日本國土交通省公布最後一哩路自駕車系統指引

　　日前報導指出，在美國有部分的企業在面試時要求應徵者交出其臉書（Facebook）帳號及密碼，以供企業做為評估是否錄取之參考。企業這樣的舉動，遭論者類比為要求應徵者交出自家大門的鑰匙。據悉，企業此一傾向在九一一後有明顯增加之趨勢。 　　為因應此一趨勢所帶來的隱私疑慮，馬里蘭州在四月初已立法（撰稿時，此法尚待該州州長簽署）禁止雇主要求瀏覽或進入員工與應徵者的臉書或其他社交網站頁面，當然也包括禁止雇主取得員工或應徵者的臉書或社交網站帳號與密碼，或企圖成為員工及應徵者的「朋友」。 　　馬里蘭州此一立法，除了在保護員工或求職者的隱私之外，也是為了保障言論自由；且此一看似亦在保護應徵者及員工之法律，其實對企業亦有助益：其使原本處於法律灰色地帶的爭議問題明朗化，因而可使企業瞭解應如何因應，而可避免許多不必要的訴訟。 　　雖然輿論對此立法有許多贊同之聲，但亦不乏反對此一立法者，例如馬里蘭州的許多商業團體即認為瞭解求職者的社交活動，對於剔除不適任的應徵者，有其必要。 　　馬里蘭州此一立法乃率全美之先，其他各州可能亦陸續會提出類似法案。

　　歐盟為提升網路數位化產品之安全性，解決現有網路安全監管框架差距，歐盟執委會於2022年9月提出《網路韌性法案》（EU Cyber Resilience Act）草案，對網路供應鏈提供強制性網路安全標準，並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標： 　　1.確保製造商對於提升產品之網路安全涵蓋整個生產週期； 　　2.為歐盟網路安全之合法性創建單一且明確之監管架構； 　　3.提高網路安全實踐之透明度，以及製造商與其產品之屬性； 　　4.為消費者和企業提供隨時可用之安全產品。 　　《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時，須滿足法規要求之網路安全標準，始得於市場上銷售，並應提供清晰易懂之使用說明予消費者，使其充分知悉網路安全相關資訊，且至少應於五年內提供安全維護與軟體更新。 　　《網路韌性法案》將所涵蓋之數位化產品分為三種類別（產品示例可參考法案附件三）：I類別、II類別，以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別，須遵守法規要求之安全標準或經由第三方評估；II類別為與網路安全漏洞具密切關連之高風險產品，須完成第三方合格評估始符合網路安全標準；預設類別則為無嚴重網路安全漏洞之產品，公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品，惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。 　　若製造商未能遵守《網路韌性法案》之基本要求和義務，將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。

　　瑞士聯邦委員會於2022年3月30日，發布了一份關於推進可信的「資料空間」（Data Spaces）與「數位自決權」（Digital Self-Determination）報告。此份報告旨在強調資料是數位時代下創造價值的基礎，為了更好地運用資料的潛在價值，呼籲各界採用新的資料使用概念，加強資料所有者（Data Owner）或資料控管者（Data Controller）對於資料的控制，以「數位自決權」為核心，透過科學技術與法律制度，進一步為實踐「資料共享」（Data Sharing）提供一個安全、便捷、自主、開放、公平而值得信賴的「資料空間」。 　　值得注意的是，透過該報告，聯邦委員會指示聯邦外交部（FDFA）與聯邦環境、運輸、能源和通訊部（DETEC）實施多項措施，以期能在2023年6月份之前，制定一部由所有利害關係人參與的可信賴資料空間操作之自願行為準則。 　　此外，該報告列舉出當下對於充分發揮資料潛力所存在的障礙，包括： 資料愈趨集中於大企業手中，且多基於自身目的而使用。 私人和公共服務的提供者在資料的使用上存在多種障礙，例如：資源不足、缺乏專業知識以及擔心競爭劣勢。 社會對於資料的使用態度轉趨保守，無論是擔心資料被濫用而侵犯隱私，或是缺乏資料共享的動機。 　　該報告更進一步指出資料流通的跨國性，因而有必要創建值得信賴且國際兼容的資料空間，為此亦須建立可信賴資料空間的國際準則，以在國際間形成法律確定性。 　　觀諸我國個人資料保護法第1條便明確指出，本法制定的目的不僅是為了保護個人資料以及相應之人格權與隱私權，而是更進一步欲透過個人資料管理制度的建構與落實，健全社會及商業互信，以期達成資料的合理利用、創造價值並促進公共福祉的終極目標。 　　關於我國的資料共享體制，現階段主要從金融機構間開始萌芽，未來如何以數位自決權為基礎，同時在充分保障資訊安全的前提下，擴及其他產業並接軌國際，有賴更多科技與法制的創造與積累、外國經驗的借鑑以及國際參與，而台灣近日以創始會員身分加入「全球跨境隱私規則論壇」（Global Cross-Border Privacy Rules Forum）即為著例。

為確認產品供應鏈與物流鏈的真實來源、打擊仿冒品、提升永續資訊透明度以接軌歐盟政策，歐盟智慧財產局（下稱EUIPO）自2023年5月啟動區塊鏈物流認證計畫（下稱EBSI-ELSA），採難以竄改、公開透明的區塊鏈服務基礎設施（European Blockchain Services Infrastructure，下稱EBSI），透過數位簽章（digital signature）、時戳追溯與驗證歐盟進口產品的來源是否為智慧財產權利人。EUIPO 於2024年6月24日宣布EBSI-ELSA已上線8成基礎設施。為加速推動計畫，於2024年9月至11月間，EUIPO以產品鏈的智財權利人（例如鞋類與/或服裝、電氣設備、手錶、醫療設備與/或藥品、香水與/或化妝品、汽車零件與玩具產業別之產品智財權利人）為試點，並將於2024年11月前發布試點最終報告。 透過試點，EUIPO致力於： (1)測試、評估於真實世界之製造與分銷系統中應用數位簽章及物流模組的情況，以作為智財權利人之企業資源規劃（ERP）的一部分。 (2)於產品歷程，測試、評估數位裝運契約（digital shipment contract）及產品數位孿生（Digital Twin）之資訊的接觸權限與品質（access to and quality of information）。如海關人員預計於產品抵運前（pre-arrival）、通關階段（inspection phases）確認產品之真實性。 (3)提供產品生命週期應用EBSI-ELSA之試點最終報告，包含實施過程、結果等相關資料。 EBSI-ELSA計畫認為其符合歐盟之數位政策與循環經濟目標，旨於採取區塊鏈技術向供應商、消費者、海關、市場監管機構等多方揭露更多的產品溯源資料，提升產品透明度，銜接歐盟之數位產品護照（Digital Product Passport, DPP）政策，該政策目的係以數位互通方式揭露歐洲市場之產品生命週期的資訊，如產品材料來源、製程、物流、碳足跡等永續資訊，強化產業的可追溯性、循環性（circularity）及透明度，以協助供應鏈利害關係人、消費者、投資者做出可持續的選擇。而負責執行歐盟資料經濟與網路安全相關政策之歐盟執委會資通訊網絡暨科技總署（DG Connect）於2024年5月所發布之「數位產品護照：基於區塊鏈的看法」報告，亦指出「為確保區塊鏈系統互通性，其IOTA區塊鏈技術框架應能與歐盟內部市場電子交易之電子身分認證及信賴服務規章（EIDAS）及EBSI標準完全接軌（fully align）」。 如我國企業欲強化既有的產品生命週期資料管理機制，可參考資策會科法所創智中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，從數位資料的生成、保護與維護出發，再延伸至存證資訊之取得、維護與驗證之流程化管理機制，協助產業循序增進資料的可追溯性。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）