英國發布出口軍用與軍民兩用技術定義與範圍之指南
英國國際貿易部(Department for International Trade, DIT)於2021年3月22日發布《出口軍用與軍民兩用技術定義與範圍之指南》(Exporting military or dual-use technology Guidance: definitions and scope),以協助使用者定義「技術」與「轉讓軍用或軍民兩用技術的法規範圍」。指南中說明,出口管制目的旨在防止出口技術及技轉可能導致開發或製造武器而危及國家安全,而非禁止合法貿易或知識傳播。任何管制技術的永久或暫時性出口或技轉(Technology transfer)均應取得出口許可證,包括展演、海外招標或投標、履約等行為。
首先在適用主體上,指南說明適用出口管制規範,為所有在英國國境內之人(不論國籍)和組織以及特定情況下的海外英國人,向外國人或海外地區為出口、技轉、或是使海外人員取得受管制技術之情況。
指南中所謂技術者,包含《英國戰略出口管制清單》(UK Strategic Export Control Lists)、《2008年出口管制命令》(The Export Control Order 2008)與歐盟理事會第428/2009號規則(Council Regulation No 428/2009)之內容。有些管制技術會以不同形式呈現,例如藍圖、計畫、模型、程式、指導手冊等,其呈現的形式亦屬管制範圍。此外,部分技術若與大規模破壞武器(Weapon of Mass Destruction, WMD)、武器貿易禁令(arms embargoes)以及未經授權的軍事出口有關者,亦可能屬於受管制之技術,因此定義上十分廣泛。因應科技和網路發展,出口和技轉亦會以不同方式呈現。指南中說明,技轉包含(1)以有形的物理文件或存載於媒體的方式技轉,例如隨身碟、硬碟、筆電或平板等;(2)以電子式等無形形式技轉,例如電子郵件傳送等。無論受管制技術之技轉是否加密,均需取得出口許可證。
針對前述定義之出口和技轉方式,指南中也例示技術移轉或出口的不同態樣,例如(1)電話會議及視訊會議;(2)電子郵件;(3)筆電、手機等可記憶之設備;(4)跨國公司內部傳送;(5)雲端儲存;(6)在國外下載使用管制技術;(7)員工在海外使用/存取內部網路;(8)第三方在海外使用/存取公司內部網路或雲端服務;(9)IT系統維護與測試。以上方式均應個別判斷是否需要申請出口許可證。此外,技術所有者應主導出口管制規範之法遵,故應了解客戶、供應商、分包商等第三方服務業者之詳細資訊,且於契約中明訂各方的出口管制責任及相關條款,並隨時確認接受者或第三方是否得自不同管道取得管制技術及相關訊息,並於可能出口和或技轉管制技術時,立即申請出口許可證。
本文為「經濟部產業技術司科技專案成果」
劉芷宜
法律研究員 編譯整理
Exporting Military or Dual-Use Technology Guidance: Definitions and Scope, GOV.UK, https://www.gov.uk/government/publications/exporting-military-or-dual-use-technology-definitions/export-of-technology-remote-access-and-the-use-of-cloud-computing-services (last visited Apr. 22, 2021)
許祐寧,〈歐盟理事會修正《第428/2009號歐盟理事會規章》,提升歐洲軍民兩用出口管制力度〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8606&no=67(最後瀏覽日:2021/4/22)。
許祐寧,〈美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8502&no=64(最後瀏覽日:2021/4/22)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8548&no=67(最後瀏覽日:2021/4/22)。
2025年6月23日,韓國個人資料保護委員會(개인정보보호위원회,下簡稱個資會)宣布修訂《個人資料保護法施行令》(개인정보 보호법 시행령)草案,擴大「本人傳輸請求權」(본인전송요구권)制度的適用範圍至特定大型個人資料處理者(개인정보처리자)。 南韓政府於2024年3月開始實施MyData(마이데이터)制度,賦予其國民「本人傳輸請求權」。所謂「本人傳輸請求權」,係指當事人向資料持有者請求傳輸個人資料給自己或特定第三方的權利,而個人資料則係指包含所有能夠識別本人身分或與本人有直接關聯的資訊。 本人傳輸請求權的立法目的,在於解決當事人將資料授權予特定企業或機關使用後,無法追蹤個人資料動向的問題。當事人可透過行使本人資料傳輸請求權,隨時確認資料如何被使用、有無被再次轉交他方,以及自由決定是否收回或轉移持有者擁有的個人資料。有助於解決個人資料利用權限一經授權後便難以掌控的問題,並提高國民對於個人資料的自主控制能力。 本次修法前,本人資料請求權的適用範圍僅限於醫療與電信產業,個人資料保護法施行令預告修訂草案進一步將符合以下標準的個人資料處理者納入本人傳輸請求權適用範圍: 1. 年營業額達1500億韓元以上的企業; 2. 持有個人資料人數達100萬人以上的企業或機構; 3. 敏感資料、高識別度資料達5萬人以上的企業或機構; 4. 2萬人以上大學或公部門機關。 韓國個資會此次提出的預告修訂草案,建立了一套可跨領域適用的個人資料管理政策架構,為國民資料自主性與控制權提供更完整的保護,值得作為我國個人資料治理制度之參考。
德國聯邦參議院通過保護數位世界隱私之《電信與電子媒體資料與隱私保護法》德國聯邦參議院於2021年5月28日通過《電信與電子媒體資料與隱私保護法》(Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, TTDSG),其目的係保護數位世界中的資料與隱私,平衡數位服務使用者利益與公司經濟利益,並解決因德國電信法(Telekommunikationsgesetz, TKG)、電信媒體法(Telemediengesetz, TMG)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)同時並行,使消費者、電信服務提供者以及監管機關不確定如何適用上開法律之情況。 TTDSG彙集TKG、TMG中資料與隱私保護相關之條文,包含電信保密(Fernmeldegeheimnis)(第3條至第8條)、交通位置資料(第9條至第13條)、來電通知與號碼顯示(第14條至第16條)、終端使用者名錄和相關資料提供(第17條至第18條),以及允許匿名化、可隨時停止使用服務和保護未成年之相關措施(第19條至第23條),並參考GDPR和電子隱私保護指令(ePrivacy-Richtlinie)新增數位遺產(digitaler Nachlass)、終端設備隱私保護、同意管理以及監管之規定。 TTDSG於第4條新增數位遺產規定,終端使用者繼承人或具有相似法律地位者,可以向供應商行使繼承人權利,不受電信保密相關規定限制;在終端設備隱私保護和同意管理之部分,TTDSG第24條規定原則上第三方僅能在終端使用者同意下,於使用者的終端設備中儲存與近用資料,且當事人可隨時撤銷同意。 最後在監管方面,則分為個人資料保護相關與電信媒體領域,前者依TTDSG第28條、第29條由德國聯邦資料保護與資訊自由委員會(Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI)作為獨立的資料保護監管機構,後者則依TDSG第30條屬德國聯邦網路局(Bundesnetzagentur)的職權範圍。
歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。 (1)監管範圍: NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。 (2)成員國協調合作: NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。 (3)資安風險管理措施: NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
美國公民自由聯盟控告兒童線上保護法侵害言論自由美國公民自由聯盟(American Civil Liberties Union, ACLU)在挑戰一網際網路審查法案—「兒童線上保護法(Child Online Protection Act, COPA)」的訴訟中獲得勝利。美國公民自由聯盟聲稱,1998年頒布的兒童線上保護法立意雖是為了防止兒童在網際網路上接觸到色情內容,但卻違反了美國憲法,也損害了數以百萬計成年網際網路使用者的言論自由。這個案件被視為對網路言論自由限度的重要檢測指標。 該法案中要求所有商業網站在允許使用者瀏覽那些有害未成年人的內容時,必須以信用卡號碼或其他方式來證明使用者的年紀。此外,在該法案中,那些製造有害未成年人內容的業者每日必須支付最高五萬美元的罰款,以及最多六個月的牢獄之災。美國公民自由聯盟認為,該法案有效杜絕色情網頁的比例甚至不到五成,而最高法院也表示,如可透過像過濾軟體或類似技術來達到防止未成年人接觸網路色情內容的目的,則法律限制的必要性則有待商榷。