歐盟數位身分框架政策之相關推動措施概要
歐盟數位身分框架政策之相關推動措施概要
資訊工業策進會科技法律研究所
2021年8月30日
歐盟執委會(European Commission)於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity)[1],規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。
壹、事件摘要
為落實歐盟「2030數位羅盤」(2030 Digital Compass)政策,實現「公共服務數位化」之核心願景,歐盟推行數位身分框架,規劃於2030年前歐盟全境須有80%民眾使用電子身分證,以強化歐盟境內所有民眾(包括身心障礙人士)公共服務之近用權(right of access)。執委會於2021年6月3日公布的數位身分框架修正案,主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」(簡稱eIDAS規則[2]),依據該規則第49條,對其運作情形進行評估(An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation),同步考量技術、市場發展,針對當中不合時宜之規定為增修,並於2020年7月24日至10月2日進行公眾意見徵詢。
根據修正案內容,會員國必須提供公民和企業數位身分錢包(Digital Identity Wallet),此可透過會員國認可的公務機關或私人企業提供,錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便近用線上服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務[3]。
貳、重點說明
eIDAS規則作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的法律基礎架構[4],此次修正案旨在使各會員國的數位身分(eID)計畫於歐盟境內具互操作性(interoperable),以促進近用線上服務。重點內容如下:
一、會員國所發行歐洲數位身分錢包,須通過歐洲網路安全認證框架內的強制性合規評估(compulsory compliance assessment)和自願認證(voluntary certification)。
二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用,使用者得以利用數位身分作為識別與驗證其身分之有效工具,以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度,意即得以自主決定是否與第三方分享特定個人資料,並可追蹤其資料之後續利用。
三、賦予個人電子身分證明(electronic attestations of attributes),如醫療證書或專業資格等電子證書的法律效力,並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證,以防止欺詐。
四、擴大跨境eID計畫的相互承認,降低各會員國於電子身分識別服務的差距;並加強信賴服務提供的整體監管框架,針對信賴服務提供商(trust service providers),新增為管理遠端電子簽章和封條(seal)產製設備(creation devices)所建立的新合格信賴服務(Qualified Trust Service, QTS)類型。
五、新增電子帳本(electronic ledgers)的信賴服務框架;電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡(audit trail),能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions)、將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。
六、於數位服務法案(Digital Services Act)中所定義的超大型線上平台(very large online platforms),將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。
參、事件評析
歐盟數位身分框架修正案,旨在解決 eIDAS 規則部分瑕疵,以順應市場動態和技術發展,包含承認電子身分證明、電子帳本之法律效力,擴增新合格信賴服務類型等,並作為歐盟建立數位身分認證政策的基礎規範,確保使用者於近用私人或公共服務時,可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會(European Parliament)內已送交產業、研究暨能源委員會(Industry, Research and Energy Committee, ITRE)進行審議[5],值得持續追蹤其未來發展。
近來受新冠肺炎(COVID-19)保持社交距離影響,推動企業朝數位轉型發展;執行遠距辦公政策,亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範,自2002年4月1日起正式施行後至今未為修訂,實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類,並對於數位簽章之技術有一定規範,惟未賦予相異之法律效力,使得其區分不具太大效益。建議可參酌eIDAS規則中,對於信賴服務提供者區分為不同層級規範,並給予經主管機關審核通過之合格信賴服務提供者,所提供的信賴服務具有更高的法律效力。
此外,我國欲推行數位身分證(New eID)政策,提供我國人民網路上身分識別之證明,連結政府骨幹網路(T-Road)串接各類電子政府服務,提升民眾近用公共服務的便利性,惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案,考量因應科技革新、商業模式創新等要素,對於身分識別相關規範進行修正與更新,以促進電子化政府及電子商務之發展,提供更具安全與信賴性的身分認證法律框架。
[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021).
[2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021).
[3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663 (last visited Aug. 24, 2021).
[4] 李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月);謝明均,簡介〈歐盟提供合格信任服務者依循標準建議〉,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687(最後瀏覽日:2021/08/24)。
[5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID), EUROPEAN PARLIAMENT,
https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid (last visited Aug. 24, 2021).
[6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉,行政院新聞傳播處,2021/01/21,https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a (最後瀏覽日:2021/08/24)。
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity
- Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
- Commission proposes a trusted and secure Digital Identity for all Europeans
- 歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡
- REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID)
- 暫緩數位身分證發行計畫 蘇揆:完善法制後再推動
日本也有EUA了!新修《藥機法》通過藥物緊急許可制度 資訊工業策進會科技法律研究所 2022年06月13日 去(2021)年12年底日本厚生勞動省發布「緊急時藥物許可制度總結[1]」(緊急時の薬事承認の在り方等に関するとりまとめ)文件,就日本藥物緊急許可制度(緊急承認)進行提案,並建議修法。接著,以該制度為中心之《藥物及醫療器材品質、有效性及安全性確保法》(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)(下稱藥機法)修正案,在今(2022)年3月經眾議院通過,4月經參議院通過成立,5月20日公布並即日開始發生效力[2]。主要條文規範在新法第14條之2之2及第23條之2之6之2。 壹、立法背景說明 修法之前,日本藥物上市審查有四種管道:一般許可(通常承認)、先驅審查指定制度(先駆け審査指定制度)、附條件許可(条件付き承認)、特例許可(特例承認)。「一般許可」係無特殊情形下之通常上市管道;「先驅審查指定制度」是針對治療嚴重疾病的劃時代創新藥物所創設之優先審查制度[3];「附條件許可」則是針對有效治療方法少、患者數量少的嚴重疾病的藥物審查制度[4];若遇緊急事件需使用藥物則是走「特例許可」管道使藥品能提早上市[5]。 根據去年日本厚生勞動省之調查[6],在傳染病大流行等類似緊急情況之下,日本當時對於藥品核准的對應方式存有兩大問題。 首先是對應的速度不夠快。在緊急狀況下,對於疫苗及藥物等的優先核准制度,即使是日本當時最快的「特例許可」管道,相較於歐美也較為耗時。以對抗新型冠狀病毒的莫德納疫苗為例,該疫苗在美國取得緊急使用授權(Emergency Use Authorization,下稱EUA)之後,約過了5個月才在日本獲得承認;而新型冠狀病毒的治療藥物Sotrovimab於日本國內的核准也晚於美國4個月[7]。 其二是特別許可的適用對象較窄,「特例許可」管道是為已在國外流通之藥品而設計,因此若是日本藥廠自行研發的疫苗、藥物或是療法,均無法依此管道上市。如日本藥廠塩野義所開發的新型冠狀病毒口服藥,即需要透過附條件許可之制度,或新的緊急許可制度加快上市速度。 鑒於前述原因,日本厚生勞動省參考美國EUA,提出了藥物的「緊急許可制度」。此二制度最大共通特點在於其均非藥品的正式上市制度,通過審查之後僅能在一定期間內上市流通,到期之後原則上應下架[8]。 貳、重點說明 緊急許可制度有四大重點[9],說明如下: 一、發動要件:為防止重大影響國民生命和健康之疾病蔓延,及防止其他健康損害狀況的擴大,有緊急使用之必要,且無使用該藥物以外替代手段時,得申請緊急許可。此處所稱之藥物包括了疫苗、治療藥物、普通藥品、醫療器械等產品。且緊急情況並不限於大規模流行性疾病,核事故、放射性污染、生化攻擊等情況亦適用緊急許可制度。 二、運用標準:在臨床試驗確認安全性的前提下,可以不需要完成有效性的完整試驗,得僅就現有的數據及資訊進行有效性之推定。舉例而言,若在海外進行的大規模驗證臨床研究中獲得了顯著的結果,則以日本受試者為主的臨床研究結果為非必要。 三、核准條件及期限:由於在有效性的階段給予核准,為了確保正確使用核准的藥物,應附上條件以及二年內之期限(有再延長一年之可能)。獲得許可後一定期限內若無法確認有效性,且判斷該醫藥品或器材不適合維持許可狀態時,將撤銷許可。 四、加速特別措施:對GMP檢驗、國家認證、容器包裝等採取特殊措施以加快核准速度。如在申請緊急許可當下,GMP檢驗有實施上困難,可以先暫緩,待核准後再補上檢驗程序。 參、與現存制度差異評析 特例許可是在緊急許可推出之前,在緊急情況下能在短期間內讓藥品上市之方式。特例許可是藥品正式上市流程,而緊急許可是在符合條件後暫時性准許上市,故兩者在範圍、運用基準以及期限等規定上存有明顯差異。 首先在範圍方面,特例許可係為了已在國外流通的醫療用品引進國內而設置,因此日本國內企業自行研發的新疫苗或是新治療藥等,無法透過特例許可上市[10],原則上需要透過一般藥物上市管道,因此新制度對於日本藥廠來說,形同多開闢了一條產品上市的道路。其次,在運用基準方面,特例許可應完整確認安全性及有效性,無法如新制般能僅由現存數據及資料推定該藥物之有效性[11],因此新制可以縮短臨床試驗所花費的時間。最後,由於特例許可為正式之上市許可,僅在簡化一般藥物之審查流程至2-3個月,故其無有效期間之規定[12],而依新制度上市之藥品在有效期間內仍須完成剩下的臨床試驗,否則期限屆至時原則上應下市。 肆、未來展望 由於緊急許可制度剛修法通過,日本國內目前尚未有以此管道核准上市之藥物或疫苗,因此核准程序所花費之時程,能否成功縮短至如美國EUA的三週內尚未可知。目前最有可能以此管道核准上市之藥物為日本藥廠塩野義的新型冠狀病毒口服藥,審查結果預計於7月發表[13],其發展究竟如何,值得我們拭目以待。 [1] 〈緊急時の薬事承認の在り方等に関するとりまとめ〉,厚生勞動省,https://www.mhlw.go.jp/content/11121000/000873996.pdf(最後瀏覽日:2022/06/12)。 [2] 日本參議院網站,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/208/meisai/m208080208042.htm(最後瀏覽日:2022/06/12)。 [3] 〈先駆的医薬品等指定制度(先駆け審査指定制度)〉,獨立行政法人醫藥品醫療機器總合機構,https://www.pmda.go.jp/review-services/drug-reviews/0002.html (最後瀏覽日:2022/06/27)。 [4] 〈医薬品条件付早期承認制度への対応〉,獨立行政法人醫藥品醫療機器總合機構https://www.pmda.go.jp/review-services/drug-reviews/0045.html (最後瀏覽日:2022/06/27)。 [5] 同前註1。 [6] 同前註1。 [7] 〈緊急時の薬事承認の在り方について〉,厚生勞動省,https://www.mhlw.go.jp/content/11121000/000856077.pdf(最後瀏覽日:2022/06/12)。 [8] 同前註。 [9] 〈令和4年の医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(薬機法)等の一部改正について〉,日本厚生勞動省網站,https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00006.html(最後瀏覽日:2022/06/12)。 [10] 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)第14條之3第2項。 [11] 同前註4。 [12] 周晨蕙、施雅薰,《科技法律透析》,〈COVID-19疫情下我國藥事法專案核准制度議題-以國際藥物緊急核准上市機制為借鏡〉,第33卷第10期,頁58(2021)。 [13] NHK,〈コロナ飲み薬 塩野義製薬「ゾコーバ」有効性や副作用 承認の可否は〉,2022/06/23,https://www.nhk.or.jp/shutoken/newsup/20220623a.html (最後瀏覽日:2022/06/27)。
IBM同意中國大陸政府檢視部份產品原始碼近年來中國大陸政府為了資安考量,制訂相關法規要求外國科技公司進入中國大陸市場時必須提供程式原始碼,避免他方非法(例如利用病毒)透過電腦軟體進入中國大陸的系統和資料。 IBM公司近日發表聲明,允許特定國家在其嚴格的監控下,檢視其部份產品的軟體原始碼,確保產品沒有資訊安全的漏洞,中國大陸也在這些特定國家之列。這是美國重要的科技大廠,首次公開同意遵守中國大陸政府對於外國技術的資訊安全審查,然而此舉讓美國政府與其他矽谷科技公司頗有微詞。 IBM開放檢視其程式碼的對象為中華人民共和國工業與信息化部。IBM在聲明中表示,原始碼的檢視必須在IBM公司內,於無網路連線並受IBM安全應用程式監控的環境下進行,並保證這些軟體原始碼不會被釋出、被複製,或以任何方式改作。在嚴格的環境和時間限制下,IBM不會讓中國大陸政府有機會接觸其客戶資料庫,也不會涉及後門程式(back door)。至於會提供哪些產品的原始碼檢視,或中國大陸官方可檢視的時間有多長,IBM尚無明確說明。事實上IBM並非唯一提供程式碼的科技公司,微軟公司早在2003年即允許中國大陸、俄國、英國等國家檢視微軟Windows部分產品的原始碼。 有市場分析公司指出,IBM為降低智慧財產權被複製的風險,所釋出的原始碼可能只涉及基本功能,不包含專有的演算碼,且像IBM此類的公司,應該擁有閉源軟體(closed-source)或特別的軟體以嚴密地維護底層的原始碼,避免中國大陸政府藉由檢視原始碼執行反向工程(Reverse Engineering)。 IBM公司願意提供中國大陸政府檢視部分產品原始碼,目的在於展示其產品安全性,試圖擴展IBM在中國大陸的商業版圖。IBM旗下的雲端運算平台Bluemis未來將與中國大陸的數據中心服務公司—北京世紀互聯寬帶數據中心有限公司合作。該公司同時也是微軟在中國大陸的合作夥伴。
英國Ofcom「個資與隱私」報告針對告知消費者個資使用方式以及確保消費者對個資利用之參與及意見表達,英國通訊傳播管理局(The Office of Communications, Ofcom)於2015年6月17日公布委託德國顧問公司WIK-Consult進行之「個資與隱私」(Personal Data and Privacy)報告。報告指出,雖然法規要求在處理個資前必須獲取相關消費者的告知同意,但事實是消費者並未在線上實際閱讀隱私權政策條款,這個問題則由於智慧聯網大幅促進了裝置間的互聯性與資料的流通而更形嚴重。報告表示,雖然資料流通的本質不變,但僅因互聯裝置數量倍增就足以讓可近用與分析的資料呈等比級數成長,要在線上對這些遍及生活各層面的資料進行追蹤也就難上加難。 對於這個起因於智慧聯網興起的問題,報告認為政府可能必須利用更複雜的契約關係加以規範。因為隱私權政策要能透明,必須指出究竟是哪些人會在何時以哪種方式為了何等目的去近用相關資料,但這勢必會讓隱私權政策條款更加冗長,這不但與隱私權政策盡可能應簡潔易懂相違,消費者也更不可能實際去閱讀。此外報告也指出,機台或裝置在智慧聯網下能夠在幾乎沒有人為介入的情況下進行溝通,此將大幅壓縮消費者能夠得知個資蒐集與使用方式的機會,智慧聯網也讓消費者可能根本沒有察覺其正在使用的裝置實際上已經與網路連線。另一方面,隨著互聯複雜性的大幅提高,有意或無意揭露個資也將帶來更多的潛在不利影響。
黑苺手機製造商RIM對三星提起訴訟黑苺手機製造商RIM對三星提起訴訟,針對三星近日來推出商品上的商標,使用像是草莓、珍珠等樣式。RIM在加州巡迴法院提出訴狀,RIM認為只要圖案上含有黑色苺果或黑色珍珠的樣式,就會和RIM的名稱近似。而三星在2006年3月已提出全新的商標申請,但RIM對此提出異議,當時RIM已開始廣告黑苺機,並拒絕接受以三星已註冊的商標使用Verizon Wireless上。 RIM提及其產品黑苺機的黑苺商標對於RIM而言是無價的,黑苺商標使RIM走向持續成功的境界,並擁有有良好的商譽。倘若三星的商品持續以黑色草莓的商標販售,將對RIM的黑苺商標造成商業損害和不可預期的損失,若無法在法律上受到適當賠償,將對RIM造成極大的損失。因此,RIM請求三星銷毀具有black, blue, 或pearl樣式的手機商品。 此案後續發展是值得關切的議題,倘若RIM勝訴,三星要回收所有的手機,此影響甚鉅。