 羅正漢，〈臺灣資通安全管理法上路一個月，行政院資安處公布實施現況〉，iThome, 2019/02/15，https://www.ithome.com.tw/news/128789 （最後瀏覽日：2019/5/13）。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級，各機關應依據其責任等級應從管理面、技術面及認知與訓練面向，辦理相應之事項。 [6] 資通系統之定義，依資通安全管理法第3條第1款之規定，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後，應於1小時內依規定進行資通安全事件之通報；如為第一、二級資通安全事件，並應於知悉事件後72小時內完成損害控制或復原作業，第三、四級資通安全事件，則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉，行政院國家資通安全會報技術服務中心，https://www.nccst.nat.gov.tw/NISAC（最後瀏覽日：2019/5/14）。

再訪資料跨境流通政策與法制 資訊工業策進會科技法律研究所 2022年03月25日 壹、事件摘要 　　資訊科技與創新基金會[1]（Information Technology and Innovation Foundation, ITIF）於2021年7月發布「跨境資料流通障礙如何在全球層次擴散」（How Barriers to Cross-Border Data Flows Are Spreading Globally）報告，指出近四年內國際間個別國家生效的資料在地化措施增加一倍以上。惟設置資料流通障礙對於一國經濟會產生重大影響，將嚴重削減其貿易總量，依ITIF根據經合組織（Organisation for Economic Cooperation and Development, OECD）市場監控數據計算，一國對資料流通之限制每增加一項，將影響總體貿易輸出達七個百分點，連帶使生產力下降，下游供應鏈的成本亦將上漲[2]。 　　在2020年後，因疫情造成之實體阻隔的影響，加深各方運用數位與資訊科技之力道，資料更被視為戰略性資源，各國如何對資料加以運用與掌握，不僅對數位經濟發展有正相關，更可能與國家整體安全其他面向相互連結（如國防、財務與資訊安全等）。追蹤研析各國程度與類別不同的資料在地化政策法制，資料流通限制之方式或可區分為三種模式：（1）由國家規範或限制特定類型資料傳輸境外的條件。各國常見的限制類型包括個人資料、財務／稅務／金融資料、交易支付資料（payment data）、地圖地理空間資料、健康與基因資料、政府紀錄與雲端服務（government records & cloud services）、傳統電信與網際網路通訊服務的用戶資料與內容、資通訊技術與電信資料、公共部門在地雲端（public local cloud）資料、非個人資料（non personal data framework）等。（2）以不確定法律概念限制資料傳輸標的與範圍。各國對資料流通限制越來越寬泛和模糊，動輒以「敏感」（sensitive）、「重要」（important）、「核心」（core）或與國家安全（national security）等不確定法律概念框定所欲限制的資料範圍，但這些限制往往對商業性資料流通造成重大影響。（3）以事實上資料在地化手段替代法制規範。此因個別國家或組織政策使資料傳輸因過程變得複雜、昂貴和不確定，導致企業基本上已無其他選擇，事實上僅能將資料儲存在本地，否則將面對巨額罰款，其他事例尚有對個人資料傳輸要求須得當事人明確之同意，以及要求資料傳輸前須有特別之授權[3]等。 　　歸納上述資料流通限制型態後，本文進一步探討各國對資料跨境流通與資料落地議題之處理態度，更新近期中國大陸、俄、美、歐盟、印度及其他重要國家所採取之政策與立法，期為我國未來掌握資料流向及規劃在地化措施預做準備。 貳、重點說明 　　目前國際間對於資料在地化之立場不一，除少數國家對於資料在地化採取較全面性之要求、較高強度之立法外，大部分國家僅針對特定種類資料要求資料在地化，以下依國別與要求強度進行歸類與評析。 （一）高強度資料在地化要求：中國大陸與俄羅斯 1.中國大陸 　　觀測國家中，資料在地化措施管理強度最高者應屬中國大陸與俄羅斯。就中國大陸而言，其直接明確在地化的法律規定如2017年《網路安全法》第37條，要求關鍵資訊基礎設施的營運者應將其在中國大陸境內蒐集和產生的個人資料與重要數據儲存於中國大陸境內。近二年中國大陸採行資料在地化之範圍逐漸擴大，其涵蓋範圍除早期係以個人資料為範圍[4]，後續則涉及如金融稅務資料、支付資料、地理位置資料、健康與基因資料、政府紀錄與雲端服務資料、電信通訊資料等非僅限於個人資料之範圍，而依2021年之《數據安全法》第21條與31條，政府甚至有權定義何謂「重要數據」，並對境內營運中心蒐集和產生的重要數據制定其得否流出境外的安全管理機制，顯見中國大陸對於資料在地化之考量多出於維護國家安全之目的，近年更高舉維繫其數位主權的旗幟以強化其法制措施背後的論述，並以強大的科技監控能力為擔保，確保該國國家法令的落實。 2.俄羅斯 　　俄羅斯近年對於資料在地化措施之要求有逐漸增強之趨勢，規範密度雖未如中國大陸嚴格，但亦屬於高強度之國家，規範要求之資料種類從個人資料擴及金融稅務、電子支付資料、政府紀錄與雲端資料，乃至電信網路資料等。除要求個人資料之營運商應將處理及儲存俄羅斯公民個人資料之伺服器設置於俄羅斯境內，並向俄羅斯政府報備該伺服器之位置外，另要求每日流量超過一定數量之IT營運商應在俄羅斯建立分支機構或代表處，代表其母公司接受主管機關的管制，並規定強制執行的措施，如禁止蒐集個資、跨境傳輸個料與限制資訊使用等[5]。 　　中國大陸與俄羅斯因其國家體制屬性，其資料在地化法制規範與執行措施有其特定背景，往往出於國家安全整體性考量所為，但由於較不符民主憲政國家所施行之法治國原則（包括比例原則）等憲法核心要求，僅作為了解對象而較不具直接參考價值。 （二）中度資料在地化要求：美、歐、印、澳 1.美國：針對國防與稅務資料 　　美國因其對自由貿易的立場，加上對該國產業而言資料流通最符合該國的產業利益所在，故對於資料的限制與保護要求最為寬鬆，僅在涉及國防[6]與稅務[7]特定領域資料時，聯邦之行政規則層級有資料在地化之規定，要求資料存放於美國境內，除此之外則交由各州個別規範之。 2.歐盟：針對個人資料 　　歐盟利用強化網路基礎建設的政策措施，採取誘導性作法建立可信任架構，使企業更有意願使用歐盟自身的資料與服務，可認為是資料在地化的軟性誘因[8]。此外，基於其一貫維護基本價值、保護個人資料的立場，對於跨境傳輸規範較為謹慎。歐盟於2018年施行GDPR以來，對資料跨境傳輸之限制採取原則禁止、例外許可的立法模式，雖無資料在地化之名，卻已經造成事實上的資料在地化結果。加上Schrem II案判決[9]後的發展，適用新版「標準契約條款」（Standard Contractual Clauses, SCCs）對於個人資料之跨境傳輸採取高標準之適足性規範[10]，令歐盟GDPR有可能變為世界上最大的事實上（de facto）資料在地化框架[11]。另外，從歐盟近來主張數位主權的觀點，這樣的狀況似乎亦合乎歐盟的主張，但這樣的趨勢否有益於對經濟流通與發展，將是未來觀察重點。 3.印度：針對敏感性與關鍵性資料 　　就印度部分，印度國會於2021年12月16日通過新修正個人資料保護法（Data Protection Bill, 2021）[12] ，原2019年時法案修正內容曾要求將所有個人資料（或至少一份副本）儲存於印度境內，但通過之新法則未再做此要求。修法方向的改變推測受西方國家影響而對資料在地化的政策有所緩和，但在法律分類上的敏感性個人資料（類似我國個資法之特種資料）與關鍵性個人資料（由中央政府所指定之資料種類）方面，則運用法律中的不確定法律概念，讓主管機關掌握較大裁量空間，決定何種資料可予在地化限制，形同擴大資料管控的範圍，甚至可泛稱出於國家安全考量，即可限制資料的傳輸、在地。由此觀之，印度對於資料在地化政策，其限制措施在其個人資料保護法新近修正後也朝向擴大的趨勢[13]。 4.澳洲：針對個人醫療資料 　　就澳洲部份而言，因考量到健康資料的高度敏感性，其針對健康資料採在地化政策，，目前規範電子健康紀錄資料庫系統內的資料不得在境外持有及處理[14]。 （三）其他國家 　　而本研究觀察的其他國家目前仍採取較為謹慎保守之立場，且立法動機較為分歧，如加拿大針對國家公共機構資料採取流通限制強度較高之要求態度[15]，但因受COVID-19影響有暫緩實施的狀況[16]。德國出於課稅原因要求業者留存會計紀錄於境內，或於可線上下載情形下得放置於境外[17]；法國則對於中央與地方政府機關之資料要求應儲存於境內[18]。總體而言，各國的立法背後考量，大體係有明確並更亟欲保護之法益和目的，但亦觀察到較為特別的發展，即歐盟資料傳輸政策似乎有逐漸從自由流通走向事實上在地化的狀況，甚至有提升為主權層次議題的可能，值得再予關注。 （四）世界及區域貿易協定：傾向資料自由流通 　　就世界及區域貿易協定部分，檢視「跨太平洋夥伴全面進步協定」（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）[19]、「服務貿易協定」（Trade in Services Agreement, TiSA）[20]、「美加墨協定」（United States-Mexico-Canada Agreement）[21]以及「亞太經濟合作」（Asia-Pacific Economic Cooperation,下稱APEC）之《APEC隱私保護綱領》（APEC Privacy Framework）[22]，因貿易協定側重於國際貿易之發展，儘可能排除任何有礙貿易發展之障礙，故而其多強調資料之流通性，並以自由流通為原則。然近年因資安與隱私保護之觀念日益受到重視，故而轉為要求一定保護機制作為資料跨境傳輸之前提，雖然可能造成事實上的障礙，但整體而言國際間的貿易交流對於資料仍是採取自由流通之較開放立場，未見任何資料在地化之高強度要求。我國近期積極申請參與談判的CPTPP與TiSA，可看出參與談判的國家多半傾向不恣意限制資料的跨境流通，也傾向不任意規範外國服務者須在當地設置相關的電腦設備，CPTPP更是明訂除基於正當公共政策目標外，不得將資訊服務設施在地化列入於會員國境內執行業務之必要條件，我國將來如欲爭取加入，應確保這些國際義務的遵行。 參、事件評析 　　系統化觀察與分析上述國際間主要國家規範性主張之資料在地化法制政策，以及國際層級區域貿易協定與資料在地化相關之重要規定，可發現歐盟、澳、美、加針對特定類型資料，如個人醫療資料、稅務金融資料，或國家公共資料的跨境傳輸政策或資料在地化採取較強之要求，印度則出於國家安全考量亦有較強資料在地化之要求。至於相關國際與區域貿易協議雖傾向資料自由流通原則，各國談判則仍在進行中。 　　參考以上國際間相關法制或政策，建議我國在考量整體性資料跨境傳輸政策時：（一）可優先找出我國亟需保障的利益何在（如我國關鍵的半導體產業），並檢視其在整體產業鏈與供應鏈上的角色與定位，由此思考應採取何種模式（歐、美）的管制方式與強度。（二）確認要保護的核心利益後，可再檢視立法目的究為保護公民的隱私、確保執行機關執行公權或調查證據、保護國家安全、強化經濟成長跟競爭力、或建立公平的遊戲規則，以決定相應不同強度的資料控制手段（如單純禁止、有條件禁止到僅要求儲存副本於本地等態樣），建立起層級化規範架構。短期內建議我國或可再就資料傳輸原則予以檢視，例如現行個人資料保護法採取原則流通，例外禁止的方針是否需要變易。其次，資料傳輸與資料在地化政策法制相關規範，或可優先以金融支付資料、健康基因資料等高度敏感資料為主，基於特定部門產業之監理或數位國土、國家安全等原因，而針對性地要求採取在地化措施，並將資料類型化，針對不同屬性之資料採取不同規範標準。 [1] 資訊科技與創新基金會（ITIF）是美國非營利性公共政策智庫，總部位於華盛頓特區，研究主題專注於有關工業和技術的公共政策。美國賓州大學截至2019年為止都將ITIF列為世界上最權威的科學和技術政策智庫。ITIF， https://itif.org/（最後瀏覽日：2021/12/25）。 [2] 從該報告顯示中國大陸是對資料限制最多的國家，相關措施達29項，其次為印尼、俄羅斯與南非，其經濟均因而受影響，參考Nigel Cory & Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 2021, at 4, https://itif.org/sites/default/files/2021-data-localization.pdf (last visited Dec. 25, 2021). [3] id. [4] 中國人大網，〈中華人民共和國個人信息保護法〉，2021/08/20，http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml（最後瀏覽日：2021/12/25）。 [5] Russian Federal Law No. 242-FZ, https://pd.rkn.gov.ru/authority/p146/p191/ (last visited Mar. 03, 2021). [6] Defense Federal Acquisition Regulation Supplement: Network Penetration Reporting and Contracting for Cloud Services(DFARS Case 2013– D018), 81 Fed. Reg. 72986, 72999(Oct. 21, 2016).(to be codified at 48 C.F.R. pt. 239). [7] INTERNAL REVENUE SERVICE, Tax Information Security Guidelines for Federal, State and Local Agencies 95 (2016). [8] Gaia-X, Gaia-X European, https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html (last visited Mar. 03, 2021). [9] Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CA0311 (last visited Mar. 03, 2021). [10] 歐盟法院（Court of Justice of the European Union）於2015年Schrems I案判決歐盟執委會「安全港隱私準則」（Safe Harbour Privacy Principles）失效後，歐盟執委會雖於2016年以第2016/1250號決定認可美國提出之「隱私盾架構」（EU-US Privacy Shield Framework），對於跨境傳輸有更嚴謹之規範，但其後的Schrems II案，經歐盟法院於2020年7月以判決宣告該隱私盾架構無效，其中理由除美國政府對外國人個資之監管與近用不符合比例原則外，美國法制架構亦無提供適當之救濟手段，令權利受侵害之人得以獲得賠償。惟歐盟法院對歐盟執委會通過第2010/87號決定之「標準契約條款」，則認為已納入有效之保障機制；倘資料傳輸方或接受方未能遵守SCCs或缺乏歐盟法律所要求之保護程度，歐盟主管機關可命令暫停或停止相關傳輸，因此仍肯認「標準契約條款」之有效性。但SCCs始終無法解決美國法欠缺法律救濟之爭議，故而歐盟法院採取較保留態度，另要求締約國之企業應確保資料接受方所在之各國法規可提供符合歐盟個資法保護相關規範之保護水準，並建議採取「補充措施」以保護跨境傳輸之資料，其後，歐盟執委會於2020年底以（EU）2021/914號執行決定（Implementing Decision）發布的新版SCCs取代舊版條款。see Cross Border Transfer Master Class: Onward transfers from a US controller to a processor that is outside of the US and the EEA, NATIONAL LAW REVIEW, Dec. 24, 2021, https://www.natlawreview.com/article/cross-border-transfer-master-class-onward-transfers-us-controller-to-processor (last visited Dec. 25, 2021). [11] Nigel Cory, How ‘Schrems II’ Has Accelerated Europe’s Slide Toward a De Facto Data Localization Regime, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 8, 2021, https://itif.org/publications/2021/07/08/how-schrems-ii-has-accelerated-europes-slide-toward-de-facto-data (last visited Dec. 25, 2021). [12] The Data Protection Bill, TRILEGAL, Dec. 24, 2021, https://trilegal.com/knowledge_repository/the-data-protection-bill-2021/ (last visited Dec. 25, 2021). [13] The Personal Data Protection Bill(2018), MINISTRY OF ELECTRONICS & INFORMATION TECHNOLOGY, GOVERNMENT OF INDIA, https://www.meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf (last visited Mar. 03, 2021). [14] Stronger My Health Record privacy laws, AUSTRALIAN DIGITAL HEALTH AGENCY, Nov. 26, 2018, https://www.myhealthrecord.gov.au/about/legislation-and-governance/summary-privacy-protections (last visited Dec. 25, 2021). [15] Freedom Of Information And Protection Of Privacy Act § 30(1)(1996), BRITISH COLUMBIA, https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/96165_00 (last visited Mar. 03, 2021). [16] Ryan Berger & Cory Sully, BC Government Relaxes “In Canada Only” Data Hosting Requirements for Public Bodies Due To COVID-19, PRIVACY, Mar. 30, 2020, https://www.lawsonlundell.com/change-your-privacy-settings-here/bc-government-relaxes-in-canada-only-data-hosting-requirements (last visited Dec. 25, 2021). [17] Handelsgesetzbuch (HGB) § 257(2020). [18] Martina F Ferracane, Restrictions on cross-border data flows(2017), EUROPEAN CENTRE FOR INTERNATIONAL POLITICAL ECONOMY (ECIPE), at 14, https://www.econstor.eu/bitstream/10419/174853/1/ecipe-wp-2017-01.pdf (last visited Dec. 25, 2021). [19] 「跨太平洋夥伴全面進步協定」（CPTPP）簡介，中華民國外交部，https://www.mofa.gov.tw/cp.aspx?n=2613（最後瀏覽日：2021/12/15）。 [20] Trade in Services Agreement (TISA), FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND CLIMATE ACTION, https://www.bmwk.de/Redaktion/EN/Artikel/Foreign-Trade/tisa.html (last visited Mar. 03, 2021). [21] United States-Mexico-Canada Agreement, OFFICE OF THE UNITED STATES TRADE REPRESENTATIVE[USTR], https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement (last visited Mar. 03, 2021) [22] APEC Privacy Framework (2015), APEC,https://www.apec.org/publications/2017/08/apec-privacy-framework-(2015) (last visited Mar. 03, 2021).

　　2016年1月， 隸屬英國商業、創新和技術部 (Department for Business, Innovation and Skills，BIS)的科學辦公室(Government Office for Science)發布「分佈式分類帳技術：區塊鏈以外(Distributed Ledger Technology：beyond block chain)」研究報告。本篇報告由產官學界合作完成，主要在評估分佈式分類帳技術可以運用在哪一些公私領域，並決定政府以及私人應該採取哪些行動以促進分佈式分類帳技術可被有益運用，並避免可能帶來的傷害。 　　該份研究報告認為，分佈式分類帳技術可在多個領域協助政府機構，包含徵稅、提供福利、發行護照、土地登記、確保商品供應鏈並且確保政府記錄與服務的完整性。相較於其他網路系統，分佈式分類帳技術較不易受駭客攻擊，而且由於每個参與者都有一份帳簿副本，如果有惡意竄改的狀況，也可以輕易被發現，但這不表示分佈式分類帳技術就不會被駭客攻擊。 　　數位五國(Digital 5，D5)之一的愛沙尼亞，已多年實驗運用分佈式分類帳技術於公領域服務多年。愛沙尼亞政府透過私人公司運用分佈式分類帳技術建制「免金鑰簽名設施(Keyless Signature Infrastructure，KSI)」，KSI允許愛沙尼亞公民驗證其在政府資料庫資訊的完整性，並避免內部人透過政府網路從事非法活動。KSI確保公民資訊安全以及準確，因而可協助愛沙尼亞政府提供數位化的公司登記以及稅務服務，減少政府以及社會大眾的行政作業負擔。 　　除此之外，分佈式分類帳技術也有助於確保商品以及智慧財產權的所有以及出處。例如Everledger此一系統可用於確保鑽石的身分，從礦產、切割到銷售，可減少並避免欺詐以及「血鑽石」進入市場。 　　簡而言之，分佈式分類帳技術提供政府可減少詐欺、腐敗、錯誤以及紙上作業成本的框架，並透過資訊分享、公開透明以及信任，具有可重新定義政府與公民關係的潛力。對於私領域而言也具有同樣可能性，報告特別提出可透過分佈式分類帳技術發展「智慧契約」，可增加信任度並提高效率。據此，本報告針對政府部門提出八大建議： (1) 應成立專責部門，並與產業、學界緊密合作，並應考慮成立臨時性的專家諮詢團隊。 (2) 英國的研究社群應該要投入研究確保分佈式分類帳技術具備可即性、安全性以及內容準確性。 (3) 政府應支持為地方政府成立分佈式分類帳技術實地教學者，匯聚所有測試技術以及其運用的所需元素。 (4) 政府需要思考如何為分佈式分類帳技術建立妥適的法制框架。法規需要配合新科技應用技術的發展而進步。 (5) 政府應該與產學合作確保相關標準可以符合分佈式分類帳技術及其內容完整性、安全性以及隱私的需求。 (6) 政府應與產學合作確保最有效率以及最可用的身分認證網路協議可為個人及組織所使用，這項工作應與國際標準的發展與執行緊密連結。 (7) 政府應對分佈式分類帳技術進行試驗，以評估該項技術在公領域的可行性。 (8) 建議成立跨部門的利益群體，結合分析以及政策群體，以生成並發展潛在使用案例，並且在公民服務中提供具備知識的專家人員。 　　除了八大建議，管理與法制上，本報告指出分佈式分類帳技術具有兩種管理規範：法律規範以及技術規範。法律規範是「外部」規範，法律規範可能會被違反，緊接著面臨違法處罰的問題。技術規範是「內部」規範，假如違反技術規範，「錯誤(error)」產生無法運作，因此「規範」本身就可以確保會被遵循。換句話說，技術規範可以節省法律規範的執法成本。另外一方面，分佈式分類帳技術為去中心化技術，如果要以法制管理，也只能在参與者身上施加法律義務，例如Bitcoin，只能對於提供Bitcoin交易服務的平台施加法律義務。美國紐約州金融服務部所發行的比特幣交易執照BitLicnese即為一例。因此，基於去中心化的特性，報告建議政府單位應該要儘量参與技術標準的制定，並且配合技術標準制定相關法律，法律規範與技術規範兩者應該要交互影響。

　　針對法國知名品牌LVMH控告搜尋引擎大廠Google以其商標作為關鍵字，販售給網路廣告業者，使得當使用者鍵入商標關鍵字搜尋時，廣告業者之商業訊息及其網址會呈現在搜尋結果中，而侵害LVMH商標權的訴訟案中，歐洲法院佐審官（advocate General）Poiares Maduro提出了法律意見書。 　　在該意見書中，其認為Google允許廣告業者選擇和商標有關的關鍵字並不構成商標侵權，選擇關鍵字僅是Google和廣告業者二造間的內部活動，並沒有對公眾販賣和商標相同或類似的產品或服務，非商標法所謂之使用。另外，根據關鍵字搜尋結果而呈現廣告業者之網址，也不會造成消費者對原始產品或服務混淆的風險。網際網路的使用者知道在Google搜尋引擎做搜尋時，並非只有商標擁有者的網址會呈現，甚至有時他們並不是尋找商標擁有者的網址。消費者會依據廣告內容及造訪廣告網址來認定產品或服務的來源，不是僅依據隨商標關鍵字而呈現出的廣告就作出來源的認定。 　　該佐審官的法律意見雖然對歐盟法院沒有拘束力，但該法院在大部分的案件中仍會依循該意見，通常在該意見提出後大約六個月會作出裁判。