美國健康保險制度下的個人資料安全保護隱憂
為降低美國人民在醫療保險費用的支出,同時加強管理現有的保險產業,同時提供美國人民一更易負擔的醫療保險制度,美國總統歐巴馬自上任以來遂特別加強推動美國健康保險制度,與相關現有醫療保險制度的建置與改革,並於2010年3月23日通過「病患保護與平價醫療法案」(The Patient Protection and Affordable Care Act,本法暱稱Obamacare),並計劃於今(2013)年10月正式啟動上路。
為集中且便利相關機構快速讀取單一個人之相關資訊,Obamacare計畫透過聯邦數據服務樞紐(The Federal Data Services Hub)的建置,彙整目前美國各單一政府單位所保有之全民個人資料,該類資料涵蓋個人醫療、教育、和財務等相關資訊,提供各州政府單位機關有需求時得以讀取。然而,儘管該服務樞紐的用意係為提供更完整的個人資料,然而其卻也因其本身具集中單一個人資料於一身的特性而受到各界的質疑。反對人士認為,由於該服務樞紐彙整龐大單一個人資料,因此若其未建立完善資訊安全機制,而遭受到不肖駭客入侵竊取個人資料的話,所造成的後果將影響甚遠,再加上未來將管理服務樞紐的美國衛生及公共服務部(The Department of Health and Human Services, HHS),遲遲未能讓外界信服其已建立充分的資訊安全保全系統來保障全美國人民的個人資料,因此反對人士對於該服務樞紐對於個人資料安全與隱私的保全能力感到堪慮。
根據美國隱私法(Privacy Act of 1974),美國政府需提供適當的隱私保全機制來保障美國人民的個人資料,同時,美國聯邦資訊安全管理法(Federal Information Security Management Act of 2002)亦要求美國政府需確保美國人民的個人資料不被濫用,故在該二法案的明文要求下,歐巴馬政府於推行Obamacare之際,相關資訊安全保全系統機制仍須符合標準始得合法運作。Obamacare上路在即,歐巴馬政府與相關部會該如何解決個人資料保護問題,其後續發展實值得觀察。
本文為「經濟部產業技術司科技專案成果」
- Mail Online, Fears over Obamacare database that will gather unprecedented levels of personal information on millions of citizens, Aug. 23, 2013
- CBNNews.com, Lawmakers clash over Obamacare privacy concerns, Aug. 2, 2013
- Susan Berry, Obamacare unlikely to secure Americans’ private information, Aug. 8, 2013
G20要求OECD(經合組織)儘速制訂加密資產申報綱要(Crypto-Asset Reporting Framework, CARF),以建立「加密資產資訊自動交換制度」,使一國稅務機關有權收集,並與他國稅務機關交換從事加密資產交易者的稅務資訊。故OECD於今(2022)年3月發布公開徵詢文件,並於5月23日召開公開諮詢會議,並期能於今年10月完成CARF之制訂。 蓋人手一機的時代,透過APP買賣虛擬通貨及NFT等加密資產已是滑指日常。因使用區塊鏈技術,去中心化的特性使得所有交易都不需要傳統金融機構的中介或干預,又因為區塊鏈是分散式帳本,因此每一筆交易進行紀錄的礦工幾乎都不同。換言之,加密資產的交易及紀錄都有秘密性,金融機構與國家機關難以查得,就算能查到交易紀錄,也無法查得買賣加密資產雙方的真實身份,因此衍生出投資加密資產如有獲利,如果沒有申報,反正國家也查不到,就不用繳稅的問題。 因此,首段所稱CARF,即為解決前段因區塊鏈技術所引起的稅務挑戰,惟這項全新的交換制度涉及了加密資產與跨國稅務等事務,有賴全球合作,茲事體大,雖然CARF與現在已經在全球實施的稅務資訊自動交換制度類似,但顯有不同。
英國政府公布物聯網設備安全設計報告及製造商應遵循之設計準則草案英國數位文化媒體與體育部於2018年3月8日公布「安全設計:促進IoT用戶網路安全(Secure by Design: Improving the cyber security of consumer Internet of Things)」報告,目的在於讓物聯網設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。此報告經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論,並提出了一份可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則: 不應設定預設密碼(default password); 應實施漏洞揭露政策; 應持續更新軟體; 應確保機密與具有安全敏感性的資訊受到保護; 應確保通訊之安全; 應最小化設備可能受到網路攻擊的區域; 應確保軟體的可信性; 應確保設備上之個資受到妥善保障; 應確保系統對於停電事故具有可回復性; 應監督設備自動傳輸之數據; 應使用戶可以簡易的方式刪除個人資訊; 應使設備可被容易的安裝與維護; 應驗證輸入設備之數據。 此草案將接受公眾意見至2018年4月25日,並規劃於2018年期間進一步檢視是否應立相關法律與規範,以促進英國成為領導國際之數位國家,並減輕消費者之負擔並保障其隱私與安全權益。
美國地方法院以缺乏原創性為由駁回對泰勒絲歌詞的侵權訴訟2016年9月,詞曲創作者Sean Hall及音樂公司代表Nathan Butler提出著作權侵權訴訟,控訴泰勒絲2014年單曲【Shake it off】中「Playas, they gonna play / And haters, they gonna hate」的詞彙使用方法抄襲了2001年所錄製的【Playas Gon'Play】,主張在2001年前這種特定角色加上特定動作的重覆出現組合,並未於任何流行文化中所使用。 由於原告僅以歌詞部分進行侵權訴訟,美國聯邦地區法院法官不需專家或陪審團意見即可進行判決。法官Michael Fitzgerald以「平庸(banal)」一詞形容原告所提出的詞彙組合,駁回該訴訟,並表示被控侵權的泰勒絲歌詞內容部分為短語(short phrases),缺乏著作權法所保護的原始性及創作性,且「Playas gonna play / haters gonna hate」所展現的創作性和「鼓手會打鼓/游泳者會游泳」沒什麼兩樣。因此,除非【Shake it off】中有其他音樂元素可能值得聲稱侵權,法院願意給予原告機會修改聲明,進行上訴。此外,法院提出其它理由:「Playas+play」這樣的詞彙組合早於1977年單曲【Dreams】中「Players only love you when they’re playing」就曾被使用過,且「Playas」一詞也曾用於1990年年代做為R&B樂團的團名。 這不是【Shake it off】第一次遭逢侵權訴訟,2015年Jessie Braham指控【Shake it off】侵犯其於2013年發行的單曲【Haters Gone Hate】,並求償4,200萬美元。但由於原告並未提供足夠證據,該案亦遭駁回。
研發成果下放就不適用國有財產法嗎?研發成果下放就不適用國有財產法嗎? 資訊工業策進會科技法律研究所 2020年3月26日 科學技術基本法(下稱科技基本法)下放研發成果予執行單位,授權各部會機關按其對研發成果管理運用的需求,彈性制訂該部會之科學技術研究發展成果歸屬及運用辦法(下稱成果運用辦法)。然據悉某些公立學校或公立機關(構)曾在盤點財產時,因漏未將研發成果登入為國有財產,或列帳時未列載相關費用而遭主計處指正,從而對研發成果是否為國有財產及如何適用國有財產法有所疑問。因此,本文先回歸科技基本法,探討國有財產法之適用範圍,再論成果運用辦法和國有財產法間互補適用的關係,以解答上述疑問。 壹、科技基本法排除國有財產法適用之範圍 按科技基本法第6條第1項及第2項[1],當研發成果歸屬於公立學校、公立機關(構)或公營事業等公部門單位時,僅排除適用國有財產法中保管、使用、收益及處分之規定,改由各部會之成果運用辦法規範,故當研發成果歸屬於公部門時,並非完全排除適用國有財產法,係僅於前揭特定管理運用事項適用科技基本法及其授權訂定之成果運用辦法。因此其他未被排除的國有財產法規定[2],包括何謂國有財產與國有財產種類之總則、國有財產登記、設定產籍與維護,以及有關國有財產之檢查與財產報告等仍須依循相關規範。前述遭主計處指正之案例,或許就是忽略歸屬於公部門之研發成果仍有前揭國有財產法之適用,致漏未將研發成果依該法登入國有財產或將相關支出列帳。 貳、成果運用辦法的適用範圍 另一可能造成執行單位在運用其研發成果時產生疑問的原因,是現行各部會之成果運用辦法中,有部分規定與前述科技基本法第6條第2項,將歸屬於公立學校與公立機關(構)之研發成果定性為國有財產之意旨扞格。以衛生福利部科學技術研究發展成果歸屬及運用辦法(下稱衛福部成果運用辦法)為例,雖然按該辦法第2條第5款定義國有研發成果為研發成果歸屬國家所有者。然該辦法第30條第1項第1款[3],卻出現執行單位為公、私立學校、公立研究機關(構)之「非國有」研發成果收入之上繳交比率規定,恐使適用本辦法之公立學校、公立機關(構),誤以為其所有之研發成果可為非國有,而產生無庸適用國有財產法之誤解,亦與該辦法第2條第5款對國有研發成果的定義產生內部矛盾,更與科技基本法第6條第2項相衝突。 當研發成果歸屬公立學校、公立機關(構)時,因上述公部門單位本即為政府機關(構),故歸屬上述單位等同歸屬於國家,凡屬上述單位所有之研發成果即為國有研發成果,也會適用國有財產法;邏輯上不應出現公部門單位擁有非國有研發成果之情況,顯然衛福部成果運用辦法第30條第1項應修正第1款,將非國有研發成果上繳比率規定之適用主體排除公立學校、公立研究機關(構)。 參、結論 現行科技基本法第6條第1項與第2項,使研發成果是否適用國有財產法,會因為其歸屬而有不同。研發成果歸屬於公部門者為國有財產原則上應適用部分國有財產法,例外於特定管理運用事項始適用各該部會的成果運用辦法;而研發成果歸屬於私部門者非國有財產,無國有財產法之適用,僅適用各該部會辦法管理。在這套體制下,執行單位須注意國有研發成果仍是國有財產,仍須依國有財產法進行財產列帳、登記及財產檢查;而出現規定公立學校、公立研究機關(構)「非國有研發成果」條文之成果運用辦法, 則顯與現行科技基本法有違,反致生誤會,建議進行修正。公立學校與公立研究機關(構)在進行研發成果之管理、運用時,除依循各部會成果運用辦法外,應注意科技基本法的意旨,以避免造成被認為未依法處理之情況。 [1]科技基本法第6條第1項及第2項:「政府補助、委託、出資或公立研究機關(構)依法編列科學技術研究發展預算所進行之科學技術研究發展,應依評選或審查之方式決定對象,評選或審查應附理由。其所獲得之研究發展成果,得全部或一部歸屬於執行研究發展之單位所有或授權使用,不受國有財產法之限制。前項研究發展成果及其收入,歸屬於公立學校、公立機關(構)或公營事業者,其保管、使用、收益及處分不受國有財產法第十一條、第十三條、第十四條、第二十條、第二十五條、第二十八條、第二十九條、第三十三條、第三十五條、第三十六條、第五十六條、第五十七條、第五十八條、第六十條及第六十四條規定之限制。」 [2]未被排除而應適用的國有財產法條為:第1條到第8條總則、第9、10、12、16條之管理機構、第17條到第19條國有財產登記、第21條到第24條設定產籍、第26條有價證券保管處所、第27條之損害賠償責任、第30、31條不動產維護、第32、34條公用國有財產之使用和非公用國有財產之變更、第37條受贈財產,第38到41條非公用財產撥用、收益、第42到44、45條不動產與動產出租、第46到48條不動產與動產之利用,處分第49到55條不動產與動產標售、第59條非公用財產之估價、第61到63條財產檢查、第65到70條財產報告、第71到73條之刑責和舉報獎金、第75到77條之施行日期等。內文未提及之其它未排除適用的條文,主要是針對有體物,即動產與不動產的相關規範,和非公用國有財產之管理;而研發成果多為無體財產,即智慧財產權等,且多為公用財產,故使用這部分條文的情況較少,在此不贅述。 [3]衛福部成果運用辦法第30條第1項第1款:「執行單位因管理及運用其非國有研發成果之收入,應依下列規定辦理:一、執行單位為公、私立學校、公立研究機關(構)者,應將其研發成果收入之百分之二十繳交本部。」