英國「數位服務稅」
英國在2019年7月11日於《2019-2020年財務法案》(Finance Bill 2019-20)之中,提出「數位服務稅」(Digital Services Tax)草案。《2019-2020年財務法案》已於2019年7月22日獲得御准(Royal Assent),並於2020年4月1日開始向跨國數位服務業者課徵2%數位服務稅。英國數位服務稅的主管機關「稅務海關總署」(HM Revenue and Customs)指出:「數位服務稅並不會影響個人,課徵的對象為大型跨國數位服務業者,如搜尋引擎(Search Engine)、社交媒體服務(Social Media Service)、線上購物平台(Online Marketplace),包含在這些平台上營運的廣告。」英國課徵2%數位服務稅的對象為於全球營收超過5億英鎊,且2,500萬英鎊的營收來自英國用戶(UK User)的數位服務業者,其中,首次於英國營收達2,500萬英鎊者,可以免課徵一次。所謂英國用戶指的是慣居於英國之人(Normally Located in the UK),只要交易的其中一方為英國用戶,則整個交易收益視為應課徵數位服務稅之營收。營收計算方式涵蓋任何與平台營運相關的商業行為,所有來自於英國用戶的營收均會被列入計算,至於廣告收益則是以投放目標客群為英國用戶作為計算
因應全球化與數位化,七大工業國組織(G7)、二十國集團(G20)、經濟合作暨發展組織(OECD)相繼推出數位服務稅作為永續的策略。英國原先亦不存在數位服務稅相關法制,直至2019年7月11日才於《2019-2020年財務法案》提出,並開始徵詢公眾意見。英國政府期待透過數位服務稅的政策,讓稅務課徵更加公平、增進公共利益。目前,英國政府並沒有明定數位服務稅的落日條款,然而英國政府於政策報告書中說明,假設國際上有更完善的解決方案,即會停止數位服務稅的課徵。
本文為「經濟部產業技術司科技專案成果」
朱翊瑄
法律研究員 編譯整理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。 本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
歐盟針對單一專利制度達成協議歷經多年的討論與僵持後,歐盟各國領袖於2012年6月29日宣布同意建立歐盟單一專利制度,並決定將單一專利法院分別設置於巴黎、倫敦與慕尼黑三個城市。 專利法院的設置地點一直為建立歐盟單一專利制度的最後爭議點,包括英國、德國與法國一直積極爭取單一專利法院設立在他們國家,最後於6月29日終於達成妥協,將單一專利法院分成三個地點:第一審法院中央部門之主要位置將設立於法國巴黎,而法院的第一任院長也將會由法國人擔任,英國倫敦及德國慕尼黑也將分別設立部門,以因應專利訴訟案件的特殊性質,英國倫敦將負責處理跟化學藥學生命科學相關之專利案件,德國慕尼黑則負責處理跟機械工程相關之專利案件。而歐盟單一專利的核發將由歐洲專利局(European Patent Office)負責。 單一專利制度協議僅有25個歐盟國家同意,西班牙及義大利目前選擇不加入,原因是這兩個國家不滿西班牙文及義大利文都沒有被納入為單一專利制度之官方語言,只有法文、德文及英文被訂為單一專利制度之官方語言,西班牙及義大利認為這樣的安排將為位於法國德國及英國的企業帶來不公平的優勢。 此項協議現在將進入歐盟議會進行表決,預計於2014年就可以開始核發歐盟單一專利。
美國加密法案隨潮流再起緣起於2016年的加密法案(ENCRYPT Act),由於今年發生了臉書劍橋分析事件,以及歐盟GDPR的影響,本此法案再提的聲勢如浪潮襲來,不僅眾多議員附和,連企業(如:電子前線基金會Electronic Frontier Foundation,EFF)都予以支持。 加密法案的主要內容係以兩方面進行加密應用之保護, 各州州政府不得授權或要求產品或服務的製造商、開發商、銷售商或供應商,(A)設計或更改產品或服務中的安全功能,以供其進行監視或允許其進行實體搜索;(B)使其有能力解密或便於理解加密應用後的內容。 各州州政府不得禁止加密或類似安全功能的產品或服務,進行製造、銷售或租賃、提供銷售或租賃, 或向公眾提供覆蓋的產品或服務。此外,法案亦針對相關服務或產品的定義作了明確的說明。 本法案的主要提案者美國眾議員Ted Lieu指出,與加密或資料存取相關的問題,皆應在聯邦政府的層級進行討論,而就其本身電腦科學的專業,指出在各州間保有不同的加密應用執法標準,對資安、消費者、創新,以及執法本身都是不利的,引此本法案的推動旨在強化州際商業和經濟安全,以及網路安全問題,希望能對加密應用議題作全國性的討論,而不會損害使用者在過程中的安全性。
世界61個個資保護主管機關發布聯合聲明,避免AI生成私密影像危害兒少安全61個來自世界各國及歐盟之個資保護主管機關於2026年2月23日發布「AI生成影像及隱私保護聯合聲明」(Joint Statement on AI-Generated Imagery and the Protection of Privacy),旨在警示AI生成影像工具之開發者與使用者,未經當事人同意生成逼真私密影像及有害內容,不僅可能侵害個人隱私或名譽,亦可能嚴重威脅兒少安全。 本聯合聲明是在全球隱私大會(Global Privacy Assembly)國際執法合作工作小組(Internal Enforcement Cooperation Working Group)協調下所發起。其內容強調AI生成影像因廣泛融入社群媒體平臺,更易對兒少造成網路霸凌或剝削等潛在危害,呼籲開發及使用AI生成內容系統時,應遵循隱私與個資保護規則,並注意未經同意創建私密影像在某些國家可能構成刑事犯罪。 針對AI生成內容系統之開發者與使用者,聯合聲明提出下列基本指導原則: (1)實施健全的防護措施,避免濫用個人資料及未經同意生成私密影像或其他描述兒少之有害內容。 (2)確保透明度,有意義地揭露AI系統之功能、安全措施、可接受之用途及濫用後果。 (3)提供有效且易於使用之機制,以接收並快速回應移除有害內容之請求。 (4)向兒童、家長、監護人及教育工作者提供清晰、適齡之資訊,以應對特定兒少風險。 簽署聯合聲明之個資保護主管機關,將持續交流分享相關執法、政策推行與教育宣導經驗,共同努力應對全球隱私及兒少風險。