無卡時代撼動電信市場 模糊了監理界線方興未艾的eSIM國際監理現況

一、eSIM的監理背景

2019年8月，Gartner公布其2019年的「技術成熟度曲線」(Hype Cycle)與對於通訊服務業中的無線網路基礎設施之未來展望，其中關於eSIM的預測，HypeCycle已進入曲線的幻滅低谷期 (Trough of Disillusionment)，亦即該技術或產品開始要正視其真實的運用情境與產業運作，例如在消費端要讓消費者了解eSIM的優勢與傳統SIM之差異性才能轉換、eSIM要能相容於各式各樣的設備來確保下載與啟動的狀態；在企業端要能正視eSIM對於消費者轉換電信商的便利性所造成產業上的衝擊，以及是否能比傳統SIM便宜而讓成本降低，並且要能正視其對於IoT市場的未來成長性1。

換句話說，雖然eSIM已進入到技術成熟期，但是現行eSIM在各國市場面的實際運用上，仍非普遍，例如目前的eSIM一機多號的智慧型手機，其他智慧型手機仍以使用傳統SIM卡(Nano SIM)為主；eSIM的一號多機的應用集中在穿戴式裝置，如智慧型手表。由此來看， eSIM至今在市場上尚未完全的發燒。

另一方面，各國政府機關也在留意eSIM是否單純為SIM的另一種形式，抑或是其有監理上的特殊性。傳統上的監理具有限制產業發展的意味，因此eSIM是否需要監理機關的強制介入，成為政策法制與產業的重要關注焦點。

國際的顧問機構(如Gartner、Analysys Mason)曾從IoT的監管議題上指出數項議題，其中歸納為eSIM較為專屬的為主題為「網路切換」(NetworkSwitching)、「漫遊型態」(Roaming)、「資料主權」(Data Sovereignty)等。以下即介紹各國針對這3項監理議題的監理現況。

二、eSIM的監理議題

(一)網路切換

「網路切換」係指用戶的手機／IoT裝置可從甲業者之網路切換到乙業者網路使用。其中一種常見在手機／IoT裝置上限制網路切換之方式，稱為SIM鎖定(SIM Lock)。

傳統的SIM鎖定係指手機裝置只能使用單一電信業者的通訊服務，以日本總務省於2010年公布之《解除SIM鎖定之相關指導方針》，「電信業者販售之終端設備若插入其他電信業者之SIM卡而無法使用之情形」即為SIM鎖定；反之，若手機裝置不受限制可使用多家電信業者的通訊服務，則稱為SIM無鎖定(SIMUnlock)、No SIM Lock或SIM Free等同義複詞。

SIM鎖定有兩項目的，一為政體的高壓管制；另一為限制電信產業自由化的作為，例如用戶無法自行更換SIM卡、資費綁定、門號綁定等，最主要目的是讓用戶鎖定在該業者之中無法轉移，產生「閉鎖效應」(lock-in effect)，使業者持續獲益。這個措施的發起者，可能是國家、可能是電信業與手機商，也可能是終端設備的設計限制，端看各國狀況而定。

綜觀各國的SIM鎖定狀況，大致皆往解除管制的路走。例如新加坡從1997年即推出「SIM無鎖定政策」(No SIM Lock Policy)，至今仍持續此項措施。

另如美國與日本的電信產業是長期採取手機與電信公司綑綁(Bundle)服務的指標性國家，兩國政府均在2010年間採取SIM無鎖定的措施。美國先是在2013年由白宮與聯邦通訊委員會(FCC)表示應由消費者主動切換電信業者的政策宣示後，2014年參眾議院同意通過《解除消費者選擇障礙與無線競爭法》(UnlockingConsumer Choice and Wireless Competition Act)，之後消費者有權解鎖自己所購買的手機，亦可在國外時更換其他國家的SIM使用(只要在相同通信技術規格下)2。2019年6月FCC更聲明如Verizon的手機需在60天後自動解鎖3。

日本總務省自2010年提出《解除SIM鎖定之相關指導方針》，軟性地讓電信業者與行動電話製造商同意解除SIM鎖定；2014年總務省修訂方針，明白指出2015年5月1日以後販售的新手機，在購買後180天後業者可免費進行解除SIM鎖定，此為決定電信業者須義務解決SIM鎖定。2017年總務省制定《有關行動服務的提供條件‧終端的指導方針》，放寬購買天數在100天後可免費解除SIM鎖定4。

由於eSIM在操作的時候，會受到SIM鎖定而造成無法使用的情形，因此國際上SIM無鎖定政策的逐步推展，對於eSIM的推動有加乘的效果。此外，SIM無鎖定通常不會走回頭路，既然開放後就會持續開放下去，以確保電信產業的自由化與活絡。

(二)漫遊型態

「漫遊」係指一種「行動基礎設施共享的形式，但不需要任何共用的網路元件，使用戶可在不屬於原行動業者的服務區域內使用行動服務」5，在我國過往的《行動通信業務管理規則》中係指「經營者提供其使用者於其他經營者或國外電信事業之行動通信網路內通信之服務」。

過去漫遊單指在消費端使用行動電話／行動裝置時，使用非本地行動網路服務，但隨著IoT設備日益普及，M2M通訊的連線問題成為重要課題，因而開始將漫遊區分為「限提供當地連線」(Local SIM Provisioning)與永久性漫遊(Permanent Roaming)兩種6。

「限提供當地連線」顧名思義，即用戶須使用當地電信業者之SIM卡後才能在當地使用電話或網路服務，此時通常指的是限於國境內之漫遊(National Roaming)，或是非一直開啟漫遊功能的一種措施。「永久性漫遊」則是設備隨時開啟漫遊功能，無論到其他國家／區域都能使用或取得當地行動電信業者的網路，代表性的使用案例如汽車與消費性電子產品的跨國漫遊，被認為是促進IoT流通與國際化的一種模式7，其又被稱為一種「國際漫遊」(International Roaming)。

漫遊在我國過往的《行動通信業務管理規則》第2條中係指「經營者提供其使用者於其他經營者或國外電信事業之行動通信網路內通信之服務」，亦即管制的其中一項是國際漫遊，且漫遊(尤其是指國際漫遊)是當地電信業者與國外電信業者所簽署的民間商業協議《行動寬頻業務管理規則》第63條，亦即既然為民間協議，要不要國際漫遊或永久性漫遊，均由業者端發動，尚無絕對的要求限制，而以輕度管制方式管束。

國際上對於eSIM的永久性漫遊確實爭論不已，以新加坡來說，監管機關IMDA對於人對人(Person toPerson, P2P)的eSIM電信服務並未有相關的管制，但是對於機器對機器(Machine to Machine, M2M)的設備則有限制，根據新加坡《電信設備的註冊指引》(Guide for Registration of Telecommunication Equipment) 第5.1條、第5.2條所述「僅得讓嵌有本國SIM卡的M2M設備予以註冊；若M2M設備嵌有國外的SIM卡(永久漫遊)，則不得註冊」。

以歐盟來說，原先漫遊也是沒有強制的規管，至2017才訂定《彷若國內漫遊規則》(Roam Like atHome, RLAH)之漫遊價格管制上限，讓民眾得以在歐盟境內享有在地費率，但此規定並未特別明訂人對人或機器對機器通訊之漫遊。歐洲電子通信監管機構(Bodyof European Regulators for Electronic Communications,BEREC)於2016年發布《實現物聯網》(Enabling theInternet of Things)報告表示，大約僅有五分之一的行動電信業者在M2M上制定獨立協定，因為大多數電信業者認為M2M的訊務量太小，不應用特定價格或條件來對待，而且也難以收回為IoT設備提供資料服務的主要信令(Signalling)成本，許多電信業者亦發現很難監控M2M漫遊訊務量的程度，因此電信業者在實務上普遍不想多與M2M業者達成永久性漫遊之協議8。這個產業未解的問題延續到2019年7月歐盟委員會發表的《技術發展與漫遊》(Technological developments and roaming)報告，指出不同歐盟國家和電信業者的做法不同，導致監管支離破碎，因此建議為了支援物聯網在歐洲的擴展，似乎得有更明確的規則來永久漫遊或是明確拒絕永久漫遊9。

(三)資料主權

「資料主權」係指各國政府可以利用法規與治理結構，對於在國境內產生的資料擁有蒐集和管轄權12。各國政府為了國家安全、資訊安全及人民安全，開始管制與掌握各種資料，以維資料主權，其中「資料在地化」(Data Localization)、「資料跨境傳輸」(Cross-borderData Flows / Cross-border Data Transfer / TransborderData Flow)兩者脣齒相依之議題極為重要。

資料在地化係指「政府以法令、行政手段等公權力措施，要求企業所蒐集、處理或利用的該國公民或居民相關資料，皆僅得存放於該國境內(無論是實體地理環境或資料庫伺服器)」13 資料跨境傳輸係指「對於電腦化、機器可讀式資料，採取跨國界的處理、儲存或取回等移動方式」14。兩個概念產生關係主要是政府可藉由要求業者在該國境內設立伺服器(即資料在地化)後，並限制該等資料跨境傳輸的資格及程序，提高其跨境傳輸的成本。

國際上關於資料在地化監理上最顯見的例子為中國於2017年實施之《網絡安全法》，其第37條指出：「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。」其附帶的資料跨境傳輸規定，規範在同年發布之《個人信息和重要數據出境安全評估辦法》(徵求意見稿)第2條：「網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業務需要，確需向境外提供的，應當按照本辦法進行安全評估。」

資料在地化的管制對於eSIM業者而言，最麻煩的是其若要進行eSIM的服務，必須在當地國建置完善規格的資料中心，但此資料中心僅能服務當地國，因為跨境傳輸恐怕也有違當地國法令之虞。如eSIM的著名業者Gemalto是將eSIM的資料中心設在法國土爾(Tours)，但是其在中國就必須按照法令於建置只服務當地的資料中心。

其他亦有資料在地化管制的指標性國家如韓國，規範在《有關促進雲端計算及使用者保護法》(클라우드컴퓨팅 발전및 이용자 보호에 관한 법률)，第21條揭示「雲端服務廠商應在境內設有資料中心並將個人資料在設備上進行物理性隔離，禁止未經使用者同意或法院命令向第三方傳輸資料。」

歐盟則是在《一般資料保護規則》(General DataProtection Regulation, GDPR)中規定跨境傳輸相關條文，採原則禁止、例外允許的模式。所謂的例外允許則是要求輸入國須為具備歐盟認定個人資料適足性(Adequate Level of Protection)的國家15，或是企業自主採行符合規範之適當保護措施。跨境傳輸應優先採行上述兩種例外允許之方式，於少量、偶發性之傳輸時，可採個資當事人明確同意，及其他基於公共利益等必要措施。另外由於GDPR適用於控管者或處理者在歐盟境內之分支機構所為之個人資料處理活動，不問該處理是否發生於歐盟境內，因此一般而言無須資料在地化，依然能有管轄權。除上述個人資料的規定外，歐盟又在2018年11月公布《歐盟非個人資料自由流通框架》(Framework for the free flow of nonpersonaldata in the European Union)，針對非個人資料採取解除管制，開放跨境傳輸。亦即，eSIM在歐盟境內受到GDPR與非個人資料自由流通框架管制。

除了上述管制較高的國家外，也有管制稍低的，如新加坡在資料跨境傳輸的議題上，原則上是以《個人資料保護條例》(Personal Data Protection Regulations，PDPR)為主，對於跨境傳輸個人資料採原則禁止、例外允許模式，但新加坡資通訊媒體發展局 (InfocommMedia Development Authority, IMDA) 在eSIM諮詢文件中，針對eSIM人對人通訊設備資料跨境傳輸，則允許以促進商業模式的發展，亦無資料在地化的規定；但在機器對機器通訊上，由於新加坡禁止設備永久性漫遊，並僅能使用當地的SIM，因此咸認為M2M通訊禁止跨境傳輸與資料在地。

此外，亦有關於資料在地化管制相當寬鬆的國家，如美國對於資料在地化與跨境傳輸幾乎沒有規管，僅有業者因為eSIM傳輸的表現(Performance)希望可以達到更好，而在地化設立資料中心，但與管制較無關係。

三、小結

綜覽各國的eSIM監理政策後，不是仍在觀望，等待eSIM較為突破性的一般消費應用，或是產業的大幅運用後再做後續管制；就是大部分以舊有的監理政策出發，視eSIM為SIM的改版，並不需要大幅改動，甚至最多是採分散式立法，較無專法的立法方式。

其實eSIM三項監理的議題，皆與產業的動向有密切關係，例如若政府採取SIM鎖定政策，eSIM其實猶如作繭自縛、無法運行其方便轉換業者或資費方案的訴求，對於電信產業的自由化與活絡化將產生負面影響；若政策上採取永久性漫遊，對於eSIM在M2M上的應用將有大幅度的變化；若資料採取在地化政策與對跨境傳輸有所限制，也會對於產業得因應產生若干成本而造成影響。

目前eSIM在國際的監理面上有停滯的現象，但在產業面上仍逐漸活躍，此時不妨讓子彈再飛一下，靜觀國際與國內整體趨勢的變化後，主管機關再進一步地完備監理與產業政策，更能在eSIM監理上保有最大的彈性。

(作者為財團法人電信中心技術副研究員)