英國數位文化媒體暨體育部發布數位身分之公眾諮詢,發布法制政策回應並揭示相關原則
英國數位文化媒體暨體育部(Department for Digital, Culture, Media and Sport, DCMS)2020年9月1日發布「數位身分:政府諮詢回應」(Digital Identity: Call for Evidence Response)文件,以回應過去英國政府曾於2019年7月向各界蒐集如何為成長中的數位經濟社會建立數位身分系統之意見。依據諮詢意見之成果,英國政府計畫調修現行法規,使相關身分識別流程以最大化容許數位身分之使用,並發展有關數位身分之消費者保護立法;立法中將特別規範個人之權利、如何賠償可能產生的侵害,以及設定監督者等相關內容。數位身分策略委員會(Digital Identity Strategy Board)並提出六項原則,以加強英國之數位身分布建與政策:
- 隱私:當個人資料被使用時,應確保具備相關措施以保障其保密性與隱私;
- 透明性:當個人身分資訊於使用數位身分產品而被利用時,必須確保使用者可了解其個資被誰、因何原因,以及在何時被利用;
- 包容性:當人們希望或需要數位身分時即可取得。例如不備有護照或駕照等紙本文件時,對於其取得數位身分不應產生障礙;
- 互通性(interoperability):應設定英國之技術與運作標準,使國際與國內之使用上可互通;
- 比例性:使用者需求與其他因素(如隱私與安全)之考量應可平衡,使數位身分之使用可被信賴;
- 良好監理:數位身分標準將與政府政策與法令連結,未來之相關規範將更加明確、一致並可配合政府對於數位管制之整體策略。
本文為「經濟部產業技術司科技專案成果」
柯亦儒
組長 編譯整理
Next steps outlined for UK’s use of digital identity, Sept. 1, 2020, https://www.gov.uk/government/news/next-steps-outlined-for-uks-use-of-digital-identity (last visited Nov. 5, 2020).
陳咸蓁,〈德國聯邦內閣通過「數位家庭給付法」草案,結合數位科技整併各項出生證明、津貼或補助申請窗口〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8510&no=64(最後瀏覽日:2020/11/10)。
歐洲藥物管理局(European Medicines Agency, EMA)今(2012)年7月6日修正發布「藥品交互作用試驗指針」(Guideline on the Investigation of Drug Interactions),EMA表示這是該指針自1997年發布以來最大的修正,內容包括藥廠如何進行新藥與已經流通使用的藥品的潛在交互作用研究,以及新藥與食品的交互作用研究。 「藥品交互作用試驗指針」內容包括用藥建議方案,其乃基於臨床相關交互作用以及調整用藥劑量、監控病人用藥情形之可行性研究為基礎。同時,有關草藥使用的建議方案也包括在內。 EMA表示,新的修正內容使「藥品交互作用試驗指針」與藥品交互作用研究科學之發展現況趨於一致,例如現已能透過少數的精密設計研究,即可預測臨床相關藥品交互作用的結果,以及在了解近年酵素觸發技術(enzyme induction)與藥物載體(drug-transporter)間的交互作用上的科學進展。 藥物交互作用對於用藥的安全與效用極為重要,許多病人,尤其是年長者經常需要同時服用多種藥物,因多種藥物交互作用而產生的負作用(adverse effects)是患者反覆就醫的重要因素之一,且可能減低個別藥物原有的療效。 「藥品交互作用試驗指針」新修正內容將於2013年1月1日生效,全文共計七部分,主要重點在第五部分的藥物動力學(Pharmacokinetic)交互作用研究,內容包括:從研究進行方式即藥品的吸收、分布、代謝、移轉到人體試驗設計、草藥與特殊食品產品、以及產品特性標示事項等都有建議規範,其全文可至EMA官方網站下載。
日本發布關鍵基礎設施資訊安全對策第4次行動計畫為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。
英國發布「2017年資料保護法」草案,以符合數位時代之需求數位技術改變人們的生活,為使英國人民、企業及組織接受數位時代的變革,並確保英國做好脫離歐盟(European Union)的準備,英國數位文化媒體及運動部(Department for Digital, Culture Media & Sport)修正1998年的資料保護法(Data Protection Act 1998),於2017年9月14日,提交2017資料保護法草案(Data Protection Bill 2017)(以下簡稱:本草案)予上議院審議,以因應數位時代的來臨。 此次本草案修正的方向為: 一般資料處理(§3-26): 一般資料處理係依歐盟的一般資料保護規則(General Data Protection Regulation,簡稱GDPR)為標準,將歐盟GDPR一般資料處理的相關規範之標準制定於此次修正之資料保護法中,並確保健康、社會安全與教育資料等個人資料之安全維護。另對於個人資料的近用與刪除予以規範以強化公共政策,並維護國家安全。 執法程序(§27-79): 拜科技進步所賜,網路世界如遠弗屆,透過網路跨境傳輸、分享、蒐集資料,並非難事,因此,更需要一個強而有力且一致性的個人資料保護規範框架。警方、檢方或司法刑事機關為偵查犯罪行為,而蒐集、處理或利用個人資料,須有明確、正當、合法的執法目的,對於國際間個人資料的交流利用須依明確的程序規範並賦與相當之保護措施,確保英國退出歐盟後,仍可繼續與歐盟各成員國間聯手偵辦重大犯罪案件,以維護國際間之資訊安全。 國家安全(§80-111): 因國家安全事項不在歐盟法(EU Law)規範範圍之列,故GDPR或指令法律(Law Enforcement Directive,LED)之效力不及於各成員國對於國安全之情資蒐集。故英國本次修法參採個人資料保護公約(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,又稱現代化公約108(modernised Convention 108))之精神,將情報單位基於維護國家安全之必要蒐集個人資料之規範,明文納入個人資料保護法之適用,以符合國際間的資訊安全規範標準。 資訊委員與執行(§112-168): 資訊委員(Information Commissioner)係指保護資訊權之公共利益、促使公務機關公開資訊與維護個人資料隱私權之獨立政府官員,得主動偵查犯罪,並得通知或教育廣泛的資料管理者,以提高資料保護之標準。繼2010年賦與資訊委員針對金融犯罪之執法權限之後,本草案亦增列意圖還原已去識別化之個人資料、禁止不當揭露個人資料兩種犯罪類型,賦與資訊委員更廣的處理權責。違反資料保護法(如不當揭露個人資料),將處以行政罰責(最高可處1,700萬英鎊/2,000萬歐元罰鍰)。 本草案除建制一個一般資料處理、執法程序及國家安全的資料保護體系外,更加強對於學術研究、金融服務及兒童保護等領域的資料保護,以因應數位時代之變革。
日本經產省預計向國會提出「不正競爭防止法」修正草案進行審議