歐盟針對數位革命之法制障礙展開討論
歐盟布魯塞爾會議規劃組織(QED)在2016年12月針對第四次工業革命法制議題提出討論,呼應2016年4月歐盟執委會提出之歐洲產業數位化政策,加速標準建立,並且預計調整現行法律規制,著重於資料所有權、責任、安全、防護方面等支規定,討論重點如下:
1.目前面臨之法律空缺為何
2.歐洲產業數位化是否須建立一般性法律框架
3.標準化流程是否由由公部門或私部門負責
4.相容性問題應如何達改善途徑
5.資料所有權部分之問題如何因應
6.數位化之巨量資料應如何儲存與應用,雲端是否為最終解決方式
7.如何建立適當安全防護機制。
8.一般資料保護規則是否足以規範機器產生之數據
9.各會員國對於資料保護立法不同,其間如何調合朝向資料自由發展之方向進行
我國2016年7月由行政院通過「智慧機械產業推動方案」,期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行,未來,相關法制配套規範,如個人資料保護、巨量資料應用、以及標準化等議題,皆有待進一步探討之必要。
本文為「經濟部產業技術司科技專案成果」
廖凱民
法律研究員 編譯整理
德國聯邦議會通過電力驅動車輛優惠法(下稱電動車法(Gesetz zur Bevorrechtigung der Verwendung elektrisch betriebener Fahrzeuge ,Elektromobilitätsgesetz-EmoG),該法遂於於2015年6月5日生效。 德國為了達到減碳目標,不但大力推動再生能源,且亦於五年前成立國家電動車平台,希望於2020年達到全國有100萬輛電動車在街道上行駛之目標,德國政府為達此一目標,修法讓電動車可享地方政府提供的停車位以及可使用巴士車道兩項優惠。 該法對電動車之定義為(1)電池驅動車輛(2)可充式之油電混合車輛及(3)燃料電池車輛(電動車法第2條),並提供優惠予(1)公用道路巷道之停放(2)全部或一部特定公用道路巷道之特別使用(3)進入或通過禁行區域,例外地許可之(4)公用道路巷道停放時之規費,免除之(電動車法第3條第4項)。 另外,為推廣使用,依道路交通秩序法第46條第1a項,電動車輛亦得黏貼特殊標識行駛於交通管制區、禁行區域及需繞道之路段。供巴士行駛道路亦同。而為了電動車之辨識,本法第4條亦規定電動車標識應具備之內容,並於2015年9月26日發相關之電動車標示規則。
強制蒐集人體生物資料的人權標準-聯合國人權事務委員會的見解 歐盟理事會修正《第428/2009號歐盟理事會規章》,提升歐洲軍民兩用出口管制力度歐盟理事會與歐洲議會於2020年12月14日,針對歐洲軍民兩用出口管制法規《第428/2009號歐盟理事會規章》(COUNCIL REGULATION (EC) No 428/2009)達成修正協議,並獲得歐盟理事會下設常駐代表委員會(Committee of Permanent Representatives, COREPER)認可後正式通過。《規章428/2009》用以規範歐盟軍民兩用出口管制,監管歐盟涉及「軍民兩用」敏感貨品、服務、軟體和技術的對外出口、內部轉口及過境貿易。因兩用貨品包含軍事用途及商用用途,故此次歐盟調整軍民兩用出口管制的相關規則,主要考量面向包括:英國脫歐對歐洲出口管制的影響;如何確保歐盟出口管制條例與國際反武器擴散制度相一致;以及解決網路監管和新興技術帶來的安全威脅等。本次歐洲軍民兩用出口管制修正重點如下: 提升出口管制力度,防止濫用網路監管等新興技術:管制項目具備監視、取得、蒐集或分析資通訊系統資料功能者,因涉及國家內部鎮壓或嚴重違反國際人權和國際人道法(International Humanitarian Law),即使未明列在歐盟軍民兩用法規的附件中,也應加強管制。 新增兩項歐盟一般出口許可證(EU General Export Authorisations, EU GEAs):包括集團內部技術轉讓(EU007)及加密(EU008),允許軍民兩用貨品出口至特定目的地。 統一歐盟軍民兩用貨品規則:例如技術協助屬於特定軍事用途且與軍民兩用相關者須經授權,歐盟成員國得配合擴張軍民兩用貨品清單。 強化企業調查和報告義務,遵守並適用出口管制規則:實施出口及授權作業的出口商,應落實內部合規計劃,確保企業遵守出口管制的政策和程序。 歐盟成員國間加強合作機制:促進資訊交流、政策調整和執法行動。
愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。 此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。 最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。