日本經產省發布中小企業開發IoT機器之產品資安對策指引

　　澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案（執法及其他措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ），並於11月28日正式通過，顯示澳洲政府對於近期多起大型個資事故的重視，以及民眾對於個資保護之公民意識逐漸成熟。 　　近期澳洲發生之兩起大規模個資事故，其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊，約有1,000萬人（約占澳洲人口40%）的個資遭到外洩，除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等；無獨有偶，於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故，被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料，因為此兩起大型個資事故的發生，促使澳洲政府不得不予以重視，在極短時間內通過新法修正。 　　此次修正案修改1988年《隱私法》（Privacy Act）、2010年《澳洲資訊委員法》（Australian Information Commissioner Act）和2005年《澳洲通訊及媒體管理局法》（Australian Communications and Media Authority Act 2005），修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。 　　一、加重裁罰之部分，依修正《隱私法》第13G條，當嚴重或反覆侵犯他人隱私事件發生時，若行為人為「非法人」（a person other than a body corporate，即我國法之自然人）時，其由行政機關課予當事人之罰金（civil penalty）上限提高到250萬澳幣（約新台幣5,200萬）；若行為人為「法人」（body corporate）時，罰金上限增加到5,000萬澳幣（約新台幣10億）或其所得利益價值的三倍（兩者取其高）。如果法院無法確定利益的數額，則取法人違規期間或事故發生後12個月內（擇其時間較長者）調整型營收（adjusted turnover*）的30%。 　　二、關於資訊委員執法權限強化部分，其擴大資訊委員與他公私部門間交換及查閱資訊之權限，資訊委員得向嫌疑人進行調查或要求交付相關證據，且賦予資訊委員得不待法院裁判，逕對妨害查辦者課以民事制裁，甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。 　　三、有關域外管轄權部分，原先僅適用於「未在澳洲設立登記，但有在澳洲境內蒐集個資且經營業務」之公司；現刪除「有在澳洲境內蒐集個資」之規定，故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資，若有在澳洲境內經營業務即受有域外效力之管轄，其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。 　　至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷，惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件，依我國《個人資料保護法》規定，個資事故發生時，若被害人不易或不能證明其實際損害額時，法院依侵害情節，以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件，原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額，相信有望遏止類似事故不斷發生。 　　*調整型營收（adjusted turnover）：指公司（及相關企業）在違規期間內營業額扣除應調整之稅額例外項目後，所有商品及服務價值的總和。

德國聯邦政府內閣通過自駕車草案 資訊工業策進會科技法律研究所 2021年3月10日 　　德國聯邦交通與數位基礎設施部（Bundesministerium für Verkehr und digitale Infrastruktur, BMVI）提出之自駕車草案（Entwurf eines Gesetzes zur Änderung des Straßenverkehrsgesetzes und des Pflichtversicherungsgesetzes – Gesetz zum autonomen Fahren[1]），經聯邦政府內閣（Kabinett）於2021年2月10日批准通過。BMVI表示冀望透過該草案創建自駕車的法律框架，針對自駕車布建與落地應用之相關程序進行規定，以使指定運行範圍（festgelegter Betriebsbereich[2]）為全國公共道路的等級四自駕車（Vollautomatisiertes Fahren）能夠成為人民日常生活的一環。 壹、背景目的 　　2017年3月，德國聯邦議會（Deutsche Bundestag）通過道路交通法（Straßenverkehrsgesetzes, StVG）修正案，修正過後之道路交通法針對具高度與完全自動駕駛功能（hoch- und vollautomatisierter Fahrfunktion）的車輛─約等同於SAE等級三與等級四之自駕車─進行規範，明確規定在操作設計範圍（Operational Design Domain, ODD）允許自駕車操作，如專為於高速公路上行駛設計之自駕車，則在該模式下不得於其他交通道路上行駛[3]，該修正亦針對駕駛人[4]的概念與責任範圍進行重新定義[5]。 　　本次針對自動駕駛制定之草案係以包裹立法之方式，除同樣於道路交通法進行條文的增定（第1d條至第1l條）外，並修正強制汽車責任保險法（Pflichtversicherungsgesetz, PflVG）第1條，增加道路交通法規第1d條所指自駕車車主（Halter[6]）的保險責任。目標為使德國成為全球首個將自駕車自研究階段帶入日常生活中之國家，並預計於2022年實現其構想。 貳、內容摘要 　　道路交通法規增訂之第1d條至第1l條內容概述如下： 一、第1d條：定義 　　本條定義道路交通法所涉及之自動駕駛相關詞彙，包含自駕車、指定運行範圍、自駕車技術監控者，以及最小風險條件。 二、第1e條：允許車輛運行自動駕駛之條件 　　本條規範允許車輛運行自動駕駛之條件，包含需符合規定的技術要求、已受核發行駛許可、依各邦法律主管機關批准於指定運行範圍內使用、根據道路交通法第1條第1項允許於公路上行駛等條件；本條亦針對技術設備所必備的功能進行詳細描述，如車輛得自行遵守相關交通法規、自駕系統可隨時藉由技術監控者加以停用並將車輛置於最小風險狀態，以及自駕系統在以視覺、聽覺或其他可感知方式要求技術監控者進行手動駕駛前，預留有足夠的反應時間等。 三、第1f條：使自駕車運行之相關人員（Beteiligten）義務 　　本條要求自駕車之車主為維護道路安全和環境相容性（Umweltverträglichkeit），需定期進行自駕系統的更新與維護、確保於手動駕駛時遵守道路交通規定，以及履行技術監控任務。在對自駕車進行技術監控時，當接收到系統以視覺、聽覺或其他可感知方式通知技術監控者，並要求切換操作模式時，技術監控者應立即改為手動駕駛模式，並採取必要之安全措施。另外本條要求自駕車之製造商有義務對自駕車進行風險評估，確保其電子電機架構（Electronic & Electrical Architecture, EEA）與聯網系統的安全性，並向德國聯邦車輛運輸管理局（Kraftfahrt-Bundesamt, KBA）和其他有關主管機關提出證明。 四、第1g條：資料處理 　　本條課予自駕車之車主及製造商特定義務，要求車主在駕駛自駕車時，於特定情況下進行指定資料類型之保存及傳輸；在製造商部分，則要求其需以簡單、清晰且明確的方式，告知車輛之車主隱私設置選項以及駕駛過程中資料係如何被處理。另本條授權KBA於有安全上之必要時，向車輛之車主進行資料的蒐集、儲存與使用。 五、第1h條：自動駕駛功能的追溯啟用 　　當動力車輛設置未符合本法所適用之國際法規所描述之自動駕駛功能，僅當停用自動駕駛功能，而不影響車輛其他功能時，方可不考量自動駕駛功能未符合國際法規描述之情況，允許依相關審驗規定運行車輛。 六、第1i條：自動駕駛功能的測試 　　仍處於測試開發階段之自駕車僅在經KBA核發測試許可、已根據本法第1條第1項進行註冊的情況下，方得於公共道路上行駛，且該行駛必須基於測試目的，過程中亦必須持續進行技術監控。 七、第1j條：授權 　　經聯邦參議院（Bundesrat）批准之法令授權，BMVI可就道路交通法第1d條至第1i條之公共道路上具自駕功能車輛的許可和操作進行細節性規定。 八、第1k條：德國聯邦國防軍隊、聯邦警察、各邦警察、民防與災難控制、消防隊和緊急服務的車輛 　　為執行官方任務而有配置自駕車的需要時，若能確保使用自駕車時充分考慮公共安全，則允許相關技術規範、操作設計範圍規範，與其他行駛相關規範之適用排除。 九、第1l條：評估 　　基於自駕車研發過程可能產生的影響與其和資料保護法規的相容性，BMVI將於2023年底前，以根據本法第1i條第2項所取得之測試資料進行評估，並將評估結果交予聯邦議會。 參、簡析 　　由BMVI所提出之針對自駕車的草案目前正於聯邦議會及參議院的程序進行中，預計可於2021年中通過。與2017年之道路交通法修正案進行比較，2017年之修正主要目的係使自駕車能夠受道路交通法規之規範，故將自駕車以正面表列之方式，增列入道路交通法規對車輛之定義中，並對駕駛人之義務進行規範，而較少針對自駕車特性制定專門之規定；與之相比，綜觀本次修正草案之內容，可總結出草案係針對未來可於公路上行駛之自駕車結構、品質與設備制定一致性的技術標準要求，規範操作相關人員應行使之義務如自駕系統更新、資料保存、安全性證明與風險評估等，並就操作執照的審查與自駕車測試相關程序進行制定，透過針對自駕車之發展與落實所需進行法條內容之設計，力圖藉此於促進自駕車發展與落實的同時，進一步推動德國道路交通法規之調節與一致性規範之創設。 　　我國政府長期以來致力於自駕車科技的研發與實驗，2019年6月施行之無人載具科技創新實驗條例以沙盒之概念，於自駕車實驗的範圍內進行特定法規與條件的排除，使技術的研發與測試能不受現有之規範或特定條件限制，最終期望能將自駕車實際投入現有交通體系中使用。為使我國法制環境能與技術發展相互配合，建議可參考德國自動駕駛法草案之內容，在確保公共安全的基礎上，於我國制定自駕車之公路行駛規範，以協助自駕車技術於交通體系之落實。 　　 [1]Bundesministerium für Verkehr und digitale Infrastruktur ,Entwurf eines Gesetzes zur Änderung des Straßenverkehrsgesetzes und des Pflichtversicherungsgesetzes – Gesetz zum autonomen Fahren (2021), https://www.bmvi.de/SharedDocs/DE/Anlage/Gesetze/Gesetze-19/gesetz-aenderung-strassenverkehrsgesetz-pflichtversicherungsgesetz-autonomes-fahren.pdf?__blob=publicationFile (last visited Mar. 10, 2021). [2]指定運行範圍（festgelegter Betriebsbereich）於草案第1d條中之定義為「當地與空間上確定之公共道路」，應非普遍所指操作設計範圍（Operational Design Domain, ODD），特於此說明以避免混淆。 [3]Deutsche Bundestag, Straßen­verkehrsgesetz für automatisiertes Fahren geändert (Mar. 30, 2017), https://www.bundestag.de/dokumente/textarchiv/2017/kw13-de-automatisiertes-fahren-499928 (last visited Mar. 10, 2021). [4]2017年道路交通法之修正係針對駕駛人（Fahrzeugführer）之概念與責任範圍進行重新定義，而非針對車主（Fahrzeughalter／Halter），特於此敘明。 [5]§§1a,1b,63a StVG. [6]車主（Fahrzeughalter／Halter）與所有人（Eigentümer）之概念於德國道路交通法上非完全相等，普遍情況兩者為同一人，但在少數情況則否，以車輛租賃為例，在此車輛之出租人為所有人，而車輛之承租人為車主，特於此敘明。

　　歐盟自2007年起開始實施「歐盟(EC)1924/2006號食品營養及健康訴求規則」(簡稱營養與健康訴求規則)以來，對於以營養與健康為訴求的產品，要求廠商上市販賣之產品，必須經過科學實證，產品標示必須簡易明瞭，強調科學實證必須證明食用該產品對人體有益，並證明食用產品與其功能效果間能建立因果關係，更強調文字敘述應貼近事實、清楚明瞭、確實可靠，避免使用模糊不清或造成不同解讀的文字，以便於消費者識別選購產品，滿足個人攝取這類食品的需求。 　　自規則實施以來，業者紛紛向歐盟食品安全管理局(European Food Safety Authority，簡稱EFSA)遞交申請案件，期待通過審查，獲准上市。然而，以營養與健康訴求規則中的第十四項減少疾病風險與促進兒童健康訴求，引起較多爭議。到2008年9月底，九件申請案當中已有八件遭到EFSA駁回，無不引起產業界的恐慌。僅Unilever(聯合利華公司，以下簡稱Unilever)的植物固醇產品(plant sterol)一案通過。反觀其餘個案，廠商遭EFSA駁回申請案的理由不一。例如，法國廠商Bio-Serae以仙人掌纖維衍生物申請具有降低血脂質的健康訴求，EFSA表示提交的證據資料不足以建立食用產品與效果功能間的因果關係。再者，另一件訴求ALA(α亞麻油酸)和LA(亞麻油酸)之攝取可以促進兒童生長的申請案中，EFSA接受廠商檢附的證據資料，但表示孩童經由正常飲食即可攝取足夠的ALA與LA，攝取量高於均衡飲食標準沒有益處。 　　雖然EFSA之意見不具有法律效力，且負面意見不表示否定產品之成分或功能，僅表示其依據資料不完整，不足以證明兩者具有因果關係，但卻具有相當之影響力。目前某些業者面對法令細節尚未明朗，同時負面意見多於正面意見的情形下，憂心負面意見恐將影響公司與產品形象，先行退出審查過程並暫緩產品上市。到2008年底，EFSA又駁回五件關於益生菌(probiotics)增進兒童健康的申請案，表示提供的證據資料不足以證明其功能為由。累計至去年底二十七申請案中(含上述五件益生菌申請案)，僅有五件申請案獲得EFSA之正面意見，負面意見依舊多於正面意見。 　　然而在2009年1月，EFSA核准西班牙廠商Danone促進兒童骨骼生長的健康訴求，表示證據資料足以建立因果關係，證明維他命D有助於鈣質攝取。顯示出業者提供充足科學證據資料與完整的產品說明，以證明其食用產品與功能效果間的因果關係，將利於審查作業進行，也將助於獲得EFSA之核准上市。

　　英國創新局（Innovate UK）於2020年11月8日公布「創新持續貸款」（Innovation Continuity Loans）申請指南，作為COVID-19疫情應對計畫的工作項目之一，英國創新局將提供2.1億英鎊的貸款予在疫情影響下持續進行創新活動之國內中小企業。本貸款目標對象為因疫情導致出現資金缺口的中小企業，每一間公司將可申請25萬至160萬英鎊不等之創新持續貸款。 　　「創新持續貸款」源自2017年的創新貸款實驗計畫（Innovation loans pilot），藉由七項創新競賽篩選出約100位申請人，提供總額約7500萬英鎊的創新貸款；此次創新持續貸款則不採競賽方式，而是針對受疫情影響的中小企業創新活動，透過審查機制提供貸款予申請人。申請人資格為正在執行受創新局補助之創新活動者、過去36個月曾受創新局補助而目前正在進行其他創新活動者或是過去36個月並未獲得創新局補助之創新活動的執行、完成或延續性工作者，且確實因COVID-19疫情影響出現資金短缺之中小企業，即可向創新局申請創新持續貸款。 　　創新局將藉由審查申請者提交至今的工作成果與品質、受疫情影響程度與資金需求情形，評估該創新活動的後續發展潛力，向合格的申請人提供年利息僅3.7%的創新持續貸款。合格的申請人能在2022年3月31日或約定日期前，直到產品首次商業銷售為止，分階段領取貸款，以年利率3.7%計息；產品首次商業銷售後可額外有兩年的寬限期，在產品首次商業銷售或寬限期結束後五年內，申請人必須償還貸款，未償還部分則改採年利率7.4%計息。藉由低利貸款的資金挹注，協助從事新創活動之英國中小企業得以紓困以度過疫情難關。