歐盟執委會公布「數位金融包裹」法案
為鼓勵金融產業之創新,同時使其遵循應有之責任,並讓歐盟金融消費者與商業機構享有更多之利益,歐盟執委會於2020年10月24日提出數位金融包裹法案(Digital Finance Package),並提出以下2項數位金融立法提案:
一、加密資產立法提案(Proposal for Markets in Crypto-assets)
為促進金融創新並同時保有金融穩定性與保護投資人,歐盟執委會提出加密資產管制框架立法提案,並將加密資產分為已受監管與未受監管兩類,前者將持續依據既有規範進行管理。而針對尚未管制之加密資產,該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制,要求取得核准後始可提供服務。具體而言之,立法提案包含以下項目:
(一)針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。
(二)針對向公開市場提供加密資產進行管制,例如,依據提案第4條,供應商應為法人,第5條則要求供應商應製作加密資產白皮書,並將其提供給主管機關後始可於公開市場提供相關服務。
(三)針對代幣資產發行人以及其加密資產之審核程序,依據提案第15條,代幣發行者必須為歐盟境內之法律實體。另外,該法要求加密資產發行人應誠實、公平且專業,並完成加密資產白皮書之出版與制定市場溝通規則。
(四)針對加密資產之收購,該法第4章亦設有相關規範,於第37條及38條規定收購之評估機制。
(五)針對加密資產服務供應商之授權與營運條件,該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。
(六)針對市場秩序維護之部分,該法於第6章規範相關預防市場濫用之禁止事項與要求,並於第7章賦予歐盟成員國各主管機關相關權力,例如第94條之監督與懲處權限。
二、歐盟數位營運韌性管制框架立法提案(Proposal for Digital Operational Resilience)
數位化總伴隨資安風險,歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案,以確保相關企業可應對所有與通訊技術有關之干擾與威脅,另外,銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊,另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含:
(一)ICT風險管理要求:該立法提案參照相關國際標準,於第5至第14條制訂相關ICT風險管理要求,惟未要求應遵循具體國際標準。
(二)ICT相關事件報告:該提案於第15至20條規範相關報告義務,將整合歐盟金融機構之ICT相關事件報告與監測程序。
(三)數位運作韌性測試:該提案於第21至第24條要求ICT風險管理框架應定期進行測試,惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。
(四)第三方單位風險:該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測,例如,第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範,另外,ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。
本文為「經濟部產業技術司科技專案成果」
- Digital finance package
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014(2020)
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937(2020)
- 英國金融行為監督總署公布《加密資產指引》諮詢文件
- 法國通過新的加密貨幣監管法律
余和謙
法律研究員 編譯整理
Digital finance package, European Commission, https://ec.europa.eu/info/publications/200924-digital-finance-proposals_en (last visited: Dec: 10, 2020).
European Commission, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014(2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0595 (last visited: Dec 10, 2020).
European Commission, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937(2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0595 (last visited: Dec 10, 2020).
杜冠穎,〈英國金融行為監督總署公布《加密資產指引》諮詢文件〉,法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=0&d=8217&no=64(最後瀏覽日:2020/12/10)。
蔣瑜玲,〈法國通過新的加密貨幣監管法律〉,法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=82&d=8292&no=64(最後瀏覽日:2020/08/10)。
美國賓州(Pennsylvania)眾議院於2024年4月10日通過《人工智慧生成內容的揭露法草案》(House Bill 1598 Disclosure of Artificially Intelligent Generated Content,下稱草案),規範AI生成內容及其利用行為以保護消費者。 草案規定,以AI生成之各種形式內容,在其首次呈現給消費者時應揭露資訊,使消費者知道該內容為AI生成之結果。如果明知或重大過失(Knowingly or recklessly)產出、散布或發布任何未「明確且顯著」(clear and conspicuous)揭露其內容為AI所生成者,即屬「不公平或欺騙性行為或做法」,將被依賓州《不公平貿易行為與消費者保護法》(Unfair Trade Practices And Consumer Protection Law)規定處罰。草案亦說明應如何揭露資訊,方符合條文所謂「明確且顯著」標準,例如針對AI生成之音訊內容,其揭露應以足夠的音量和節奏傳達,以便消費者聽取和理解。 此外,草案也關注兒童保護問題。鑑於AI生成的兒童性剝削圖像通報日益增加,草案最後新增規定,未來不能將「兒童性剝削圖像為AI生成」作為辯護理由,且檢察總長或地區檢察官可起訴製造、持有以及傳播AI生成之兒童色情或性虐待素材等相關行為。 目前草案已在州眾議院通過,由州參議院審議中。草案的提案議員強調,人們有權知道其消費的內容實際上是使用AI產出的成果,因此草案通過後,可望有效遏阻濫用AI的行為,提供賓州民眾更多的保障。
英國衛生部發布基因檢測與保險自律行為準則英國衛生部(Department of Health and Social Care)於2018年10月23日發布基因檢測與保險自律行為準則(Code on genetic testing and insurance-A voluntary code of practice agreed between HM Government and the Association of British Insurers on the role of genetic testing in insurance),該準則係由英國政府及英國保險業者協會(Association of British Insurers, ABI)共同制定,旨在取代先前的「基因與保險之協定與延期實施」(Concordat and Moratorium on Genetics and Insurance)文件,並以更易於理解的方式呈現原「基因與保險之協定與延期實施」之內容。 準則中列出八項承諾,此八項承諾為ABI代表其成員議定: 承諾一:保險業者(Insurers)會公平對待要保人(applicants)。保險業者不會要求或迫使任何要保人進行預測性或診斷性基因檢測;若要保人已進行預測性基因檢測,保險業者亦不會對其作出差別待遇,除非有如下之情況。 承諾二:列入附錄一之疾病類型並超過以下金額之保單,保險業者始得要求要保人提供預測性基因檢測之結果: 人壽保險-500,000英鎊 /人。 重大疾病險-300,000英鎊 /人。 收入保障險-30,000英鎊 /年。 目前列入附錄一之類型僅有亨丁頓氏舞蹈症(Huntington’s disease)之人壽保險總額超過500,000英鎊之情形。 承諾三:保險業者不會要求要保人提供: 要保人或被保險人於承保期間所進行之預測性基因檢測結果。 非為要保人或被保險人本人(如要保人或被保險人血親)之預測性基因檢測結果。 於科學研究背景下獲得之要保人或被保險人預測性基因檢測結果。 承諾四:若保險業者基於承諾二之規定要求要保人提供預測性基因檢測結果,亦不會針對該結果制定過於苛刻(disproportionate)的條款或條件。 承諾五:保險業者須於要保人簽約前提供明確之訊息,以說明: 根據本準則,要保人在何種情況下必須或無須提供相關預測性基因檢測結果。 若要保人自願提供對其有利的預測性基因檢測結果,保險決策將如何被影響。 承諾六:若要保人基於意外或自願向保險業者提供預測性基因檢測結果,保險業者可考量要保人之利益調整保單內容;若檢測結果對要保人不利,除非符合承諾二之情形,否則保險業者將忽略該檢測結果。 承諾七:販售人壽保險、重大疾病或收入保障保險之保險業者將: 每年向ABI報告其遵守本準則之情況。 根據本準則問答部分之詳細資訊,建立投訴程序(complaints procedure)。 每年向ABI報告與本準則運作上相關之投訴情形。 承諾八:販售人壽保險、重大疾病或收入保障保險之保險業者將指定至少一名經培訓之基因核保人(Nominate Genetics Underwriter, NGU),負責與遺傳資訊(genetic information)及遵守本準則相關之事項,且NGU之人數應與業務規模成比例。
德國聯邦內閣提出安全數位通訊及醫療應用法(E-Health-Gesetz)草案德國聯邦內閣於2015年5月27日提出安全數位通訊及醫療應用法(Entwurf eines Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, E-Health-Gesetz)草案。 德國聯邦衛生部部長說明因草案的形成一直有所爭議,以致過程冗長。而為了保證大量數據的資料維護及安全,德國資料保護及資訊流通之主管機關聯邦資料保護官(Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, BfDI)及聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),從一開始即密切參與其中合作。針對電子健保卡(die elektronische Gesundheitskarte)的資訊安全要求,德國聯邦衛生部將關注科技發展,持續更新相關規定。 本法案包括高安全標準之數位設施的建置期程,以及產生病人具體應用效益的時間規劃表,重要規定如下: 1.主檔資料管理(Stammdatenmanagement):被保險人主檔資料(Versichertenstammdaten)的測試及更新,自2016年7月1日起,於兩年內針對全國區域進行大範圍測試。 2.結合病人的緊急資訊(Notfalldaten):醫生能立即取得所有重要資訊,如過敏或過去病史等資料。當病人有該等需求之意願時,自2018年起健保卡即應包含緊急資訊。 3.藥物治療計畫(Medikationsplan):包含病人使用藥物治療的所有資訊,藥物治療計畫能於治療過程中使病人更加安全。而同時最少使用三種藥物的被保險人,自2016年起應採行藥物治療計畫。之後應可於電子健保卡取得藥物治療計畫相關資訊。 4.以電子方式發送醫療診斷報告(Arztbriefe):因目前為止醫療診斷報告仍係透過郵寄,然而為求重要資訊立即呈現,於2016年及2017年醫生以電子方式安全寄送診斷報告者,每份報告應收取55歐分的費用。 5.遠距醫療(Telemedizin):為推動遠距醫療的利用,自2017年4月1日起遠端傳輸X光照(Röntgenaufnahmen)的醫療診斷結果將收取費用。 6.醫療資訊系統的互通性:建立互通性指引(Interoperabilitätsverzeichnis)應可使醫療方面各類資訊系統所採行的標準透明化,且可使其規範更加標準化。而該指引應包含遠距醫療應用資料入口網站(Informationsportal)。 7.本法案所提期程,特別係針對實施的代表性自治組織(Organisationen der Selbstverwaltung),德國聯邦法定健康保險總會(GKV-Spitzenverband)、聯邦特約醫師協會(Kassenärztliche Bundesvereinigung)及聯邦特約牙醫協會(Kassenzahnärztliche Bundesvereinigung)適用。
美國總統簽署《強化美國訊號情報活動命令》,具體落實美歐跨大西洋資料保護框架美國總統拜登於2022年10月簽署了《強化美國訊號情報活動行政命令》(Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities),指示美國將採取哪些步驟以落實歐盟與美國間資料隱私架構下的承諾。其目的在於解決歐盟法院(Court of Justice of the EU)在2020年7月的Schrems II判決中宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。 新的行政命令為美國的情報監視活動規定了某些「隱私和公民自由保護措施」,並且為非美國人制定了一種新的權利救濟管道,該行政命令主要規定了以下幾點: 1.規定美國的訊號情報活動應為必要的,並且符合有效的情報優先事項。 該行政命令規定,美國的訊號情報只有在「促進有效情報優先事項所必需」,並且「只有在與授權事項相襯的範圍與方式下」才能進行。該命令規定,基於了解或評估對美國、其盟友或夥伴的國家安全構成當前或潛在威脅的國外組織的能力、意圖或活動;防止由外國政府、外國組織或外國個人實施或代表其實施的恐怖主義、劫持人質;以及了解或評估影響全球安全的跨國威脅等目的,可以對某些合法目標進行情報偵察活動。且不得對與新聞自由、異議、思想或政治觀點的自由表達造成限制或使其立於不利地位,也不得蒐集商業訊息;這些訊息的蒐集僅限用於美國、其盟友或夥伴的國家安全。 2.規定訊號情報活動蒐集到的個人資料之處理方式。 針對通過訊號情報活動所蒐集的個人資料,美國情報系統在處理資料的每個環節必須建立制度和相關程序,以盡量減少個人資料的傳輸和保存環節。且只有在適用法規允許蒐集、保留美國人特定類型的資訊之情況下,才能夠保留非美國人的該類型訊息,不得因被蒐集資料的對象並非美國人而有所差異。並要求資訊處理的單位人員保持適當的培訓,以確保相關人員能夠理解規範的要求。 3.規定非美國人的權利救濟程序,以審查美國情報界的訊號情報活動。 在此行政命令頒布後60天內,國家情報總監(DNI)在與美國司法部和情報界各部門協商後,針對非美國人「藉由相應國家機構所移轉符合資格之投訴」建立處理程序。而美國的司法部長可以與國務卿、商務部長和DNI進行協商,將一個國家或是經濟區域、組織指定為符合資格的國家或是國際群體,其人民可以進行權利救濟。DNI的公民自由保護辦公室(Civil Liberties Protection Officer, CLPO)將對這些非美國人的申訴進行審查,並於必要時進行適當的補救措施,包含刪除未經合法授權獲得的資料,或是將合法蒐集資料的訪問權限限制於經過適當培訓的人員。 4.建立資料保護審查法院,以審查CLPO對於合格申訴的判定結果。 新成立的資料保護審查法院應任命針對資料隱私和國家安全法領域具備適當經驗的法律從業人員來擔任法官。投訴人可於CLPO做出決定後,向該法院申請審查CLPO的決定。