英國將於西密德蘭郡大規模推行5G試驗計畫

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法（半導體特別法）》 資訊工業策進會科技法律研究所 2022年3月23日 　　韓國政府意識到在高科技產業競爭環境中培育知識人才，以及保護國家戰略產業發展的重要性。2019年修訂《防止產業技術外流及產業技術保護法》（下稱產業技術保護法），針對國家核心技術外流及侵害行為加以重罰外；復於2021年12月提出《國際霸權技術競爭下之科技保護策略》（下稱韓國科技保護策略），並於2022年2月3日通過《加強保護國家高科技戰略產業競爭力特別措施法》[1]，於同年8月4日生效。分別說明如下： 壹、韓國高科技保護機制發展趨勢 　　韓國核心科技保護法制體系的特色，是在《防止不當競爭及營業秘密保護法》禁止竊密及《對外貿易法》出口管制之外，訂定了保護產業技術之專法《產業技術保護法》，並以韓國科技保護策略，宣告政府科技保護策略整體方針。 一、產業技術保護法 （一）立法目的 　　韓國於2006年10月27日制定《產業技術保護法》，該法第1條載明該法立法目的為：「防止工業技術的過度洩露和保護工業技術，以加強韓國工業的競爭力，促進國家安全和國民經濟的發展。」該法規範之國家核心技術係指在國內外市場中，具有較高經濟價值或高度產業成長潛力之技術，此類技術若外洩到國外，對於國家的安全保障及國民經濟發展，將造成重大惡劣影響之虞。 （二）產業技術保護委員會選定國家核心技術防止外流 　　《產業技術保護法》規定由產業通商資源部部長擔任產業技術保護委員會的委員長，成員包括財政部、教育部、科學部、外交部、法務部、國防部、農林部、保健部、環境部、交通部、海洋部、中小事業部次長、智慧局局長以及民間代表。 　　各部會由主管業務之產業技術範圍中選定國家核心技術名單，再由產業通商資源部部長及各主管部會部長選定國家核心技術，最後經由產業技術保護委員會經法定程序予以指定、變更、撤銷。該委員會主要根據該產業技術對國家安全保障及國民經濟衍生效益、國內外市占率，以及產業影響力，來進行考量國家核心技術清單，在每年2月底檢討前一年度執行情形，並於10月底更新下一年度國家核心技術及其保護計畫，決定國家核心技術清單。2021年1月產業技術保護委員會審議通過之「國家核心技術指定項目公告」修訂版，指定之國家核心技術包括半導體、顯示器、資通訊、電機電子、機械、機器人、鋼鐵、造船、交通、航太、核能、生命科學等12大領域共71項。 （三）防止國家核心技術外流加重罰則 　　《產業技術保護法》先後經歷8次修法強化保護力道，最新一次修法是在2019年8月，修法內容包括加強外資管控，凡是國外併購、合併，無論技術是自行開發或政府資助，皆須向政府申報，如果政府認為有影響國安之虞，可下令暫停或禁止；另外是加強技術保護責任，要求國家核心技術之持有及管理者採取必要的保護措施；修法前對於技術外流之懲罰規定僅設有上限（15年有期徒刑及15億韓元），故增訂技術外流至海外之最低罰則為3年以上有期徒刑及15億韓元罰金。 二、韓國科技保護策略 　　韓國政府2021年12月宣布之科技保護策略，旨在制定各部會科技保護策略方針，以避免韓國核心技術不法外流。該保護策略宣告： （一）將定期檢視國家核心技術之指定、變更與撤銷。 （二）針對國家核心技術清單制定一定執行期間（如5-10年，視技術項目而定）。 （三）規劃於2023年修正《產業技術保護法》，針對外資的認定，增訂間接持股、雙重國籍等情事。 （四）以過去出口管制之企業、投資審查之對象為基礎，將可能持有國家核心技術之企業登錄、加強管制，並建立國家核心技術專家資料庫，以持續監控其出入境。 （五）規劃跨部會合作，包括應用智慧財產局的專利資料庫，認定擁有國家核心技術之相關人員或機構。 貳、《加強保護國家高科技戰略產業競爭力特別措施法》 　　《加強保護國家高科技戰略產業競爭力特別措施法》（下稱半導體特別法），在《產業技術保護法》之「國家核心技術」外，額外定義「國家高科技戰略技術」，除出口、併購應依現行《產業技術保護法》事先取得產業通商資源部許可外。對於不法侵害國家高科技戰略技術，訂定更嚴厲的罰則；同時針對相關產業提供系統性支援措施。 一、成立由韓國總理主導的「國家高科技戰略產業委員會」，制定5年戰略產業培育及保護的基本計畫。 委員會組成：提高管理層級，由總理為主席，成員包括部會首長、產學研專家，委員人數不超過20名，並由產業通商資源部擔任秘書處。 各領域專門委員會：為協助委員會審查和事先審議，各戰略產業領域得設立專門委員會，每領域委員不超過10名，各專門委員會之主席由「國家高科技戰略產業委員會」主席根據部會首長推薦任命之。 二、「國家高科技戰略技術」由「國家高科技戰略產業委員會」指定，定義為： 影響國家及經濟安全重大者，例如影響供應鏈穩定之半導體技術。 具成長潛力、技術困難度及產業重要性者。 對於相關產業具重大漣漪效益者。 「國家高科技戰略產業」則指研究、開發、商業化國家高科技戰略技術，或以國家高科技戰略技術為基礎，商業化生產產品或服務的產業。 三、加重不法侵害國家高科技戰略技術的罰則：意圖在境外使用或使技術在外國使用，而不法侵害國家高科技戰略技術者，處15年以下有期徒刑、15億韓元以下罰金；未取得許可出口、投資併購而不法侵害國家高科技戰略技術者，處15年以下有期徒刑、15億韓元以下罰金。 四、中央及地方政府應制定培育、保護國家高科技戰略產業必要的政策。有關國家高科技戰略技術的保護，除半導體特別法有規定外，依《產業技術保護法》之規定。< 五、為支持國家高科技戰略產業，提供加速辦理許可、迅速處理環安或職安民事投訴、投入政府預算、減免稅金、培育專業人才等方案。 六、為穩定國家高科技戰略產業供應鏈，政府因自然災害或國際貿易形勢導致相關技術供需穩定有疑慮時，經營者、進出口、運輸、倉儲業者或國營事業，應依據總統令，以六個月為期限，於期間內辦理生產計畫、國內優惠供應方案或設施擴建等事項。 參、代結論：韓國本次《半導體特別法》評析 　　韓國《半導體特別法》在認定國家高科技戰略技術時，將民間企業或專家的意見，納入國家高科技戰略技術認定與管制機制的決策程序中，綜合考量該技術對國家及經濟安全、技術成長潛力等影響，在最小必要範圍內選定之。另，《半導體特別法》亦特別提出國家高科技戰略產業發展的優惠政策方案，讓該些產業雖因其重要性須受嚴厲管制，但同時也得到政府加速辦理許可、減免稅金等支持。就韓國本次修法，在其認定重要技術的評估方法，以及提供對應配套機制上，值得做為我國未來在保護重要高科技產業做法上的參考。 [1] Cabinet passes National High-Tech Strategic Industries Special Act, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911 (last visited 2022/03/20)

　　美國財政部外國資產控制辦公室（The US Department of the Treasury’s Office of Foreign Assets Control, OFAC）於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告（Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險，期待企業可以採取相關之主動措施以減輕風險，此類相關之主動措施即緩減風險之因素（mitigating factors）。 　　該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為，故若企業對勒索軟體支付，或代替受害企業支付贖金，未來則有受到制裁之潛在風險，OFAC將依據無過失責任（strict liability），發動民事處罰（Civil Penalty制度），例如處以民事罰款（Civil Money Penalty）。 　　OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構，應實施合規之風險管理計畫以減少被制裁之風險，例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體，以及啟用身分驗證協議等；並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構，例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。