美國科羅拉多州通過《人工智慧消費者保護法》

歐盟REACH規則之登錄義務與化學品創新商業模式 資訊工業策進會科技法律研究所 2019年12月 　　依據「聯合國化學品管理策略方針 」（UN Strategic Approach to International Chemical Management SAICM）要求在化學品的製造、使用及管理上，應盡可能地減少對環境及人體健康的負面衝擊，並以聯合國2030年永續發展目標為基礎，持續推動化學品管理，減少有毒物化學物質與危險材料的釋出，將全球的回收與安全再使用率提高，使化學品健全管理成為實現永續發展的必要條件，透過開發創新的化學品商業模式與經濟活動，來促進綠色化學及永續發展之目標前進。 壹、歐盟REACH規則與登錄義務之要求 一、歐盟REACH規則之立法目的及意旨 　　歐盟於2006年以「化學品登錄、評價、許可及限制規則」（Registration, Evaluation, Authorization and Restriction of Chemicals, REACH）[1]，作為歐盟境內統一性化學物質管理法制。依據REACH規則第1條規定「本規章之目的為確保人類健康及環境之高度保障（high level of protection），包括促進對於因化學物質（substance）產生之危險之替代評估方法，維護物質於歐洲內部市場之自由流通，及同時提高競爭力和創新。」其目的除管制歐盟境內之化學物質，來保護人類健康與環境安全，達到永續發展之目的外，亦期望透過歐盟境內一致性的協調性規範，使化學物質的流通能夠順暢，以促進經濟的發展。 二、歐盟REACH規則之登錄義務要求 　　為掌握歐盟境內化學物質之風險管理與因應措施，REACH規則第5條以下要求製造者或輸入者須完成化學物質本身或混合物或成品中化學物質之登錄後，始得製造或輸入。登錄制度之建立有助於獲取更多化學物質的資訊，並使相關產業之供應鏈及公眾獲知更多相關物質資訊。特別是，對於後續進行化學物質之風險管理，具有重要性之影響與作用。依REACH規則第5條至第14條規定，登錄義務人（化學物質之製造者與輸入者）須提供其生產或輸入之化學物質的相關資訊及暴露情境、暴露評估及風險特性等資訊，並且針對該物質應提出適當之風險管理措施的建議。 三、歐盟REACH規則之登錄義務對於產業之影響 　　由於製造商與輸入商須提供暴露情境、暴露評價與風險評估報告之義務，該報告內容包含簡易資訊卡（the simple infocard）、細節性摘要檔案（the detailed brief profile）及完整來源數據（the full source data）之資訊。該登錄義務對於上游供應鏈業者而言，往往面臨缺乏對物質情境與風險管理之相關資訊，例如其對於勞工與消費者接觸之危害程度、化學物質之用途以及對於評價之風險應提出何安全建議等[2]。除此之外，中小企業由於資源有限性、人力及成本的考量，相較於大型企業容易在物質資訊交換論壇（Substance Information Exchange Forums, SIEF）遇到困難[3] 。 貳、創新化學品商業模式與REACH規則登錄義務之交互作用 一、以服務為導向之化學品租賃商業模式 　　國家發展與經濟成長的同時，化學工業的生產、製程與發展的過程中，為人們生活條件與經濟物質帶來許多便利性；然而，過程中所排放的廢氣、廢水與廢棄物等污染，可能為人類健康與環境安全，帶來直接、間接或隱藏性的危害。有鑑於此，聯合國工業發展組織（United Nations Industrial Development Organization, UNIDO）與奧地利政府合作，推動「以服務為導向」的化學品租賃服務（Chemikalienleasing, ChL），此一創新化學品之商業模式有助於循環經濟體系之推動，除同時確保化學品內廢棄物回收物質之風險，更有利於降低人類健康及環境安全之危害物質[4]。 二、化學品租賃有助於REACH登錄義務之履行 　　化學品租賃係供應商以「化學品的產品週期」的產品服務取代傳統「數量或容量」之實物作為契約交付方式；從客戶端而言，其得按其對於化學品之實際需求，購買相關使用化學品之提供及後續產品維護等服務[5] 。從而，由於化學品之製造或輸入商提供化學品使用之服務，即實質地掌握物質的物質資訊、使用情境與風險危害資訊，相對於傳統線性模式有較完整之風險評估與防範措施。就此而論，其符合REACH規則之建置基礎，精準地掌握物質風險、有效控管物質危害及減少客戶依據REACH規則遵守登錄要求[6]。 三、化學品租賃有助於達成綠色化學與永續發展之目標 　　當下游使用者或客戶不再以擁有化學品的所有權為主，反而係享受化學品的使用服務時，除加深產業鏈之間的資訊交流緊密度，更有效地擺脫傳統線性經濟之取得、製造、丟棄之線性經濟模式，降低原物料的成本與減少對環境之污染，成為有效推動綠色經濟轉型與提升產業競爭力之關鍵綠色轉型契機例如SAFECHEM業者將汽車金屬製品的洗劑，改用租借整套清洗機台與洗劑給使用者，除讓清潔劑（化學品）可以被循環使用，並為客戶減少93%的溶劑使用量[7]。。 參、小結與建議 　　化學工業產業作為所有產業的一切基礎，如何讓化學工業發展對環境更有好的技術研發、降低危害性質之安全替代物質，以及發展更節省成本與降低污染的商業模式，固有發揮其重要性意義與亟迫需求。環保署現無一統籌性推行創新化學品商業之單位與措施，根據「107年至109年資源回收再利用推動計畫」建議加強推動化學品級產品租賃服務，藉以延長產品之壽命[8]。關於化學品租賃之推動多由民間業者自主發起與推行。 　　由於使用後之化學品，依據廢棄物清理法第28條規定，須委託經許可清理、處理廢棄物之公民營廢棄物清除處理機構予以清理、處理，造成供應商無法回收、再利用使用後之化學品、溶劑或副產品等。現行解套措施為環保署同意改以資源物處理，經專案申請核可後，同意供應廠商收回純化、再製循環使用，以協助廠商推動化學品租賃制度。惟僅係個案性解套化學品租賃之法規障礙，對於回收使用後之化學物質之風險資訊及危害程度，並無法實質性與國內「毒性及關注化學物質管理法」做鏈結與接軌。 　　從而，國內若能透過調修相關化學物質管理法制之規範，由此通盤性打造有利於「創新化學品商業模式」之制度框架，建置符合循環經濟利用資源不斷循環、再利用為基礎，善用化學品租賃之新型商業模式與創新合作關係，將有助於協助引導化工產業之企業進行永續化學之綠色轉型，降低使用化學品所產生之空氣污染、廢水及廢棄物等，俾利於保護人類健康及環境安全之雙贏目標。 　　 [1] Regulation (EC) No 1907/2006 of the European Parliament and of the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH). [2] ECHA, ECHA, Report on the Operation REACH and CLP 2016 (2016), at 10, https://echa.europa.eu/documents/10162/13634/operation_reach_clp_2016_en.pdf (last visited Dec. 1, 2019). [3] id. at 32. [4] United Nations Industrial Development Organization [UNIDO], https://www.unido.org/our-focus/safeguarding-environment/resource-efficient-and-low-carbon-industrial-production/chemical-leasing (last visited Dec. 1, 2019) [5] Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit [BMU], Chemikalienleasing als Modell zur nachhaltigen Entwicklung mit Prüfprozeduren und Qualitätskriterien anhand von Pilotprojekten in Deutschland (Mar. 1, 2010), S. 7, https://www.bmu.de/fileadmin/Daten_BMU/Pools/Forschungsdatenbank/fkz_370767407_chemikalienleasing.pdf (last visited Dec. 1, 2019) [6] United Nations Industrial Development Organization [UNIDO], GLOBAL PROMOTION AND IMPLEMENTATION OF CHEMICAL LEASING BUSINESS MODELS IN INDUSTRY (2016), at 13-14, http://www.recpnet.org/wp-content/uploads/2016/08/10-Years-Chemical-Leasing-Report.pdf (last visited Dec. 1, 2019). [7] SAFECHEM, https://safechem.com/de/metallreinigung/compleasetm.html (last visited Dec. 1, 2019) [8] 行政院環保署，推動循環經濟—廢棄物資源化，頁12，網址：https://www.ey.gov.tw/File/A7633C551685F1CC?A=C （最後瀏覽日：2020/1/8）。

　　世界經濟論壇（World Economic Forum, WEF）於2022年11月15日發布《贏得數位信任：可信賴的技術決策》（Earning Digital Trust: Decision-Making for Trustworthy Technologies），期望透過建立數位信任框架（digital trust framework）以解決技術開發及使用之間對數位信任之挑戰。 　　由於人工智慧及物聯網之發展，無論個人資料使用安全性還是演算法預測，都可能削弱人民對科技發展之信賴。本報告提出數位信任路線圖（Digital trust roadmap），說明建立數位信任框架所需的步驟，以鼓勵組織超越合規性，指導領導者尋求符合個人與社會期望之全面措施行動，以實現數位信任。路線圖共分為四步驟： 　　1.承諾及領導（commit and lead）：數位信任需要最高領導階層之承諾才能成功，故需將數位信任與組織戰略或核心價值結合，並從關鍵業務領域中（例如產品開發、行銷、風險管理及隱私與網路安全）即納入數位信任概念。 　　2.規劃及設計（plan and design）：透過數位信任差距評估（digital trust gap assessment）以瞭解組織目前之狀態或差距，評估報告應包括目前狀態說明；期望達成目標建議；治理、風險管理與合規性（governance, risk management and compliance, GRC）調查結果；將帶來之益處及可減輕之風險；計畫時程表；團隊人員及可用工具；對組織之影響等。 　　3.建立及整合（build and integrate）：實現數位信任需關注人員、流程及技術等三大面向。首先需確保人員能力、達成該能力所需之資源，以及人員溝通與管理；第二，定義組織數位信任流程，包括制定計劃所需時程、預算及優先實施領域，調整目前現有管理流程，並識別現有資料資產；最後，針對技術使用，可考慮使用AI監控、雲端管理系統以及區塊鏈等，以監測資料之使用正確性及近用權限管理。 　　4.監控及滾動調整（monitor and sustain）：建立數位信任框架後，需持續建構相關績效及風險評估程序，以確保框架之穩定，並根據不斷變化的數位信任期望持續改善，以及定期向董事會報告。

　　紐西蘭最為歷史悠久的IT專家組織（Institute of IT Professionals NZ）於2012年5月發布雲端運算實務準則（Cloud Computing Code of Practice），藉此彌補實務上缺乏雲端運算標準與實務指針的問題；本準則為自願性遵循規範，以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之，並可向公眾宣示其已遵行此準則，然倘若未遵行而為遵行之宣示，則屬誤導或詐欺行為而觸犯公平交易法（Fair Trading Act 1986）。本準則有四個主要目標：1. 促進紐西蘭雲端產業的服務標準；2. 確立應揭露（disclosure）的標準；3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示；4.強化紐西蘭雲端運算產業的整合性。   　　依據此準則，雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面，業者應表明是否對所上載的資料或資訊主張所有權；而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時，業者應確認其資料所有權之歸屬。   　　在資料管理與保障層面，業者應表明遵從何種資訊安全標準或實務，其已向美國雲端產業聯盟（Cloud Security Alliance）進行STAR登記，或者已通過其他標準的驗證；此外應表明儲存資料伺服器之一處或多處所在地。再者，業者亦須表明服務關係繼續中或終止後，業者或客戶對於客戶所擁有資料之存取權限。   　　在服務提供的適當管理措施上，包含業者的備份（Backup）程序及維護措施，皆應為揭露，使用戶得據以評估是否採取進一步的資料保護措施；此外包括服務的繼續性要求，如備援措施…等，亦應為揭露；又鑒於雲端服務有地理多樣性（Geographic Diversity）的特質，業者應使用戶知悉其提供服務、或營業活動的地點，以判斷此等服務可能適用的法權（Legal Jurisdiction）。   　　依據此準則，雲端業者亦可例如透過服務水準協議（Service Level Agreement）對個別用戶承諾特別的服務支援方案，以提供更好的服務品質。

美國目前沒有聯邦的隱私法，由各州訂定州隱私法、產業隱私法，要求企業應揭露資訊以提升資訊透明度，然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法（My Health My Data Act）》的州隱私法，其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料，可用於識別消費者過去、現在或未來的物理或心理健康狀況」，例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」，如零售業者蒐集消費者近期採購的訂單內容（非健康資訊），並透過AI機器學習分析得出消費者可能懷孕的比例及預產期，藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下，導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密，建議企業可先採取：　 1.使公司的智財部門與資料保護部門合作，確保公司人員對公司營業秘密標的及範圍的認知一致，並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前，先與消費者簽訂保密契約，並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施，建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。