德國聯邦政府提出《資訊科技安全法2.0》草案

　　英國文化、媒體暨體育部（Department for Culture, Media & Sport）於2016年12月21日發佈「網路安全規範與誘因評論」（Cyber Security Regulation and Incentives Review）（下稱本評論），本評論旨在評估新增規範或誘因對於強化整體經濟活動中之網路風險管理的必要性。 本評論的主要結論與建議為： 1.保護公民免於受到犯罪或其它形式的傷害具備明確的公益性，保護個人資料的相關規範亦具有強烈的正當性基礎。 2.有鑑於此，英國政府將藉由施行歐盟「一般資料保護規則」（General Data Protection Regulation,下稱GDPR）來增進整體經濟活動中的網路安全風險管理。英國政府藉由GDPR所課與企業在合理時間內向主管機關通報資料外洩事件之法律義務，以及GDPR在企業違反個資保護義務之罰鍰機制，要求產業界對網路安全的風險管理積極採取行動。 3.英國政府將採取若干措施來增加資料保護與網路安全之間的連結，以強化網路風險的管理。這些措施包括加強資訊委員辦公室（Information Commissioner’s Office），以及國家網路安全中心（National Cyber Security Center）之業務上合作關係、與投資人社群合作來制定網路安全規範，以及經由新的管理者論壇（Regulators’ Forum）與管理者合作，並且彼此分享良好的做法以及網路威脅的資訊等。 4.目前英國政府暫不在GDPR以外訂定其他的一般網路安全規範。

　　MIC資料顯示，台灣自由軟體產業軟硬體的相關產值從2003年的135億，至今年可望成長至新台幣290億。如果單看自由軟體的產值，今年可望超過新台幣12億，較去年成長26％。 　　資策會表示，在政策推動下，自由軟體的需求面有逐漸增加的趨勢。就市場整體來看，我國自由軟體產業的產值，今年上半年達到新台幣5億9000萬，全年將超過12億，達到12億3700萬，而從2002年至2006年，台灣自由軟體產業軟體產值的年複合成長率高達55％。 　　預期到2007年，自由軟體產值可望達新台幣100億元，投入軟體開發廠商將達50％，而政府單位的個人電腦使用比例可望達到10％。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。

　　德國政府於今（2020）年4月提出「網路執行法」(Network Enforcement Act, NetzDG)之修法草案，將要求社群平台業者提供對使用者更為友善的申訴流程，並建立及維護「反通報程序」機制，讓使用者有機會針對其被平台刪除之貼文或評論提出反對意見，並得重新發佈於社群平台上。 　　德國於2018年1月起正式施行「網路執行法」，針對在德國境內擁有200萬以上使用者之社群平台業者，課予其限時處理平台上不實及不當言論之義務，並須提交其處理平台上相關言論之報告，若平台業者未能有效執行相關規定者將處以罰鍰。該法施行兩年後引發諸多批評與爭議，雖然並未如社會大眾所憂慮的對於網路言論自由造成重大侵害，亦無證據顯示社群平台業者比施行前刪除了更多的使用者評論；然該法僅要求平台業者刪除不實或不當言論，對於被誤刪之言論，卻未有相關事前預防或事後救濟之措施。為試圖改善原法規執行上之困境和兩難，德國政府遂於今年4月提出修法草案。 　　此次修法主要重點如下： 強化平台使用者權利 倘使用者於平台發佈之評論遭平台刪除者，使用者未來得要求平台重新檢視此決定，平台須依個案處理並向使用者釋明其決定理由，據此，平台業者須引入反通報程序之機制(counter-notification procedure)。 提升申訴管道之使用者友善性 申訴程序須更為使用者友善，即必須讓平台使用者更容易進入與使用。 簡化法院核發命令程序 未來將同步修訂聯邦電視媒體法案（Telemediengestez），以利法院核發命令，要求平台業者公布數據或揭露犯罪者身分。 加強每半年公布之透明報告資訊 平台業者未來在半年報上須特別提供有關反通報程序之申請與結果，並揭露說明用於查找、刪除平台上不實或不當內容的自動化程序；亦須在報告裡聲明是否授權獨立研究機構以科學目的之匿名訪問權限，了解與研析平台上之不實或不當言論是否有特別針對特定群體。 　　此修正草案係為德國政府打擊網路上右翼極端主義和仇恨犯罪的政策措施一部份，後續除了須修訂NetzDG以外，亦包含刑法、刑事訴訟法、電信法及聯邦刑事警察局法等四部法規之修訂，相關規範修訂是否有助於刑事起訴進而有效打擊平台上的不當言論，尚有待後續觀察。