日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢

　　個人健康資料共享向為英國資料保護爭議。2017年英國資訊專員辦公室（ICO）認定Google旗下人工智慧部門DeepMind與英國國家醫療服務體系（NHS）的資料共享協議違反英國資料保護法後，英國衛生部（Department of Health and Social Care）於今年（2018）5月修正施行新「國家資料退出指令」（National data opt-out Direction 2018），英國健康與社會照護相關機構得參考國家醫療服務體系（NHS）10月公布之國家資料退出操作政策指導文件（National Data Opt-out Operational Policy Guidance Document）規劃病患退出權行使機制。 　　該指導文件主要在闡釋英國病患退出權行使之整體政策，以及具體落實建議作法，例如： 退出因應措施。未來英國病患表示退出國家資料共享者，相關機構應配合完整移除資料，並不得保留重新識別（de-identify）可能性； 退出權行使。因指令不溯及既往適用，因此修正施行前已合法處理提供共享之資料，不必因此中止或另行進行去識別化等資料二次處理；此外，病患得動態行使其退出權，於退出後重新加入國家資料共享體系；應注意的是，退出權的行使，採整體性行使，亦即，病患不得選擇部分加入（如僅同意特定臨床試驗的資料共享）； 例外得限制退出權情形。病患資料之共享，如係基於當事人同意（consent）、傳染病防治（communicable disease and risks to public health）、重大公共利益（overriding public interest）、法定義務或配合司法調查（information required by law or court order）等4種情形之一者，健康與社會照護相關機構得例外限制病患之退出權行使。 　　NHS已於今年9月完成國家資料退出服務之資料保護影響評估（DPIA），評估結果認為非屬高風險，因此不會向ICO諮詢資料保護風險。後續英國相關機構應配合於2020年5月前完成病患資料共享退出機制之建置。

　　為完善現行著作權登錄制度與加速解決著作權爭議，韓國文化體育觀光部提出著作權法修正案，該修正案於2020年1月9日經國會同意通過，並已在同年2月4日公布，預計於同年8月5日施行，韓國此次著作權的修法主要有三個重點。 　　一是韓國現行的著作權爭議調解制度，若當事者有一方不同意調解就破局，當事人僅能透過訴訟解決爭議，這樣的調解形式意外增加了韓國司法上的負擔，故此次修法適當的調整了著作權爭議調解制度。標的金額未滿一千萬韓元的案件，或當事人一方無法提出合理的拒絕調解理由，當事人就不能拒絕韓國著作權委員會的調解，此次修法賦予了韓國著作權委員職權調解的權力。 　　二為現行韓國的著作權係採取創作保護主義，登錄並非是取得著作權之法定要件，故韓國在運行著作權登錄制度時並不會對登錄的著作物做實質審查，這也讓著作權虛偽登錄或錯誤登錄的情況很難被避免，而這次著作權修法賦予了著作權委員會有依職權撤銷這些虛偽登錄、錯誤登錄著作物的權力。 　　三係若是出於公共利益之目的，如基於調查需求複製著作物、編輯教科書而想利用已刊登的著作物等情形，可以不受著作權的拘束，自由的利用著作物。韓國文化體育觀光部也表示透過此次的修法，希望能為韓國打造一個更適合著作發展的環境並為韓國著作權活用帶來正面的影響。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　依據美國專利法第101條規定，任何人發明或發現一新的、有用的程序、機器、製造物、組合物，或做出任何新的或有用的改良，並符合專利法所定之其他條件或要求，即可以取得專利權；然而，今年（2014年06月19日）美國聯邦最高法院於Alice Corp. v. CLS Bank International一案，認定原告透過第三方中介電腦系統 促進交易雙方交換資訊，以降低交易風險之技術，只是將抽象概念（第三方中介交易之商業方法）以一般方式於電腦軟體運行，故無法取得專利。 　　司法實務上，各級法院開始遵循此一判決先例，宣告與此性質類似之專利無效。例如：於Buysafe, Inc. v. Google, Case No. 2012-1575 (Fed. Cir. Sept. 3, 2014)一案，法院認定原告用來擔保線上交易安全之技術，只是將擔保契約關係此抽象概念運用於網路，故無法取得專利；於Loyalty Conversion Systems v. American Airlines, Inc., Case No. 2:13-CV-655 (E.D. Tex. Sept. 2, 2014)一案，法院認定原告以獎勵點數換取消費點數之技術，只是將貨幣交換此抽象概念透過電腦進行，故亦無法取得專利。 　　由各級審法院判決可以觀察到，以商業方法（抽象概念）為內容的電腦軟體專利有逐漸被宣告無效的趨勢，尤其是涉及到：縱使不以電腦軟體運行，但似乎亦可完成的交易方法。由此可見，各級法院對於專利法第101條已經開始採取較嚴格的審查標準。未來無論在專利申請或專利訴訟時，都宜一併考量Alice Corp. v. CLS Bank International案所帶來的影響。

　　2019年9月英國資訊委員辦公室（Information Commissioner's Office, ICO）啟動沙盒計畫（ICO Sandbox）測試階段（beta phase），由ICO所選10個測試專案，透過解決當今社會問題，例如如何減少暴力犯罪、大學如何促進學生的心理健康、新技術如何改善醫療保健等，期能促進公眾利益。 　　各專案在滿足創新性和可行性前提下，同時也面臨著複雜的資料保護議題，因此ICO持續與各專案溝通，提供其應用現有個資保護指引之建議，如歐盟一般資料保護規則之資料保護影響評估指導文件（Guide to the GDPR - Data protection impact assessment）、資料保護自我評估工具包（Data protection self-assessment toolkit）等。自2019年3月底開始（受理申請）迄今，ICO沙盒執行過程中所觀察到的關鍵議題如下： 公部門資料應用效益：部份參與者正在克服與公部門進行歷史資料共享，或是如何整合應用大數據等。個人資料與新技術應用，必須與資料主體的權利和自由進行權衡。 同意：確保各方對於「同意」（Consent）之理解，以弭平差異，同時向公眾提供透明資訊。 新技術的挑戰：應用語音生物辨識（voice biometrics）、臉部辨識技術（facial recognition technology, FRT）等，需要在適當基礎上處理特殊類別資料。 資料分析（Data analytics）：以符合資料保護的方式進行資料分析，處理特殊類別資料的適法性，評估處理過程中的風險，並檢查可能用於資料分析的資料來源，確保符合目的之應用。 　　未來的6個月，ICO將持續與各專案合作，使其為有效的解決方案，為公眾提供創新合規之產品與服務，並成為未來結合資料保護和創新應用之規劃藍圖，以奠定隱私保護的基石。