調和國際標準！美國食藥署提出醫療器材品質系統規則修正草案

　　歐盟資料保護監督機關（European Data Protection Supervisor, EDPS）於2019年12月19日發布「評估限制隱私權和個人資料保護基本權利措施之比例指引」（EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data），旨在協助決策者更易於進行隱私友善（privacy-friendly）之決策，評估其所擬議之措施是否符合「歐盟基本權利憲章」（Charter of Fundamental Rights of the European Union）關於隱私權和個人資料之保護。 　　該指引分為三大部分，首先說明指引的目的與如何使用；第二部分為法律說明，依據歐盟基本權利憲章第8條所保護個人資料的基本權利，並非絕對之權利，得於符合憲章第52條（1）之規定下加以限制，因此涉及處理個人資料的任何擬議措施，應進行比例檢驗；指引的第三部份則具體說明決策者應如何評估擬議措施之必要性和比例性之兩階段檢驗： 必要性檢驗（necessity test） （1） 步驟1：初步對於擬議措施與目的為詳細的事實描述（detailed factual description）。 （2） 步驟2：確定擬議措施是否限制隱私保護或其他權利。 （3） 步驟3：定義擬議措施之目的（objective of the measure），評估其必要性。 （4） 步驟4：特定領域的必要性測試，尤其是該措施應有效（effective）且侵害最小（the least intrusive）。 　　若前述評估認為符合必要性，則接續比例性檢驗，透過以下4步驟評估：  比例性檢驗（proportionality test） （1） 步驟1：評估目的正當性（legitimacy），擬議措施是否滿足並達到該目的。 （2） 步驟2：擬議措施對隱私和資料保護基本權的範圍、程度與強度（scope, extent and intensity）之影響評估。 （3） 步驟3：繼續進行擬議措施之公平對等評估（fair balance evaluation）。 （4） 步驟4：分析有關擬議措施比例之結果。 　　科技時代的決策者在立法和政策擬定時，面臨的問題愈趨複雜，需要全面性評估，擬議措施限制應符合歐盟法規，且具必要性並合於比例，隱私保護更是關鍵，參酌該指引搭配EDPS於2017年發布之「必要性工具包」（Necessity Toolkit），將使決策者所做出的決策充分保護基本權利。

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

法國國家資訊與自由委員會（Commission Nationale de l’Informatique et des Libertés, CNIL）於2025年9月1日針對一起由歐洲數位權利中心（noyb - The European Center for Digital Rights）提出的申訴做成決議，指Google未經Gmail使用者同意，將廣告偽裝為電子郵件進行「偽裝廣告」（Disguised Ads）投放，以及在對Gmail使用者投放個人化廣告前，未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告（generic ads）的選項，違反了《電子通訊法》（code des postes et des communications électroniques）與《資訊與自由法》（loi Informatique et Libertés）中關於歐盟《電子隱私指令》（ePrivacy Directive）之施行規定，對Google裁處了3.25億歐元的罰鍰，並要求改善。以下節錄摘要該裁決之重點： 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定，電子郵件直接推銷（direct marketing）僅在其目標是已事先給予同意的使用者時被允許。CNIL，依循歐盟法院（CJEU）判例法（C-102/20）見解，認為若廣告訊息被展示在收件匣中，且形式類似真實電子郵件，與真實電子郵件相同位置，則應被認為是電子郵件直接推銷，須得到當事人之事前同意。因此，CNIL認定偽裝廣告即便技術上不是狹義的電子郵件，僅僅因其在通常專門用於私人電子郵件的空間中展示，就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告，屬於電子郵件廣告，而與出現在郵件列表旁邊且獨立分開的廣告横幅不同，後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意：「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會（European Data Protection Board, EDPB）第2024/08號關於「同意與付費模式」意見，認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之，以「cookie wall」（註：拒絕cookie的蒐集即無法獲得服務之網站設計）取得之當事人「同意」，非當然不自由或無效。CNIL認為，在免費服務的框架下，cookie wall在維持提供服務與服務成本之間的經濟平衡上，要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為，這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求，當事人在cookie wall的框架內仍應享有選擇自由，才能取得蒐集為投放個人化廣告之cookies的當事人有效同意，亦即：在個人化廣告處理更多個資和對當事人造成更多風險的情況下，當事人應被給予機會選擇「等值的替代選項」，亦即通用廣告，並完全且清晰地了解其選擇的價值、範圍及後果。 然而，CNIL發現，Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜，實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意，從而影響了當事人的選擇自由。CNIL也發現，Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall，以及對此使用者享有甚麼選擇，而其提供的資訊更引導使用者選擇個人化廣告，導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會（Data Protection Commission, DPC）管轄？ GDPR設有「單一窗口機制」，依據該合作機制，對Google進行的GDPR調查，應由作為主任監管機關（Lead Supervisory Authority）的愛爾蘭DPC管轄。惟在本案，CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇，而是適用電子隱私指令，CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制，但尚不足以弭平成員國間監管強度之差異。

　　美國國會圖書館（Library of Congress）依據著作權法（Digital Millennium Copyright Act，簡稱DMCA）第1201(a)(1)條授權，於2015年10月28日發布著作權法相關之例外規則(final regulations)，明定10項與使用者權益相關的行為屬於著作權法保障之例外情況，將納入合理使用(fair use)範圍，不再視為侵害原著作權人之權利。上述合法的科技使用行為包含： 1.為了教育及其他非商業用途之目的，對視聽媒體所為之重製行為。 2.為了讓視覺或其他功能障礙者使用，對已購買之電子書所為之破解或形式轉換行為。 3.為了連結其他電信公司之網絡，針對手機及其他行動裝置之應用程式，所為之解鎖行為(unlocking)。 4.智慧型手機及其他行動裝置之越獄(jailbreaking)行為。使用者得利用外部工具取得系統最高權限，且不受原系統限制而安裝或解除安裝合法軟體。 5.智慧型電視之越獄行為。使用者得利用外部工具取得系統最高權限，不受原系統限制而安裝或解除安裝合法軟體。 6.汽車軟體之診斷、修理或改裝行為。車主或修車廠等人員得自行診斷、修理或改裝汽車軟體，不限於僅有汽車原廠得檢測或變更軟體。 7.為了促進電腦軟體的安全性，針對個人擁有之消費性家電、車輛及醫療裝置所為之軟體相關安全研究與測試行為。 8.某些需要透過與官方伺服器連線方能正常運作之遊戲軟體，於官方永久結束營運之後，使用者可自行建立伺服器，供擁有合法軟體的使用者繼續使用，但此項條款不包含主要內容儲存於官方伺服器之遊戲。 9.使用者可修改軟體程式，並使用其他的3D列印原料，不限於原廠預設之原料。 10.病人取得自身醫療裝置或監視系統數據之行為。本例外規則通過後，病人可合法取得自身醫療裝置之數據，而不違反著作權法之科技保護措施，不再受限於原先僅有醫院或醫療裝置公司可取得植入式醫療裝置之數據。 　　美國著作權法授權國會圖書館每三年發布一次例外規則，用以改善著作權法之「科技保護措施」的負面影響，並維護公眾接觸資訊之公共利益。上述第6至10項為本次新增之項目，但本次例外規則並未通過視聽著作空間轉換(space-shifting)及格式轉換(format-shifting)之行為、電子書專用閱讀器之越獄行為、或遊戲機(Video Game Consoles)之越獄行為。 　　針對開放汽車軟體之破解，某些汽車製造業者基於安全理由表示反對，但消費者方面，表達贊成意見人數明顯多於反對意見者。尤其是福斯汽車(Volkswagen)設計作弊程式通過廢棄排放檢驗的事件發生後，開放消費者得自行診斷、修理或改裝汽車軟體，將能降低此類弊端發生之機率，讓具有汽車軟體相關知識的消費者有機會能檢測汽車本身軟體是否符合法令規範或有任何異常。