日本內閣府發布「綜合創新戰略2024」

歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 　　歐盟執委會（European Commission）於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity）[1]，規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 　　為落實歐盟「2030數位羅盤」（2030 Digital Compass）政策，實現「公共服務數位化」之核心願景，歐盟推行數位身分框架，規劃於2030年前歐盟全境須有80%民眾使用電子身分證，以強化歐盟境內所有民眾（包括身心障礙人士）公共服務之近用權（right of access）。執委會於2021年6月3日公布的數位身分框架修正案，主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」（簡稱eIDAS規則[2]），依據該規則第49條，對其運作情形進行評估（An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation），同步考量技術、市場發展，針對當中不合時宜之規定為增修，並於2020年7月24日至10月2日進行公眾意見徵詢。 　　根據修正案內容，會員國必須提供公民和企業數位身分錢包（Digital Identity Wallet），此可透過會員國認可的公務機關或私人企業提供，錢包能夠將國家數位身分識別（national digital identities）與其他個人身分證明（例如駕照、證照、銀行帳戶）進行連結，使歐盟公民和企業能夠經由使用數位錢包來進行身分識別，以方便近用線上服務，例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店，租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可，使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 　　eIDAS規則作為歐盟境內電子身分識別（identities）、認證（authentication）和網站憑證（website certification）跨境使用的法律基礎架構[4]，此次修正案旨在使各會員國的數位身分（eID）計畫於歐盟境內具互操作性（interoperable），以促進近用線上服務。重點內容如下： 一、會員國所發行歐洲數位身分錢包，須通過歐洲網路安全認證框架內的強制性合規評估（compulsory compliance assessment）和自願認證（voluntary certification）。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用，使用者得以利用數位身分作為識別與驗證其身分之有效工具，以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度，意即得以自主決定是否與第三方分享特定個人資料，並可追蹤其資料之後續利用。 三、賦予個人電子身分證明（electronic attestations of attributes），如醫療證書或專業資格等電子證書的法律效力，並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證，以防止欺詐。 四、擴大跨境eID計畫的相互承認，降低各會員國於電子身分識別服務的差距；並加強信賴服務提供的整體監管框架，針對信賴服務提供商（trust service providers），新增為管理遠端電子簽章和封條（seal）產製設備（creation devices）所建立的新合格信賴服務（Qualified Trust Service, QTS）類型。 五、新增電子帳本（electronic ledgers）的信賴服務框架；電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡（audit trail），能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案（self-sovereign identity solutions）、將所有權歸屬於數位資產與記錄業務流程等具備重要性，此有助實現更加去中心化（decentralized）的治理模式，並使多方合作成為可能。 六、於數位服務法案（Digital Services Act）中所定義的超大型線上平台（very large online platforms），將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 　　歐盟數位身分框架修正案，旨在解決 eIDAS 規則部分瑕疵，以順應市場動態和技術發展，包含承認電子身分證明、電子帳本之法律效力，擴增新合格信賴服務類型等，並作為歐盟建立數位身分認證政策的基礎規範，確保使用者於近用私人或公共服務時，可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會（European Parliament）內已送交產業、研究暨能源委員會（Industry, Research and Energy Committee, ITRE）進行審議[5]，值得持續追蹤其未來發展。 　　近來受新冠肺炎（COVID-19）保持社交距離影響，推動企業朝數位轉型發展；執行遠距辦公政策，亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範，自2002年4月1日起正式施行後至今未為修訂，實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類，並對於數位簽章之技術有一定規範，惟未賦予相異之法律效力，使得其區分不具太大效益。建議可參酌eIDAS規則中，對於信賴服務提供者區分為不同層級規範，並給予經主管機關審核通過之合格信賴服務提供者，所提供的信賴服務具有更高的法律效力。 　　此外，我國欲推行數位身分證（New eID）政策，提供我國人民網路上身分識別之證明，連結政府骨幹網路（T-Road）串接各類電子政府服務，提升民眾近用公共服務的便利性，惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案，考量因應科技革新、商業模式創新等要素，對於身分識別相關規範進行修正與更新，以促進電子化政府及電子商務之發展，提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663　(last visited Aug. 24, 2021). [4] 李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）；謝明均，簡介〈歐盟提供合格信任服務者依循標準建議〉，科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687（最後瀏覽日：2021/08/24）。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY （EUID）, EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid　(last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉，行政院新聞傳播處，2021/01/21，https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a （最後瀏覽日：2021/08/24）。

　　加拿大聯邦政府與亞伯達省（Alberta）及英屬哥倫比亞省（British Columbia）的隱私委員會針對一般企業，聯合推出新的個人資料保護自我評量線上工具，該線上工具之內容包括風險管理、政策、記錄管理、人力資源安全、物理安全、系統安全、網路安全、無線、資料庫安全、作業系統、電子郵件和傳真安全、資料完整性和保護、存取控制、信息系統獲取，開發和維護、事件管理、業務連續性規劃、承諾等項目之評估測驗。 　　聯合制定該線上自我評量工具的隱私委員辦公室表示，該線上工具可用於任何私人組織，特別是小型及中小型企業，而且新的線上工具是針對企業為一全面性的評估，並且該評估的內容十分鉅細靡遺。另外，為了提供使用者於使用該線上工具時的靈活性，故使用者亦可以將重點放在最切合自己的企業的部分，亦即僅選擇其中一項或數項為自我評估的內容即可。 　　又，該線上自我評量工具會將使用者的自我評估和分析過程的結果做成結論，而使用者可以獲得該分析得出之結論，並將作成之結論用來有系統地為評估組織本身的個人資料保護安全性，並藉以提高個人資料保護的安全。

經查，韓國《不正當競爭預防和營業秘密保護法》（下稱UCPA）之修正案於2024年1月國會通過、2月公布，預計將於8月21日生效。旨在加強對於營業秘密侵權行為的法規監管與處罰力度，故本次修訂以營業秘密相關規定之修正為主，以其他修正（如商標、標誌、地理標示誤用、侵權或其他不公平競爭行為）為輔，本文摘要如下： 一、與營業秘密相關 （一）懲罰性賠償之加重：根據第14-2條第6項規定，針對「故意」營業秘密侵權行為，將懲罰性賠償從3倍上修到5倍。 （二）增加營業秘密侵權行為之監管與罰責：新增第9-8條規定，將「任何人在未經正當授權或超越授權範圍的情況下，不得損害、破壞或改變他人的營業秘密」納入規範，如有違反，將透過新增之第18條第3項規定課予最高10年監禁或最高5億韓元的罰款。 （三）加強對於企業（組織犯罪）之管制效力：基於修法前法人與自然人之罰款數額相同、企業的追訴時效短於自然人，造成難以抑止組織犯罪行為，故新增第19條規定，使企業罰款最高可處自然人罰款3倍，並新增第19-2條規定，將對企業的公訴時效延長至10年（與自然人之訴訟時效同）。 （四）新增沒收規定：依據修法前規定，即使透過UCPA提起訴訟，且侵權人承認侵權，但因為缺乏沒收規定（需要另外依據民事訴訟法才能對犯罪所得進行沒收），導致防止二次侵權損害之效果有限，故修法後透過第18-5條之規定納入可沒收特定營業秘密所得之規定。 二、其他修正 以下兩項修正之對象涉及第2條第1項第1款、第3條、第3-2條第1款（主要為商標、標誌、地理標示等誤用、侵權或其他不公平競爭行為），並不包括營業秘密（營業秘密第2條第1項第2款以下）： （一）加強行政機關的職權：根據第8條規定，關於上述違規行為，相較修法前行政機關僅能提出「建議」（無強制力），修法後特別賦予智慧財產局（KIPO）可以「下令糾正」（시정을 명할 수 있다）之權利，即若未有正當理由依命令糾正者可依照第8條、第20條第1項第1、2款規定公布違反行為及糾正之建議或命令的內容，並對其進行罰款。 （二）法院查閱行政調查記錄的權力的擴張與限制：根據第14-7條規定賦予法院職權，即在法院在特定訴訟中認為必要時，可以要求相關行政單位向法院提出其依據第7條執行的調查紀錄（包括案件當事人的審問筆錄、速記紀錄及其他證據等），若相關紀錄涉及營業秘密，當事人或其代理人可向法院申請就查閱範圍、閱覽人數等進行限制。 綜上所述，可以發現此次修法除了加強法規的監管、處罰力度，顯示近年重視營業秘密爭議外，更特別修訂針對企業、法人等組織犯罪相關規定（如賠償金額的增加，甚至處罰力度大於自然人、訴訟時效的延長等），間接強調企業、法人等組織對於營業秘密侵權有內部管理與監督之責任，若參照資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」對於企業內部管理與監督如何落實之研究，係透過將管理措施歸納成（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）十個單元的PDCA管理循環，旨在提供企業作為機制建立之參考或自我檢視機制完善性的依據，期冀促進企業落實營業秘密管理。 本文同步刊登於TIPS網（https://www.tips.org.tw）

　　自 92 年歐盟公告「廢電機及電子設備指令」（ WEEE ）及「電機及電子設備使用某些危害物質限制指令」（ RoHS ）以來，國際大廠紛紛制訂各種綠色採購標準以要求供應鏈體系符合無毒性、可回收及省能源的目標。回顧 94 年台灣電機電子產品輸歐出口值為新台幣 2,334.27 億元，影響廠商家數為 31189 家，因此這兩項指令執行之後，對台灣產業的衝擊影響甚鉅。 　　為協助國內中小企業因應歐盟 RoHS 指令之執行，經濟部中小企業處自 93 年起即已開始進行相關輔導工作，解決中小企業在面對綠色採購要求所遭遇之問題，如：法規環境、客戶要求、管理制度、人力資源等，藉由綠色供應鏈輔導，提升中小企業對綠色產品的認知，塑造優質而有效率的綠色供應鏈環境，以強化中小企業綠色競爭力。 　　隨著歐盟指令的推行已逐漸從資訊產品等 3C 大廠擴散到小型家電、玩具運動器材及電動工具等中小型企業規模，因此經濟部中小企業處將持續辦理輔導中小企業進入綠色材料與供應鏈體系，以及清查限用物質診斷、成立網路顧問團提供諮詢、綠色材料及供應鏈人才培訓、建立綠色供應鏈稽核訓練系統、示範觀摩及成果擴散等工作。 　　綠色產品趨勢已是不可擋的潮流，隨著今年 7 月 1 日 RoHS 指令的執行，及後續 EuP 、 REACH 、 … 等一連串綠色指令法規要求，對我國企業是一波波嚴酷的挑戰，需要政府投入更多的資源，繼續協助企業符合客戶綠色採購要求，將環保貿易障礙轉換成企業發展的新契機，開發拓展綠色產品的商機，以提升我國企業之綠色競爭力。