英國衛生部提出健康照護科技行為準則，以增進資訊安全以及新技術操作品質

新加坡智財爭議解決中心發展與評析 科技法律研究所 法律研究員　羅育如 2015年05月07日 壹、前言 　　在全球化競爭的趨勢下，各國若僅憑國家資本與生產力作為基礎，已難在國際上殺出重圍、嶄露頭角。由此可知，「創意」與「創新」是激化國家競爭力之泉源，而「智慧財產權」則是此泉源之力量匯集，更是提升國家競爭力之強效手段 。 　　新加坡政府於2013年3月份提出IP (Intellectual Property) Hub Master Plan 10年期計畫[1]，目標是成為亞洲智慧產權中心。計畫設有六大策略，本文以下針對【策略四：透過強化智財法院以及智財紛爭解決替代方案之能力，打造新加坡成為智財爭議解決中心】進行觀察。目的在於了解新加坡如何透過提高智財法庭行政效率以及推動智財爭議解決替代方案，以吸引權利人選擇新加坡做為智財爭議解決地點。 貳、智財爭議解決中心重點說明 　　發生智財爭議時，權利人大多會依據產品主要銷售市場或是智財權申請地來選擇爭議解決地點，從而目前智財訴訟多以美國與中國大陸為重點戰場，新加坡智財法院所承受案件相對稀少[2]。對此，新加坡政府認為，新加坡司法制度擁有具透明度、效率與中立的國際名聲，加上許多跨國企業皆在新加坡設立分部，使得法院之判決有在新加坡執行之機會[3]，因此只要提升新加坡智財法院的能力，新加坡就有機會成為智財爭議解決中心。 　　為了達成目標，新加坡從兩個面向切入，一是強化新加坡智財法院能力，以吸引更多智財訴訟在新加坡進行；二是強化新加坡執行智財爭議解決替代方案的能力，以吸引更多爭議解決替代能在新加坡執行，以下分別說明。 一、強化新加坡智財法院能力 (一)建立更有效率的行政流程 　　2013年9月新加坡最高法院註冊處(Registrar of the Supreme Court)公布智財法院方針(IP Court Guide)[4]，內容包括法官將會參與所有的中間上訴程序(interlocutory appeals)、審前會議(pre-trial conference；PCTs)以及責任審訊(the trial on liability)。 　　在排期審訊之前，需要完成的審前會議(PCTs)包括：1.當事人之首席律師必須親自向IP法官說明本案關鍵爭議點。2.每個案件設立專門管理的資深助理主簿(senior assistant registrar)負責其他的PCTs聽審，而助理主簿(assistant registrar)則會負責這個IP案件所有的中間上訴申請。 　　另外，智財法院也提供技術專業意見的技術鑑定專家（assessors）以及可提供法律專業意見的法庭之友（amicus curiae）名單，當事人可提出自己的候選者，以便法官諮詢技術上與法律上的專業意見[5]。 　　這樣的法院審理流程修改，對當事人而言，將被分配到專屬的主簿負責案件資訊，可提供當事人方便追蹤審理流程及進度。對審理法官而言，在進入真正審理之前，也已經透過PCTs的幫助，了解整個案件內容、各方說法以及提具的證據資料。法官將能盡早熟悉案件，增進審理效率，並透過法庭之友與技術鑑定專家取得專業意見，整體提升效率及審理品質。 (二)設立亞洲唯一國際商業法庭(SICC) 　　新加坡律政部於2014年10月向新加坡國會提出新加坡憲法修正案和最高法院司法權法案，為2015年1月成立之國際商業法庭（Singapore International Commercial Court，SICC）奠定法律正當性。 　　SICC是亞洲唯一的國際商業法庭，隸屬於新加坡高等法院下，其判決效力與新加坡最高法院相同，主要工作目標在於解決來自亞洲的跨境貿易和投資產生的國際商業訴訟糾紛，包括商業糾紛及專利訴訟等。 　　SICC相較於新加坡最高法院以及新加坡國際仲裁中心(SIAC)的主要區別包括： 　　1.由新加坡法官及外國資深法官共同組成審判團隊 　　SICC審判團隊不僅包括新加坡高等法院的法官，還包括定期合約的助理法官(Associate Judges)[6]，這些助理法官可以來自新加坡也可來自其他國家的外國法官，外國法官通常是其他國家具有豐富經驗且有名望的資深法官[7]。 　　2.可委託國外合格律師[8]出庭 　　新加坡高等法院只能由新加坡有執業資格的律師出庭，但在SICC法庭，各當事方可委託並由外國律師代表出庭。 　　若該糾紛為離岸案件[9]，各當事方可以委託註冊外國律師代理，而無需新加坡當地律師的任何參與。相反地，若所涉糾紛並非離岸案件，註冊外國律師則僅有權代表當事方，就外國法部分提供意見。在非離案案件中，仍可在新加坡當地律師處於主導地位前提下，外國律師仍可以共同代理人（而非僅是外國法專家身分）出庭。 　　此新規定因首次允許外國律師代表客戶在新加坡法院出庭而極具突破性。 　　3.外國法的選擇與證據法則的適用 　　SICC不受新加坡證據法則的約束，可依當事方的申請，選用其他國家之證據法則。 二、強化新加坡執行智財爭議解決替代方案的能力 　　新加坡1991年成立新加坡仲裁與調解中心(Singapore International Arbitration Centre；SIAC)，為了更積極的提升仲裁能力，於2001年與世界智慧財產權組織(WIPO)協議在新加坡設立亞洲唯一辦事處及新加坡WIPO仲裁與調解中心(The WIPO Arbitration and Mediation Center Singapore Office)，以協助提升新加坡智財仲裁能力。 　　在此基礎上，2014年11月新加坡政府再增設國際調解中心(Singapore International Mediation Centre；SIMC)，SIMC的特色在於除了調解業務(mediation)之外，新增「仲裁中調解(arbitration-mediation-arbitration；Arb-Med-Arb)」的服務，豐富新加坡智財爭議解決替代方案之多樣化選擇性。 　　「仲裁中調解」流程為，當事人為解決爭議，先啟動仲裁程序，在仲裁程序進行過程中，仲裁員對案件進行調解，調解不成或調解成功後，再恢復進行仲裁程序。爭議雙方可以透過「調解」建立和解共識，再透過「仲裁」使得雙方和解共識有法律效力。相較於單獨使用「仲裁」，將更節省金錢與時間成本；相較於單獨使用「調解」，則有法律執行效力。 參、評析 　　新加坡目前由SIMC與SIAC共同執行調解服務、仲裁中調解服務、仲裁服務，提供更多元的爭議解決替代方案及能力；再由SICC與新加坡智財法院提供執行智財訴訟審理，已建立完整的智財爭議解決服務流程。 　　在實踐的過程中，新加坡勇於突破現況，提出憲法修憲案以及司法修改案，讓SICC能有法律正當性地位。並建立新加坡智財爭議解決中心完整服務範疇，包括新加坡國際調解中心的調解服務以及仲裁中調解服務；新加坡國際仲裁中心的仲裁服務；新加坡最高法院之智財法院訴訟服務以及國際商業法庭提供之外國律師、依據外國證據法則、外國法官審理的國際商業爭議訴訟服務。 　　但是，SICC缺點為其作出的判決可能難以跨境執行，SICC作出的判決為新加坡高等法院的判決，可能因為缺少類似《承認和執行外國仲裁裁決公約(紐約公約)》的立法而無法像新加坡國際仲裁中心(SIAC)作出的仲裁裁決那樣易於執行。 　　綜上所述，新加坡政府改革態度是確定發展方向並評估執行障礙後，就進行修法及設定專責單位負責專責工作事項，這是大刀闊斧的行政效率，但相對而言，市場是否已經跟上政府的行政效率，或是政府的行政方向是否符合市場實際的趨勢，則還有待時間考驗。 [1] IP HUB MASTER PLAN：Developing Singapore as a Global IP Hub in Asia http://www.ipos.gov.sg/Portals/0/Press%20Release/IP%20HUB%20MASTER%20PLAN%20REPORT%202%20APR%202013.pdf [2] 2014年(直至10/17)新加坡智財法院結案12件案件、2013年智財法院結案8件案例、2012結案7件、2011年21件案例、2010年15件案例。以上的案例皆為商標爭議案例。http://www.ipos.gov.sg/Services/HearingsandMediation/LegalDecisions.aspx(最後瀏覽日2014/10/17) [3] 劉孔中，2014/10/16至資策會科法所創智中心演講內容。 [4] New IP Court Guide from 6 September 2013 http://www.allenandgledhill.com/pages/publications.aspx?list=LBulletinAreas&pub_id=409&topic=Legal+Bulletin+September+2013 [5] 兩造於審理開始前便需要同意共同負擔技術或法律專家提供專業意見之相關費，然針對勝訴的一方要求敗訴一方支付錢術相關費費用的權利仍得以保留。 [6]助理法官的合約是固定時間的，且不享有終身職，並根據需要特定的工作天數計算報酬，為了建構這個制度，新加坡政府甚至修改憲法Article 94(4) of the Constitution。 [7]任何由新加坡國際商業法庭管轄的案件均將由獨任法官或三名法官進行審理，SICC首任11位國際法官的任期為三年，其中涵蓋大陸法系的法官以及英美法系的法官，包括Bernard Rix（英國和威爾士）和Anselmo Reyes （香港），他們都是各自法域下享有頗高威望且經驗相當豐富的海事海商法官。 [8]外國合格律師是指未取得新加坡律師執業資質，但已在世界任一其他法域取得律師執業資質（並獲得其執業法域相關部門頒發的證書），並符合從事出庭律師職業滿五年；且可熟練運用英語進行訴訟所有條件的律師。 [9]所謂離岸案件是指該案件由於下列原因之一與新加坡無任何實質性聯繫，即：新加坡法律並不適用於該糾紛，且糾紛的標的不受新加坡法律規範，也不由新加坡法律管轄；或者該糾紛與新加坡唯一的連接點在於，各當事方選擇新加坡法律為糾紛適用法律，並將糾紛提交新加坡國際商業法庭管轄。

我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 　　我國關於個資去識別化實務發展，依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡，實務上爭議在於達到合理利用目的之個資處理，參酌法務部103年11月17日法律字第10303513040號函說明「個人資料，運用各種技術予以去識別化，而依其呈現方式已無從直接或間接識別該特定個人者，即非屬個人資料，自非個資法之適用範圍」，在保護個人隱私之前提下，資料於必要時應進行去識別化操作，確保特定個人無論直接或間接皆無從被識別；還得參酌關於衛生福利部健保署資料庫案，健保署將其所保有之個人就醫健保資料，加密後提供予國衛院建立健保研究資料庫，引發當事人重大利益爭議，終審判決（最高行政法院106年判字第54號判決）被告（即今衛福部）勝訴，法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準，該案之資料收受者（本案中即為衛福部）掌握還原資料與主體間連結之能力，與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用，在於確保社會大眾無法從資料內容輕易推知該資料所屬主體，並有提到關於再識別之風險評估，然而應採行何種標準，並未於法院判決明確說明。 　　我國政府為因應巨量資料應用潮流，推動個資合理利用，行政院以推動開放資料為目標，104年7月重大政策推動會議決議，請經濟部標檢局研析相關規範（如CNS 29191），邀請相關政府機關及驗證機構開會討論，確定「個人資料去識別化」驗證標準規範，並由財政部財政資訊中心率先進行去識別化驗證；並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191，同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例，第二波示範案例則由內政部及衛生福利部（105年12月通過）接續辦理。 　　經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術－安全技術－隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication)，轉換為國家標準CNS 29100及CNS 29191，並據此制訂「個人資料去識別化過程驗證要求及控制措施」，提供個資去識別化之隱私框架，使組織、技術及程序等各層面得整體應用隱私權保護，並於標準公報(107年第24期)徵求新標準之意見至今年2月，草案編號為1071013「資訊技術－安全技術－個人可識別資訊去識別化過程管理系統－要求事項」(Management systems of personal identifiable information deidentification processes – Requirements)，主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項，提供維護並改進個人資訊去識別化過程及良好實務作法之框架，並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 　　由於前述說明之草案編號1071013去識別化國家標準仍在審議階段，因此以下以現行「個人資料去識別化過程驗證要求及控制措施」（以下簡稱控制措施）[1]說明。 　　去識別化係以個資整體生命週期為保護基礎，評估資料利用之風險，包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序，分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法（下稱個資法）說明如下：首先，組織應先確定去識別化需求為何，究係對「個資之蒐集或處理」或「為特定目的外之利用」（對應個資法第19條第1項第4、5款）接著，對應重點在於「適當安全維護措施」，依據個資法施行細則第12條第1項規定，公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施；而依據個資法施行細則第12條第2項規定，適當安全維護措施得包括11款事項，並以與所欲達成之個資保護目的間，具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法： 一、隱私權政策 　　涉及PII處理之組織的高階管理階層，應依營運要求及相關法律與法規，建立隱私權政策，提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」，即為涉及個資生命週期為保護基礎之管理程序，從蒐集、處理到利用為原則性規範，以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 　　組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 　　組織蒐集、處理、利用PII應符合之11項原則，包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」，以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 　　組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫，且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義，係指個資以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者，組織於進行去識別化處理時，應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 　　此章節為選驗項目，需具體依據組織去識別化需求，是否需要重新識別而決定是否適用；若選擇適用，則保留重新識別可能性，應回歸個資法規定保護個資。 參、小結 　　國際上目前無個資去識別化驗證標準及驗證作法可資遵循，因此現階段控制措施，係以個資整體生命週期為保護基礎，評估資料利用之風險，使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊進行去識別化之過程，透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項，內化為我國業者因應資料保護與資料去識別化管理制度。 　　控制措施預計於今年下半年發展為國家標準，遵循個資法與施行細則，以及CNS 29100、CNS 29191之國家標準，參照國際上相關指引與實務作法，於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性，業者視需要評估導入，仍建議進行巨量資料應用等資料經濟創新業務，應重視處理個資之適法性，建立當事人得以信賴機制，將有助於產業資料應用之創新，並透過檢視資料利用目的之合理性與必要性，作為資料合理利用之判斷，是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心，個人資料去識別化過程驗證，https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx（最後瀏覽日：2019/6/4） 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容，該網站並未公告「個人資料去識別化過程驗證要求及控制措施」，故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。

在數位時代，兒童及青少年長時間使用網際網路已成為生活常態，然而，兒少在高度使用社群媒體的同時，也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」（toxic content）。在享受網路便利性的同時，兒少也面臨遭受騷擾、霸凌，被迫轉學甚至輕生等困境，心理健康面臨危機。為解決前揭問題，美國參議院於2024年7月30日通過《兒童網路隱私保護法》（Children’s Online Privacy Protection Act, COPPA）修正法案及《兒童網路安全法》（Kids Online Safety Act, KOSA）之立法，加強兒少網路安全之保護。 COPPA早於1998年制定，並於2000年開始施行，該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範，惟自訂定後迄今約25年，均未因應時代變遷做出調整，終於在本次會期提出修正草案。另KOSA之立法重點，則在於要求網路平台業者對兒童預設提供最高強度隱私設定，並建立控制措施，提供父母保護子女及認知到有害行為的機制，課予網路平台業者預防及減輕兒童陷於特定危險（如接收宣傳有毒內容之廣告）之義務等。此二法案經參議院投票通過後，合併為一案送交眾議院審核，重點說明如下： 1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年（下稱兒少），禁止網路平台業者在未經兒少使用者同意情況下，蒐集其個人資料。 2.禁止網路平台業者對兒少投放定向廣告（targeted advertising）。 3.為保護「合理可能會使用（reasonably likely to be）」網路平台的兒少，調整法案適用的「實際認知（actual knowledge）」標準，將適用範圍擴及至「合理可能被兒少使用（reasonably likely to be used）」的網路平台。 4.建立「清除鈕（eraser button）」機制，使兒少及其父母得以要求網路平台業者在技術可行情況下，刪除自兒少所蒐集之個人資料。 5.要求商務部（the Secretary of Commerce）於新法頒布後180日內，應成立並召集兒童網路安全會議（Kids Online Safety Council），進行包含識別網路平台對兒少造成危害之風險，提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。 觀本次可謂美國對於兒少網路保護之重大進展，惟此法案後續是否能順利提請總統簽署成法，正式具約束效力，仍須持續關注眾議院未來動向。

　　歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日，針對利用雲端運算以及行動設備，將個人資料從歐盟境內傳輸至非歐盟國家之部分，提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時，進行監督審查，當個人資料透過雲端運算服務進行傳輸或處理時，會由EDPS先行確認，以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 　　有鑑於跨境合作或使用傳輸服務等需求，歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增，此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 　　首先，該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明，後續則分別就適當保護之意涵，以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後，該指引則提供確認表，在資料傳輸前應經過一定的確認流程，包括確認資料接收的國家或組織是否已有適當的保護層級，若無，則是否尚有其他資料可證明。如上述皆無法證明，則應考慮是否有例外情況，例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定，基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形，則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後，如無任何安全之保護，則資料將無法進行傳輸至第三國。 　　綜上，歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引，使資料之傳輸與流通更有明確的規範方向，其後續適用之成效為何應可持續觀察。