把生物廢棄物變黃金—英國智庫建議政府應提供更多的財務協助

　　加拿大聯邦政府與亞伯達省（Alberta）及英屬哥倫比亞省（British Columbia）的隱私委員會針對一般企業，聯合推出新的個人資料保護自我評量線上工具，該線上工具之內容包括風險管理、政策、記錄管理、人力資源安全、物理安全、系統安全、網路安全、無線、資料庫安全、作業系統、電子郵件和傳真安全、資料完整性和保護、存取控制、信息系統獲取，開發和維護、事件管理、業務連續性規劃、承諾等項目之評估測驗。 　　聯合制定該線上自我評量工具的隱私委員辦公室表示，該線上工具可用於任何私人組織，特別是小型及中小型企業，而且新的線上工具是針對企業為一全面性的評估，並且該評估的內容十分鉅細靡遺。另外，為了提供使用者於使用該線上工具時的靈活性，故使用者亦可以將重點放在最切合自己的企業的部分，亦即僅選擇其中一項或數項為自我評估的內容即可。 　　又，該線上自我評量工具會將使用者的自我評估和分析過程的結果做成結論，而使用者可以獲得該分析得出之結論，並將作成之結論用來有系統地為評估組織本身的個人資料保護安全性，並藉以提高個人資料保護的安全。

印度電子資訊產業技術部（MeitY）2022年11月在網站上公布了個人資料資訊保護法草案（Digital Personal Data Protection Bill,以下簡稱該法案），並於2023年7月提交議會審查。目前印度民法不承認未成年人(未滿18歲者)具有自主簽訂契約的能力。因此，取得的兒童同意不具有法律效力，必須徵得父母或是監護人的同意才能合法蒐集兒童個人資料。 根據印度2022年個人資料資訊保護法案草案，任何未滿18歲的人都被歸類為「兒童」。該法案中同時限制專門向兒童發送的廣告，並且監管任何追蹤兒童行為的情況。目前國際隱私法(例如：歐盟通用資料保護條例 (GDPR)、加州消費者隱私法(CCPA)等)的兒童定義多在13至17歲之間。但考慮到兒童個人資訊的敏感性和潛在危害，印度政府採取了較保守嚴謹的路線。政府也已被授權制定有關處理兒童個人資訊的細則，特别是確保資料使用人不可使用可能對兒童造成傷害的個人資料。 根據社會發展狀況，兒童若每次在網路平台上進行活動時都需經過父母或是監護人同意不甚妥適，且根據前述說明，兒童界定年齡為18歲以下，若依照統一年齡範圍進行控管，實際執行上面臨窒礙難行之處。故修法者在對於該法案修改意見中，引用了其他國家隱私法中的不同年齡分類限制，以求降低年齡門檻限制，或是根據用戶的年齡制定差異化的授權要求。 另一個產生的爭議為，該如何驗證父母或是監護人的同意表示。法條中目前無明確規範何為「有效之同意表示」，現行各平台使用不同的方法獲得父母或是監護人的同意，目前有兩種方式，包括點選「同意」按鈕，或是在用戶條款中表示若使用服務等同於監護人同意。 關於兒童年齡之界定，是否將參考其他國家規範進行差異化設定，目前暫無明確定論(包括如何調整、年齡級距設定)，根據資訊使用的普及，兒童年齡的界定可以預期的將會進行調整；關於如何有效驗證父母或是監護人的同意表示，目前在技術上大多服務商都偏好透過會員註冊時的同意按鈕或是用戶條款中列明若使用服務即代表同意這兩種方式認定，在這兩種方式之後，系統是否有設定驗證機制，以及需要何種驗證方式才可以認定父母或是監護人的同意表示是符合法律效力的，都需後續再進行研擬。

　　澳洲隱私保護辦公室（Office of the Australian Information Commissioner,OAIC）在2019年11月發布的「2018-2019年度健康數位資料報告」（Annual Report of the Australian Information Commissioner’s activities in relation to digital health 2018–19），主要說明澳洲政府實施「選擇退出機制」（opt-out）後，對「我的健康紀錄系統」（My Health Record System）（下稱系統）發生的影響，以及有將近1成的國民大量選擇退出系統，造成系統的醫療健康資料統計困難之檢討。 　　OAIC認為會發生國民大量選擇退出系統的原因，主要是不信任政府對系統資料保護及不清楚系統使用功能有關，因此提出年度報告，內容如下: 一、改善民眾對醫療資料保護的不信任，例如對醫療業者，開發保護病患隱私的指導教材，防止、外洩即時處理的能力。 二、加強宣傳，例如開發線上資源、影音等，讓民眾在使用系統時能有更清楚認識，且對選擇退出有更明確的認知。 三、改進系統設計，讓民眾能更清楚的看見使用說明，也能隨時掌握在系統上的資訊、設置警報提醒來防止他人侵入、也增加取消功能使資料達到永久刪除的效果。 　　建置該系統之目的，是因為國家有蒐集與使用國民的醫療健康資料需求，國民也能使用系統查看醫療紀錄、藥物過敏紀錄、曾使用與正在使用的藥物、血液檢查等；醫療人員也能透過醫療資料之電子化，減少重複及不必要的醫療檢查、對症下藥、避免因過敏引起的反應等，將醫療資源做有效的運用。 　　系統建置是依據「我的健康紀錄法」（My Health Records Act 2012）第三章第一節註冊規定，要將國民的醫療健康資料納入系統，但不願意加入者，得選擇退出系統。而澳洲政府依據此法訂定選擇退出機制，2018年7月正式實施，要求全民強制加入系統，同時開放選擇退出機制，讓不願意加入系統的國民能選擇退出系統；選擇退出機制截止日期原先在2018年10月中旬，但在國民大量反應下，澳洲政府決定延至2019年1月底；在選擇退出機制的實施截止後，OAIC在2019年11月對選擇退出機制做出檢討報告，期望能透過檢討報告提出的建議來增強民眾對系統的信任與促進系統使用率。

　　英國於2020年1月31日正式脫歐，同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定（Free Trade Agreement, FTA）。然而，美國認定中國大陸華為的5G設備存在資安風險，可能被用於間諜活動進而威脅國家安全，故主張美英貿易合作與情報共享的前提，必須建立在英國排除使用華為5G網路基礎建設之上，對此英國嘗試透過政策研擬，在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心（National Cyber Security Centre, NCSC）於2020年1月28日，即針對使用「高風險供應商（High risk vendors簡稱HRV）」之電信網路，提出風險管理建議，說明如何因應HRV帶來的網路安全風險及挑戰（須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor，必須透過關鍵與否及風險高低兩個變動因素加以細部區分）。目前英國5G及光纖到戶（Fiber To The Home, FTTH）計畫推動處於關鍵階段，NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議，將有助於保護營運商免於外部攻擊，並降低英國電信網路的國家安全風險。 　　NCSC在報告中，針對何謂高風險供應商，及如何管理這些供應商帶來的特定安全風險，提出詳盡判斷標準包括：供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點：包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管，進而與英國法律相抵觸甚至進行外部指導等。 　　又為減少由HRV引起的網路安全風險，NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務，並將高風險廠商供應上限設定為35％，有效進行網路安全風險管理，平衡安全性風險和市場供應多樣化彈性需求。另外，其他具備敏感性的網路營運模式，例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統（BNG / BRAS）等，必須根據具體情況，對HRV進行限制；且不得在與政府營運或重要國家基礎設施，及任何與安全系統直接相關的敏感網路中使用HRV設備。目前，中國大陸華為是英國NCSC唯一認定的HRV廠商，華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制；華為亦需遵守NCSC要求，訂定風險緩解策略，確保產品及服務不致威脅英國網路即國家安全。