德國新修正稅法將加重電子商務營運商之責任

　　德國聯邦資訊技術，電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則（GDPR）內容為基礎，調整德國聯邦資料保護法（BDSG）之修法動向。 　　德國政府正在緊鑼密鼓地調整德國的資料保護立法，使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿，但修正方向略有以下幾點： 　　首先，德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防，調查，偵查等訴追刑事犯罪或執行刑事處罰目的，處理個人資料時的保護以及對資訊自由流通指令。 　　其次，新法將遵循GDPR的結構，並利用一些除外規定，如：在資料處理時企業應指派九人以上資料保護官（DPO）的義務。某些如通知當事人的義務規定，亦有可能在存有更高的利益前提下，限縮其履行範圍。此意味某些通知義務有可能得不適用，例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。 　　第三，聯邦法律將保留一些規定，如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款，以及在公眾開放地區使用電子光學裝置監視的條款等。 　　最後，立法修正動向值得注意的重點尚有，(1)未來德國立法者將如何應對新的歐洲資料保護委員會（EDPB）中德國代表的地位（represe。由於EDPB將發布具有約束力的決定，針對爭議內容的決定意見，德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官（17個）經常提出不同的見解。此外，(2)還應該觀察聯邦資料保護監察官是否應該賦予權限，向法院提出對歐盟爭議決定或法律救濟，使案件進入德國法院，以爭執歐盟執委會所為之決定是否具備充足理由。前此，德國聯邦參議院（代表十六邦）2016年5月已要求聯邦政府引進新規定，使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論，將來有可能提供德國資料保護監察官，挑戰隱私盾協議的可能性。但新法案是否會解決這一問題，這還有待觀察。 　　可預見在2017年9月下一屆德國聯邦議會選舉前，將通過法案。

　　繼歐盟實施 WEEE 和 RoHS 指令掀起一股綠色風潮之後，歐盟又將啟動能源使用產品生態化設計指令 (Directive of Eco-design Requirements of Energy-using Products ，簡稱 EuP 指令），該指令協調歐盟產品環保設計的通則與標準，要求耗能產品（運輸工具除外）採取以內部設計管制或管理系統評估的方式，進行評鑑以證明其符合這項指令之規定，並取得 CE Marking 的符合性宣告，產品方能在歐盟境內上市。歐盟要求各會員國應於 2007 年 8 月前完成國內立法。 　　EuP 指令要求產品製造商須採用生命週期（ Life Cycle ）的思考方式，將生態化設計的要求 (Rrequirement of Eco-Design) 融入產品設計開發之中，藉此提高產品效能，增加能源供應的安全性，並達到高度環保要求。雖然目前歐盟尚未公告各項產品之生態化設計要求，但初期已列出包括：加熱與鍋爐設備、辦公事務設備、消費電子、照明、通風與空調、電動馬達、家用電器等 14 項優先管制產品，該等產品實施方法仍在研擬中，未來將逐步擴大管制項目。 　　依海關統計資料， 2005 年我國輸歐盟 14 類產品之總金額達 2,127 億元台幣。預期 EuP 指令的實施，將對我國產業帶來新的挑戰和機會。為協助我國廠商預先準備因應 EuP 指令，經濟部工業局已逐步協助並輔導業界建立 EuP 符合性評估之基礎，期帶領廠商面對 EuP 指令的挑戰，進而於綠色採購與綠色消費的潮流中持有競爭力。

　　英國高等法院(High Court)於2014年10月17日裁定網路服務提供者(Internet Service Provider, ISP)需協助業者打擊仿冒商品。全球第二大奢侈品集團Richemont Group於英國控告英國五大網路服務提供者即BSkyB、British Telecom、EE、TalkTalk和VirginMedia，要求網路服務提供者封鎖所有銷售該集團仿冒品的網站，避免網路使用者接觸到這些商標仿冒侵權的違法網站。 　　Richemont Group為Cartier、Piaget、Montblanc等精品品牌的母公司，其集團發言人表示此次的判決為打擊仿冒品網購業者邁前了一大步，對於法院認可防止涉及仿冒品的商標侵權有利於公眾利益感到滿意。 　　在此判決出爐前的三年以來，只有著作權人可就著作權侵權為由要求網路服務提供者封鎖仿冒品網站，如今首次將此權利延伸到商標權人手上，針對販售侵害商標權仿冒品的網站加以封鎖。 　　Arty Rajendra律師表示，網際網路讓販售仿冒品的非法網站能夠匿名並且隱藏位置，要封鎖販售仿冒品的網站是一件十分困難的事。因此，停止為這些網站帶來流量將如同停止供給他們氧氣，而網路服務提供者剛好在這環節中扮演非常重要的角色，因為他們可以限制對於這些非法網站的接觸(access)。 　　可預見的是，在此判決後，將會有越來越多商標權人要求網路服務提供者封鎖銷售仿冒品的網站。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。