數位主權新近政策與法制之發展趨勢
資訊工業策進會科技法律研究所
2021年5月20日
壹、事件摘要
「數位主權」(digital sovereignty)之概念出現於2000年初,於近年漸成國際間數位政策之核心主軸之一。此概念之興起主要係隨著資訊社會之蓬勃發展,許多危害與侵權事件接踵而來,直接或間接侵害國家管理數位環境之權力,亦使消費者權益受損;尤以,近來科技業競爭下雲端運算科技之興起與普及,許多科技巨擎以其技術跨越國界,直接掌握許多國家使用者之資料,使各國政府無法或難以過問,變相喪失國家主權。
法國廣播電台Skyrock首席執行長Pierre Bellanger曾於2011年就數位主權做出初步定義:「數位主權是透過使用科技和電腦網路來體現和引領對我們對當下和命運的控制。」[1]。而德國「網路經濟數位主權工作小組」於2015年德國全國IT峰會上提出:「…『主權』一詞通常是指以獨立性和自主性達到自決的能力。...從這個意義上講,數位主權意味著在數位空間中獨立行動和做出決定的能力[2]。」其後,數位主權進一步被納入整體主權概念之一,如德國於2018年數位高峰會上聚焦於資料處理與核心競爭力,認為國家或組織之數位主權彰顯,端視其對儲存或處理之資料能否有完全控制能力與對其之獨立決策權[3]。
另一方面,數位主權之興起亦被視為數位保護主義(Digital Protectionism)[4]。以歐盟為例,歐盟於2018年5月正式施行之一般資料保護規則(General Data Protection Regulation),即是在數位主權之「個人層面」下,使消費者重新取得其掌控個人資料之權利;於此同時,歐洲亦試圖在國家層面與企業層面排除來自美國、中國等科技巨擎之掌握,從硬體設備或平臺等中介媒介取回自決能力,如德法推動數位基礎建設之GAIA-X計畫[5]、歐盟於2020年提出之《數位服務法》草案(Digital Services Act)[6]等,其核心意涵皆直接與間接涉及數位主權之概念。
貳、重點說明
依新近數位經濟之發展趨勢,即可看出數位主權並非全有或全無之概念,而係透過政策或措施逐步彰顯或體現之,例如歐盟提出以10年為藍圖提出之戰略政策,德法則藉由硬體設備建設之措施,澳洲則採以訂定新法規之方式,皆可涉及數位主權之意涵。本文以下即以德國與歐盟近年之政策方向與措施,以及澳洲於今(2021)年甫通過施行之「新聞媒體議價法」,一窺當前實務上彰顯數位主權之手段或方式。
一、德法推動硬體設備與雲端服務在地化:GAIA-X計畫
德國政府於2019年10月29日數位高峰會(Digital Summit:PlattFORM DIE ZUKUNFT)與法國之政、商、學界聯合發布一關於數位資料基礎建設之GAIA-X計畫,目的在於為基礎建設設施提供一安全、聯合化之系統,在滿足最高數位主權標準之要求下,同時促進創新,該計畫係由22家德國和法國公司聯合設立為一非營利之法人實體,以推動GAIA-X雲端計算平臺於歐洲落地[7]。該計畫擬建立一開放、透明之數位生態系統[8],以增強對雲端服務需求之數位自主性,並增強歐洲雲端服務提供商之擴充性和競爭地位,進而試圖取代Amazon或Microsoft等雲端數據中心之資料提供與相關服務[9]。同時,參與GAIA-X計畫之成員均應遵守保護資料主權(Schutz der Datensouveränität)、資料可用性(Datenverfügbarkeit),互通性(Interoperabilität),可攜性(Portabilität),促進透明度和公平參與(Förderung der Transparenz und der fairen Teilhabe)之原則,以符合歐盟法規之標準[10]。
二、歐盟提出《歐洲資料戰略》(European Data Strategy)
歐盟執委會於2020年2月19日針對未來10年歐洲AI開發與開放資料運用方向等核心議題,公布一系列數位化政策,其一即為歐洲資料戰略(European Data Strategy)。為此,該戰略提出資料開放共享政策與法制調適框架,宣示其目標為建構歐洲的之資料單一市場(single market for data),視資料為數位轉型之核心,開放至今尚未被使用之資料[11]。
該戰略擬定數個具體的措施與制度調修方向:(1)建構資料跨部門治理與取用之法規調適框架,按時程分別提出共同歐盟資料空間(common European data space)管理之立法框架[12]、高價值資料集(high-value data-sets)、資料法(Data Act)等,以建構企業對政府或企業間之資料共享環境,調適並建立有利於資料取用之智慧財產權與營業秘密保護框架;(2)強化歐洲管理、處理資料之能力與資料互通性,建構資料共享體系結構並建立共享之標準及治理機制、啟動歐洲雲端服務市場並整合所有雲端服務產品、編纂歐盟雲端監管規則手冊;(3)強化個人有關資料使用之權利:從協助個人行使其所產出資料相關權利之角度,於資料法中優化歐盟GDPR第20條之資料可攜權;(4)建構戰略領域與公共利益領域之歐盟資料空間(European data space),針對戰略性經濟領域與攸關公共利益之資料使用需求,開發符合個資保護與資安法令標準之資料空間[13]。
三、澳洲立法要求數位平臺付費予澳洲新聞媒體
澳洲國會於2021年2月25日通過2010年制頒之競爭與消費者法(Competition and Consumer Act 2010)之增修條文—一般通稱為《新聞媒體議價法》(News Media and Digital Platforms Mandatory Bargaining Code)[14],並於3月2日施行,以解決澳洲新聞媒體業者與數位平臺間之議價問題,尤其是Google及Facebook等科技巨頭,若在其平臺呈現、提供連結或擷取澳洲當地新聞媒體所產出之新聞內容時,依該增修條文之規定,應與澳洲當地媒體達成付費協議,如無法達成協議者,則由澳洲政府以強制仲裁決定最終價格。此法之目的係澳洲政府為了保護當地媒體公司之著作,並確保當地業者能獲得合理之報酬[15]。
目前澳洲議會通過決議,該法最初適用對象為Google與Facebook,其後若有證據證明其它數位平臺服務引起議價能力之不平衡,亦可能成為該法受規範對象,其資格要件則由澳洲通訊媒體管理局(The Australian Communications and Media Authority)認定之。若平臺違反規定者,將可裁處達1000萬澳元之罰緩。
參、事件評析
從上述實務案例可知,由於數位主權之概念仍在發展中,會因不同商業環境或地緣政治之影響,對數位主權之界定與主張之力道而有所差異,致使在措施或法制設計上皆有不同樣貌。比較上述三案例之發展脈絡,歐盟之《歐洲數位戰略》提出諸多數位政策與方向,企圖形塑數位經濟管制框架,以因應巨型數位平臺之潛在威脅,其核心意涵即緊扣數位主權之彰顯;而德法聯手推動之GAIA-X計劃,則更進一步將數位主權之抽象概念落實於實務上,透過基礎硬體之建設與數位生態系統之育成,試圖降低歐洲對美國矽谷科技巨擎之依賴,此計劃亦呼應數位主權定義與概念,即提高掌握數位資料之自主性與獨立性,可視為彰顯數位主權之方式之一。至澳洲之《新聞媒體議價法》,其宣稱之立法目的主要在於提升在地媒體之議價能力外,亦立法授權行政機關指定特定企業應盡到某種公平競爭法上之市場交易義務,取代原本公平競爭主管機關之職責,為國際比較立法例之首見;而該法強制外國企業與當地媒體進行協商,不履行此等義務者得處以罰鍰,雖形式上係從市場競爭之公平法觀點出發,並非以彰顯數位主權為立法目的,惟其帶有極重之保護主義色彩,間接體現/彰顯數位主權之意涵,或可視為某種程度/型態下,數位主權概念之具體實踐案例。
[1]Pierre Bellanger, 'De la souveraineté en général et de la souveraineté numérique en particulier' [Sovereignty in general and digital sovereignty in particular], LES ÉCHOS, Aug. 30, 2011, http://archives.lesechos.fr/archives/cercle/2011/08/30/cercle_37239.htm#(last visited Mar. 15, 2021).
[2]BUNDESMINISTERIUM FÜR WIRTSCHAFT UND ENERGIE [BMWI], Neunter Nationaler IT-Gipfel 2015:Digitale Zukunft gestalten – innovativ_sicher_leistungsstark (2015), https://www.de.digital/DIGITAL/Redaktion/DE/IT-Gipfel/Download/2015/it-gipfel-2015-berliner-erklaerung.pdf?__blob=publicationFile&v=13 (last visited Mar. 15, 2021).
[3]BMWi, Digital-Gipfel 2018(2018), https://www.de.digital/DIGITAL/Redaktion/DE/Dossier/digital-gipfel-2018.html (last visited Mar. 15, 2021).
[4]Ziyang Fan & Anil K Gupta, The Dangers of Digital Protectionism, HARVARD BUSINESS REVIEW, Aug. 30, 2018, https://hbr.org/2018/08/the-dangers-of-digital-protectionism (last visited Mar. 15, 2021).
[5]BMWi,GAIA-X(2020), https://www.bmwi.de/Redaktion/DE/Dossier/gaia-x.html (last visited Mar. 16, 2021);許祐寧,〈德國聯邦經濟與能源部提出《GAIA-X計畫》建立歐洲聯合雲端資料基礎建設〉,資訊工業策進會科技法律研究所,2020/03,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=1&d=8415(最後瀏覽日:2021/03/15)。Emmanuel Macron in his own words, The Economist,2019/11/07, available at https://www.economist.com/europe/2019/11/07/emmanuel-macron-in-his-own-words-english (last visited Mar. 15, 2021).
[6]EUROPEAN COMMISSION, The Digital Services Act package (2020), https://ec.europa.eu/digital-single-market/en/digital-services-act-package (last visited Mar. 16, 2021).
[7]BMWi, Project GAIA-X A Federated Data Infrastructure as the Cradle of a Vibrant European Ecosystem Executive Summary, https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/das-projekt-gaia-x-executive-summary.pdf?__blob=publicationFile&v=5 (last visited Mar. 15, 2021).
[8]BMWi & BMBF, Project GAIA-X, https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/das-projekt-gaia-x-executive-summary.pdf?__blob=publicationFile&v=8 (last visited Mar. 15, 2021).
[9]GAIAX: AFederated Data Infrastructure for Europe, https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html (last visited Mar. 15, 2021).
[10]BMWi, Deutschland und Frankreich Vorreiter beim ersten Schritt Europas in Richtung einer europäischen Dateninfrastruktur, PRESSEMITTEILUNG, Jun. 04, 2020, https://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2020/20200604-deutschland-und-frankreich-vorreiter-beim-ersten-schritt-europas-in-richtung-einer-europaeischen-dateninfrastruktur.html (last visited Mar. 15, 2021).
[11]Commission communication from the commission to the European parliament, the council, the European economic and social committee and the committee of the regions: A European strategy for data, 2020/02/19, COM (2020) 66 final (Feb. 19, 2020), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020DC0066&from=EN(last visited Mar. 15, 2021).
[12]COMMON EUROPEAN DATA SPACES, Real-time Linked Dataspaces, http://dataspaces.info/common-european-data-spaces/#page-content(last visited Mar. 15, 2021).
[13]Supra note 11.
[14]Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Act 2021.
[15]謝宜庭,〈澳洲立法強制Google及Facebook向媒體業者支付合理費用〉,科技法律研究所,2020/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8526&no=64 (最後瀏覽日:2021/03/15)。
新加坡資料共享法制環境建構簡介 資訊工業策進會科技法律研究所 2019年12月31日 壹、事件摘要 如何有效運用資料創造最大效益為數位經濟(Digital Economy)重點,其中資料共享(data sharing)是有效方法之一。新加坡自2018年以來推動「資料共享安排」機制(Data Sharing Arrangements, 下稱DSAs)與「可信任資料共享框架」(Trusted Data Sharing Framework),建構資料共享環境,帶動國內組織[1]資料經濟發展與競爭力。 貳、重點說明 自從2014年新加坡政府推行「2025智慧國家(Smart Nation)」以來,即積極鋪設國家數位經濟建設,大數據資料分析等數位科技發展為其重點,預估2022年60%國內生產總值將與數位經濟有關[2] 。其中,希望透過資料共享促進組織、政府、個人三方間資料無障礙流通,降低蒐集、處理與利用成本,創造更多合作機會進行創新應用,因此從法制面、環境面與技術應用層面打造完善的資料共享生態系統(data sharing ecosystem)[3]。 然而依據《個人資料保護法》(Personal Data Protection Act 2012,下稱個資法)第14條以下規定,組織蒐集、處理與利用個人資料應取得當事人同意,除非符合第17條研究目的等例外情形。由於資料共享強調可將資料進行多節點快速傳遞近用,使資料利用價值最大化,因此若依據個資法規定每次共享皆須事前獲得當事人同意,將使近用成本增高並間接造成資料流通產生障礙。因此為因應國家政策與產業需求,新加坡個人資料保護委員會(Personal Data Protection Commission, 下稱個資委員會)依據個資法第62條所賦予的豁免權(exemption),個人或組織可在遵循個資委員會訂定的規則下,依照個案給予組織免除個資法部分規範[4] ,而DSAs機制即是一種[5]。 DSAs是由個資委員會於2018年設立的沙盒(sandbox)計畫,如組織所進行的共享模式是在特定群體並範圍具體明確,同時不會造成個人有負面影響等情事,可在不須經個人同意下進行資料共享[6]。並且,為進一步提升組織與消費者間信任,2019年6月個資委員會與資訊通信媒體發展局(Info-Communication Media Development Authority of Singapore,下稱資通發展局)共同推出「可信任資料共享框架」指南建議,由政府擔任監管角色,組織只要符合指南建議方向,如遵循法律、達到一定資料技術應用品質與實施資安與個資保護措施下,可以進行個人與商業資料之共享,DSAs機制是共享方法之一。以下簡述新加坡個資法規範、指南建議與DSAs機制運作方式。 圖1:資料共享環境建構 資料來源:新加坡資通發展局 一、新加坡個人資料保護法規範 在沒有個資法第17條所列之例外情形下,依據第14條以下規定,組織如近用個人資料應獲得個人同意,同時應符合目的使用及通知義務,尤其應給予個人可隨時撤回同意之權利[7]。 同時組織應根據個人要求,提供近用個人資料之方法、範圍與內容,以及更正錯誤資料權利[8]。並且組織必須任命資料保護官(Data Protection Officer, DPO)隨時向大眾提供通暢的個資聯絡管道,來確保個資透明性與完整性[9]。 在資料保護措施上應有合理安全的資安防護技術,以保障資料不被未經授權近用的風險。當使用目的不在時,需妥善保留或予以去識別化,同時如須境外轉移資料時,境外之資料保護措施應至少與新加坡個資法規範標準相同[10]。 二、免除同意之DSAs機制 DSAs機制是由個資委員會於2018年設立的沙盒(sandbox)計畫,也就是組織可透過申請免除資料共享前必須獲得個人同意之規範。然而如組織擬向個資委員會申請DSAs機制,必須符合三個條件[11]: 共享範圍需在特定群體、期間與組織內:即只限定在具體特定的應用情境內,若超出申請範圍,例如分享至其他非申請範圍的組織,則須再經過個資委員會批准[12]。 近用目的需具體明確:即資料共享必須應用於特定且明確目的,如以「社會研究目的」作為申請則範圍過大不夠明確[13]。 近用資料對於個人不會有不利影響,或公共利益大於個人利益:例如共享目的不是直接用於銷售或存在合法利益,或是共享本身具備公共利益且明顯大於個人可預見的(foreseeable)不利影響,此時個資委員會可考慮同意組織申請免除[14]。 三、建立以信任為基礎之資料共享模式 雖然取得DSAs機制免除同意可以使資料近用方式更為簡便,然而在進行資料共享前,仍應有完善的技術品質與資安保護措施,因此在「可信任資料共享框架」指南建議中,組織應透過法律遵循、導入AI或區塊鏈等新興技術,並具備相應資安保護措施來建構可信任的資料共享環境,實際步驟可分為以下四階段[15]: 圖2:可信任資料框架 資料來源:新加坡資通發展局 第一階段為「資料共享建構」[16],由組織自行評估存有的商業或個人資料是否具共享價值與潛在利益,並要如何進行共享,例如資料共享方式屬於雙邊(bilateral)、多邊(multilateral)或是分散式(decentralized,又稱「去中心化」)。以及資料種類有哪些,如主資料(master data)、交易資料、元資料(metadata)、非結構化資料(unstructured data)等。組織可將資料共享方式、種類依據無形資產(intangible asset)評價方式,即市場法(market approach)、成本法(cost approach)與收入法(income approach)三種評價方法進行評價,來衡量共享之價值性。除資料價值判斷外,組織必須自行評估自身組織與將來之合作夥伴是否有足夠能力管控共享之資料,包括是否具備一定技術能力的資安與資料保護措施等。 第二階段為「法律規範考量」[17],即決定哪些資料可以進行共享,從規範面檢視個資法、競爭法與銀行法等是否有例外不得共享規定,例如信用卡號碼或個人生物識別資訊不得共享。若資料共享類型不會對個人造成不利影響或具備公共利益,並有通知(notification)個人給予選擇退出(opt-out)的機會,組織可依個案申請DSAs機制之豁免。同時另外鼓勵組織向IMDA申請資料保護信任標章(Data Protection Trustmark, DPTM)認證,透過認證機制使消費者更能信任組織運用其個人資料[18]。 第三階段為「技術組織考量」[19],包含組織是否有能力建立資安風險管理與個資侵害之因應措施,是否有即時將資料安全備份技術,並針對不同傳輸技術如有線/無線網路、遠端存取(VPN)、應用程式介面(API)、區塊鏈等區分不同資安防護與風險管理能力。 最後一階段為「資料共享操作」,當已準備進行資料共享時,需再次檢視是否已符合前三個階段,包含透明性、責任義務、法律遵循、近用資料方式與取得目的外利用同意等[20]。 參、事件評析 個人資料視為21世紀驅動創新的重要價值,我國部會亦開始討論「個資資產化」的可能[21]。面對數位經濟時代來臨,有效運用數位科技將潛藏個人資料的大數據進行加值利用,不僅有利組織與創新發展,更可回饋消費者享有更好的產品與服務。 新加坡政府以資料共享作為數位經濟發展重點方向之一,在具備一定程度技術能力、資安保護措施與組織控管之條件下,可向主管機關申請免除個人同意之規範。透過一定法規鬆綁讓資料利用最大化以創造產業創新價值,同時依據主管機關要求的保護措施,使消費者信賴個人資料不會遭受不當利用或侵害。DSAs機制與「可信任資料共享框架」指南之建立,適時調適個人資料保護規範與資料應用間的衝突,並提供組織進行資料共享之依循建議,作為推動該國數位經濟發展方針之一。 [1]組織(organisation)依據新加坡個人資料保護法(Personal Data Protection Act 2012)第2條泛指個人、公司、協會、法人或團體。 [2]INFOCOMM MEDIA DEVELOPMENT AUTHORITY 【IMDA】, Trusted data sharing framework (2019), at 7, https://www.imda.gov.sg/-/media/Imda/Files/Programme/AI-Data-Innovation/Trusted-Data-Sharing-Framework.pdf (last visited Sep. 11, 2019). [3]id. [4]Personal Data Protection Act 2012 (No. 26 of 2012) §62, “The Commission may, with the approval of the Minister, by order published in the Gazette, exempt any person or organisation or any class of persons or organisations from all or any of the provisions of this Act, subject to such terms or conditions as may be specified in the order.” [5]Data Sharing Arrangements, PDPC, https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Exemption-Requests/Data-Sharing-Arrangements (last visited Dec. 1, 2019). [6]id. [7]IMDA, supra note 2, at 31; Personal Data Protection Act 2012 (No. 26 of 2012) §14, 16, 20. [8]id. Personal Data Protection Act 2012 (No. 26 of 2012) §21. [9]IMDA, supra note 2, at 31. [10]id. at 32. Personal Data Protection Act 2012 (No. 26 of 2012) §24-26. [11]id. [12]PERSONAL DATA PROTECTION COMMISSION【PDPC】, Guide to Data Sharing (2018), at 14, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Data-Sharing-revised-26-Feb-2018.pdf (last revised Oct. 3, 2019). [13]id. [14]id. [15]PDPC, supra note 4. at 28. [16]id. at 21, 23-25. [17]id. at 35 [18]id. at 30. Data Protection Trustmark Certification, IMDA, https://www.imda.gov.sg/programme-listing/data-protection-trustmark-certification (last visited Sep. 26, 2019). [19]id. at 41-47. [20]id. at 50-51. [21]林于蘅,〈自己的個資自己賣!國發會擬推「個資資產化」〉,聯合新聞網,2019/06/17,https://udn.com/news/story/7238/3877400 (最後瀏覽日:2019/10/1)。
澳洲個人資料洩漏計畫將於二月施行澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。 根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。 NBD計畫主要內容如下: 一 、規範對象: 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。 若數機構共享個人資料,則該告知義務由各機構自行分配責任。 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。 二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。 三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。 四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。 五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動,避免再度造成損害。 惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。
歐洲食品安全局頒佈利益申報實施細則為了有效管理歐洲食品安全局(European Food Safety Authority, EFSA)內部各項活動間之利益管控與監督,EFSA日前於3月5日公布利益申報(Declarations of Interest, DOIs)施行規則(Implementing Rules),並計畫於2012年7月1日正式實施,且同時搭配一個為期4個月的過渡(Transition Period)配套措施方案。該利益申報施行規則,乃為EFSA於今年初所核准之「獨立性與科學決策過程」(Independence and Scientific Decision-Making Processes)政策的基礎規範項目之一。 本次EFSA所頒布之利益申報施行規則,其訂定之理由係因,原任職於EFSA旗下基因工程植物之首席風險評估專家,轉任至一家專門研發及生產該種植物之生物科技公司;為避免並且釐清相關因該事件所衍生之利益衝突問題,乃制定本規範。故此,為具體有效管理EFSA內部人員與其他涉及EFSA各項活動之機構間的利益監督事宜,EFSA遂進一步於今年初開始著手進行相關措施之規劃。目前該利益申報施行規則除了主要針對EFSA旗下之各層級人員訂定各項利益類型之規範準則外,更重要的是,其亦提供其旗下之專業科學研究人員,各項能有效具體確認其利益界線之劃分的保護措施。由於該利益申報施行規則授與EFSA選取與管理利益申報議題若干彈性,因此EFSA能具體且有效的利用相關規範延攬頂尖研究人員,進而協助EFSA提升其內部研發人員之創新研發能力。 政府機關成員之利益申報與迴避問題,乃為全球各國政府需面對之問題,而對於如何有效且彈性的進行相關議題之管控,更是相關政策制訂時需加以考量之點。EFSA之利益申報施行規則不僅有效管理內部人員之利益衝突與申報問題,同時亦藉由彈性的管理規範方式,延攬優秀頂尖人才,達到具體提升研發水準之功效;對此,EFSA之規範方式與運作成效,實值得加以觀察與效仿。
個人資料受害該向誰求償?