政府資訊業務委外涉及個人資料保護法律責任分析及因應建議

　　BIOS是「基本輸出/輸入系統」（Basic input/output systems）的簡稱，這種在所有應用底層的軟體，過去以來PC廠商一向自我保護相當嚴密，而且還需要用到專門設計BIOS的公司。而現在，一些批評開始希望逼迫業界放棄其機密，這些批評宣稱，客戶應該可以自由發開自己的選擇方案，確保可以控制自己的裝置──也就是說，可以讓他們自由取得BIOS資訊。 　　「我們需要自由的BIOS，因為如果我們無法控制BIOS，就無法控制電腦。」自由軟體基金會（Free Software Foundation）總裁Richard Stallman表示。BIOS自由軟體計畫開始於BIOS史上的第一波改革──當時軟體程式碼希望轉向新的「可延伸式韌體界面」（Extensible Firmware Interface，或簡稱EFI）。另一方面，PC硬體安全功能的一些計畫也讓Stallman等一類團體批評指出，消費者對於自己的裝置缺乏主控權，希望能夠公開BIOS撰寫規格，可讓消費者能夠自行安裝、修改，及再發佈BIOS軟體──雖然不見得會是免費的。更重要的是，將可讓使用者避開未來一些可能的安全強化功能，例如廠商用控制文件使用方式的數位版權管理功能。 　　已有許多廠商宣稱，BIOS的自由軟體純粹只是為了自由而自由，對於電腦使用者沒什麼意義。BIOS廠商的高層及晶片巨子英特爾都表示，由於目前業界對BIOS的控管嚴密，也才能夠保有PC的安全和穩定，同時可藉由對一些廠商IP（智慧財產權）的保護以促進市場競爭。有些人則認為，對於BIOS的嚴密保護，有助於防止駭客攻擊。 　　英特爾則已經提出了折衷的方案──名為Tiano的開放原始碼技術。Tiano是為了取代BIOS的一種框架工作，希望透過EFI，讓PC零件以自己的驅動程式來啟動零件。英特爾的這項計畫為BIOS的汰換工作建立了一個框架，因此可能成為BIOS自由軟體的基礎。但是它把PC零件初始化用的程式碼撰寫工作留給了軟體的下載者。但Stallman依然宣稱英特爾做得不夠，且BIOS廠商其實是多餘的，他希望看到資訊釋出。

　　中國大陸政府在《國民經濟和社會發展第十二個五年規劃綱要》，以及《國家中長期科學技術發展規劃綱要》中揭示繼續增強自主創新能力，進而推動中國大陸科技進步以及經濟發展。上述指導性的綱要落實到中國大陸立法層面，可從《科學技術進步法》第25條規定「政府必須優先採購自主創新產品」等類似的條文中發現這樣的精神。 　　2011年11月30日由廣東省第11屆人民代表大會所通過的《廣東省自主創新條例》，即是在這樣的立法背景下所訂定。該條例具體規定「自主創新」之定義、自主創新產業的人才培育措施、自主創新產業的財政性資金補助措施，以及鼓勵研究成果轉化與產業化之措施等，並分別設立專章予以規定。其中特別值得注意者，乃是該條例第18條明文鼓勵自主創新產業與澳門、香港，以及臺灣的企業、大學、研發單位合作科技研發，並建立科學技術創新平臺。 　　過去中國科研相關政策綱要中雖不乏有鼓勵兩岸產學研合作的宣示，但於法律條文位階中明文鼓勵「台灣參與中國大陸自主創新科技研發」卻還是首見，大幅提高了未來台灣產學研界主動參與大陸地區科技研發的可能性。由於中國大陸在立法特色上，通常係由地方法規率先就特定事務進行規範，爾後政府若認為有以中央法律位階作統一規範時，始進一步訂定法律或中央機關部門規章，因此本條例之制定是否會對於其他中國科研創新法制帶來拋磚引玉之效，頗值得觀察

　　英國資訊委員辦公室（Information Commissioner's Office, ICO）2018年9月就監理沙盒為初步公眾意見徵詢，以瞭解其可行性。ICO監理沙盒之建立係依據英國2018-2021年科技策略（Technology Strategy for 2018-2021），並參考英國金融行為監理總署（Financial Conduct Authority, FCA）已成功發展之沙盒機制。ICO將提供組織於安全可控且不排除資料保護法規適用的環境下，以創新方式應用個資於開發創新產品與服務，並提供關於降低風險與資料保護設計（data protection by design）的專業知識和建議，同時確保組織採取適當安全維護措施。徵詢重點分為六部分： 障礙和挑戰（Barriers and Challenges）：歐盟一般資料保護規則（General Data Protection Regulation, GDPR）或英國2018年資料保護法（Data Protection Act 2018, DPA18）之適用，以及ICO之監管方法，是否造成組織以創新方式應用個資於開發創新產品與服務之障礙或挑戰。 適用之可能範圍（Possible scope of an ICO Sandbox） 了解參與益處（Understanding the benefits of involvement） 機制（Sandbox mechanisms）：於監理沙盒機制下不同階段提供指導，初期就如何解決資料保護相關問題提供非正式之指導（informal steers）；中期提供法律允許與具適當保護措施之監管指導，如對參與者進入沙盒期間內非故意違反資料保護原則之行為，不會立即受到制裁之聲明函（letters of comfort）、確認組織未違反相關資料保護法規等；以及針對新興技術和創新特定領域，提供解決資料保護挑戰之預期指導（anticipatory guidance），如訂定相關行為準則（code of conduct）。 時機（Sandbox timings）：包含開放申請進入沙盒時點、進入模式、是否彈性因應產品開發週期、測試階段期間等。 管理需求（Managing Demand）：如設定優先進入沙盒領域、類型、設定參與者數量上限等。 　　該諮詢於10月12日結束，2018年底將公布結果，值得持續追蹤，以瞭解ICO監理沙盒未來之發展。 　　ICO亦接續於10月建立監管機關業務和隱私創新中心（Regulators’Business and Privacy Innovation Hub），與其他監管機關合作提供資料保護之專業知識，以確保法規與未來的技術同步發展；該中心也將與ICO監理沙盒共同推動，支持組織以不同方式使用個資開發創新產品和服務。

　　歐盟執委會於2011年4月發布的「智慧電網創新發展」（Smart Grids: from innovation to deployment, COM(2011) 202 final），在有關資訊安全與隱私的部分指出，應建立消費者（consumer）隱私的保護規範，促進消費者的使用意願並瞭解其能源的使用狀況；在資訊交換的過程中，亦須保護敏感的商業資訊，使企業（companies）願意以安全的方式提供其能源使用訊息。 　　歐盟保護個人資料指令（Directive 95/46/EC）是保護個人資料的主要規範，同時也適用在智慧電網個人資料的保護上，但此時則需要去定義何謂個人資料，因為在智慧電網的發展中，有些屬於非個人資料。若為技術上的資訊而不屬於個人資料的範圍，能源技術服務業者（energy service companies）則不須經同意即可讀取該些資訊以作為分析使用。考慮將來廣泛建置智慧電網後，各會員國可能遭遇如何認定是否為個人資料及其保護的問題，因此目前傾向採取「privacy by design」的方式，亦即在系統設計之初，即納入資訊的分類，而不做事後的判斷。 　　對於此，歐盟執委會於2012年3月發布「智慧電表系統發展準備建議」（COMMISSION RECOMMENDATION of 9.3.2012 on preparation for the roll-out of smart metering systems），對於相關定義、資料保護影響的評估（例如各會員國必須填寫並提交執委會提供的評估表格，且提交後則必須遵循相關規範）、設計時的資料保護及預設（例如在系統設計時一併納入對資料的保護，使之符合資料保護的相關法規）、資料保護的方式（例如會員國必須確保個人資料的蒐集、處理及儲存是適當的並且具有關連性）、資料安全（例如對於資料偶然的或非法的破壞、或偶然的喪失等情形，亦應予以規範）、智慧電表的資訊與透明化（例如在蒐集相關個人資料後，仍應依規範提供資料主體相關的訊息）等方面提出建議，供各會員國於制訂相關規範時的依據。