八位美國眾議員於2007年2月6日連署提出新法案,擬賦予司法部門首長更大的權限要求網路服務提供者(ISP)記錄用戶的網路活動並留存特定的用戶資訊。草案提交眾議院審議後,隱私保護機構紛紛表達反對立場。
此次由德州眾議員Lamar Smith主導的新法案「the Internet Stopping Adults Facilitating the Exploitation of Today's Youth Act of 2007(簡稱SAFETY Act)」中,ISP業者必須保留的用戶資料,最低限度需包括用戶姓名、地址、電話及IP位址;至於用戶資料的留存期間,則將交由美國司法部決定。以現況而言,多數ISP業者所保存的用戶資訊均在半年以下;然而美國司法部部長Alberto Gonzales曾於2006年9月公開倡議ISP業者資料留存期間,應以兩年為宜。
此外,草案亦要求ISP業者發現其所提供的服務存在兒童色情情事時,應主動通報主管機關,否將面臨15至30萬美元的罰金;若其有意地助長兒童色情的流傳,更可能面臨最高10年的徒刑。
批評者如「民主及科技中心」(Center for Democracy and Technology;CDT)表示,此法案不啻為對憲法修正條文第一條的威脅,毫無限制的授權更可能肇致用戶資料的留存期間成為司法首長個人得以專擅決策之事項。
美國聯邦通訊委員會(Federal Communications Commission, FCC)於2024年3月14日通過「衛星補充涵蓋(Supplemental Coverage from Space, SCS)」的監理架構,未來將增修聯邦法規電信專章(Title 47 of Code of Federal Regulation)開放600 MHz、700MHz、800 MHz、1800MHz中部分頻段及AWS H-block(1915-1920 /1995-2000 MHz),容許衛星通訊業者向地面行動通訊業者租用頻譜提供SCS服務。 SCS能讓用戶透過手機等既有的行動通訊終端接收衛星訊號,如Starlink目前正與T-mobile合作試驗,透過其第二代低軌衛星提供的手機直連(Direct to Cell)服務,能大幅延伸地面行動通訊系統的涵蓋區域。但為了最大程度防止有害干擾,FCC劃出6個獨立地理區域(Geographically Independent Area, GIA),地面行動通訊業者若要將頻譜出租予衛星通訊業者,除出租頻率需屬於SCS頻段外,還必須在一個GIA內擁有所有與出租頻率同頻的所有執照(all co-channel licenses),而衛星通訊業者僅能基於頻率租用協議,在該GIA內以次級使用的方式提供SCS服務。 雖然2023年底於杜拜落幕的世界無線通訊大會(WRC-23)才剛決議(Resolution com6/9 WRC-23)把「研究指配新頻率供衛星直接與地面行動通訊終端連接,以補充地面行動通訊的涵蓋範圍」納入WRC-27的議程項目 (Agenda Item 1.13 WRC-27),FCC就搶先開放SCS頻段,但表示會積極參與國際研究與活動,確保在國際電信聯盟(International Telecommunication Union, ITU)的無線電規則(Radio Regulation)下建立的SCS相關國際監理機制能取得重大進展,並隨著SCS市場的發展逐步開放能夠運用的頻段與應用場景,期能充分發揮衛星通訊與地面行動通訊整合的效益,互補不易涵蓋的區域並無縫銜接,達成「未來單一網路」(Single Network Future)的政策願景。
美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。 文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。 「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。 本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
美國國家標準及技術研究院公布晶片法補助申請細節及限制美國商務部(Department of Commerce, DOC)旗下國家標準及技術研究院(National Institute of Standards and Technology, NIST)於2023年2月28日發布《晶片與科學法》(CHIPS and Science Act)補助具體內容,重點如下: 一、申請時間:補助採滾動式錄取模式(rolling basis),先進製程製造補助將於2023年3月31日起開放預先申請(pre-application)與正式申請(full application);成熟製程與其他相關生產設施的製造補助,將分別於2023年5月1日及6月26日開放預先申請及正式申請。 二、補助方式與金額:補助分為直接補助(direct funding)、聯邦政府貸款(federal loans)或第三人提供貸款並由聯邦政府提供擔保(federal guarantees of third-party loans)。直接補助的金額上限預計為預估資本支出的15%。每個計畫可透過一種以上之方式獲得補助,然整體補助金額不得超出預估資本支出的35%。 三、申請流程 1.意向聲明(statement of interest):申請人須提供半導體製造工廠投資計畫的簡要說明,俾利NIST旗下晶片計畫辦公室(CHIPS Program Office)為未來審查進行準備。 2.預先申請:申請人提供更詳盡的計畫內容。晶片計畫辦公室將給予調整意見。 3.正式申請:依照晶片計畫辦公室給予的意見修改後,申請人應遞交完整的計畫申請書,內容必須包含投資計畫的技術與經濟可行性之分析。晶片辦公室審核完畢後,會與申請人簽訂不具約束力的初步備忘錄(non-binding Preliminary Memorandum of Terms),記載補助方式與金額。 4.盡職調查(due diligence):在經過上述程序後,晶片計畫辦公室如認為申請人合理且可能(reasonably likely)取得補助,將對申請人進行盡職調查。 5.補助發放:通過盡職調查後,DOC將開始準備發放補助。 四、補助規範與限制 1.禁止買回庫藏股(stock buybacks):受補助者不得將補助款用於買回庫藏股。 2.人力資源計畫:申請人要求的補助金額若超過1億5千萬美元,須額外說明將如何提供員工可負擔且高品質的子女托育服務。 3.建造期限:受補助者必須於DOC所決定的特定日期(target dates)前開始或完成廠房建造,否則DOC會視情況決定是否收回補助。 4.分潤:補助金額超過1億5千萬美元時,受補助者須與美國政府分享超過申請計畫中所預估之收益,但最高不超過直接補助金額的75%。 5.不得於特定國家擴產與進行研究:受補助者於10年內或與DOC合意的期間內,除特定情況下(15 U.S.C. § 4652(a)(6)(C)),不得於特定國家,如中國,進行大規模半導體製造的擴產(material expansion)、聯合研究(joint research)或技術授權(technology licensing),違反者將會被DOC收回全額補助。
Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者(Data Controller)責任2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。 在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。