軟體安全性缺失成為買賣標的

　　BS 10012:2009個人資訊管理系統近期轉版，英國標準協會已於2017年3月31日發布BS 10012:2017新版標準，此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準，新標準採用ISO/IEC附錄SL之高階架構（High Level Structure），該架構為通用於各管理系統的規範框架。 　　2017新版架構由原本的6章變為為10章，新架構如下： 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 　　新標準主要修改內容如下： 個資盤點單需增加「法規」盤點項目，且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用： （1）蒐集前須先告知當事人並取得其同意。 （2）蒐集應有必要性且最小化。 （3）兒童個資蒐集、利用須先經監護人同意。 （4）若個資利用目的為開放資料（Open data）須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權，例如：網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測，包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 　　BS 10012:2009版本將於2018年5月25日廢止，公司驗證轉版的過渡期為24個月，因此2019年3月未轉版者證書失效。

　　鑒於中國大陸製造微電子之能力，日益趨近美國；為建立美國在科技領域之領導地位，與振興全球微電子產業。以美國參議員Charles E. Schumer和Tom Bryant Cotton為首，於2020年6月提出《美國晶圓代工業法案》(American Foundries Act)。法案重點為：(1)資助發展微電子產業與研發設備；(2)創建、擴展與現代化提升微電子產業之設備，與維護國家安全之能力；(3)增加預算確保美國在微電子產業之領先地位；(4)訂定國家微電子之研發計畫；(5)建置產業諮詢委員會；(6)訂定多邊出口控制計畫；(7)禁止資金與國外競爭者相關；(8)限制計畫、承包商、分包商，和預算來源為國防部者採購國內微電子設計與代工服務。 　　該法案授權國防部長及國家安全局長基於國家安全之需求，由國防部資助微電子產業的建構、研究與發展。資助、輔助微電子產業在製造、裝備、檢測、外觀與研發上的發展，以及在採購設備和智慧財產權上的現代化。此外，美、中的競爭亦延伸至國家關鍵科技保護的面向。該法案規定倘微電子公司在敏感技術的研發，技術的許可、轉讓或投資，係中國政府或其他國際競爭者所有、受其控制或影響，美國政府將收回對該公司之資助，並禁止其參與計畫。 　　在商業製造上，亦須降低風險，包含對微電子研發的分類和出口管制，確認管理流程，以及減輕供應鏈的安全風險；且須注意在國家安全方面的要求。並為確保美國在微電子產業上的領導地位，國家經費授權國防高階研究計畫機構(the Defense Advanced Research Projects Agency)拓展電子復興計畫(the Electronics Resurgence Initiative)，發展具破壞性的微電子科技，包含發展足以支持國產微電子企業的研究量能；並由國家科學基金會(the National Science Foundation)、能源局(the Department of Energy)與國家標準技術研究所(National Institute of Standards and Technology)，負責執行微電子的科學研究與開發。

　　美國總統拜登於2022年10月簽署了《強化美國訊號情報活動行政命令》（Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities），指示美國將採取哪些步驟以落實歐盟與美國間資料隱私架構下的承諾。其目的在於解決歐盟法院（Court of Justice of the EU）在2020年7月的Schrems II判決中宣布隱私盾協議（EU-U.S. Privacy Shield framework）無效時所提出的疑慮與問題。 　　新的行政命令為美國的情報監視活動規定了某些「隱私和公民自由保護措施」，並且為非美國人制定了一種新的權利救濟管道，該行政命令主要規定了以下幾點： 　　1.規定美國的訊號情報活動應為必要的，並且符合有效的情報優先事項。 　　該行政命令規定，美國的訊號情報只有在「促進有效情報優先事項所必需」，並且「只有在與授權事項相襯的範圍與方式下」才能進行。該命令規定，基於了解或評估對美國、其盟友或夥伴的國家安全構成當前或潛在威脅的國外組織的能力、意圖或活動；防止由外國政府、外國組織或外國個人實施或代表其實施的恐怖主義、劫持人質；以及了解或評估影響全球安全的跨國威脅等目的，可以對某些合法目標進行情報偵察活動。且不得對與新聞自由、異議、思想或政治觀點的自由表達造成限制或使其立於不利地位，也不得蒐集商業訊息；這些訊息的蒐集僅限用於美國、其盟友或夥伴的國家安全。 　　2.規定訊號情報活動蒐集到的個人資料之處理方式。 　　針對通過訊號情報活動所蒐集的個人資料，美國情報系統在處理資料的每個環節必須建立制度和相關程序，以盡量減少個人資料的傳輸和保存環節。且只有在適用法規允許蒐集、保留美國人特定類型的資訊之情況下，才能夠保留非美國人的該類型訊息，不得因被蒐集資料的對象並非美國人而有所差異。並要求資訊處理的單位人員保持適當的培訓，以確保相關人員能夠理解規範的要求。 　　3.規定非美國人的權利救濟程序，以審查美國情報界的訊號情報活動。 　　在此行政命令頒布後60天內，國家情報總監（DNI）在與美國司法部和情報界各部門協商後，針對非美國人「藉由相應國家機構所移轉符合資格之投訴」建立處理程序。而美國的司法部長可以與國務卿、商務部長和DNI進行協商，將一個國家或是經濟區域、組織指定為符合資格的國家或是國際群體，其人民可以進行權利救濟。DNI的公民自由保護辦公室（Civil Liberties Protection Officer, CLPO）將對這些非美國人的申訴進行審查，並於必要時進行適當的補救措施，包含刪除未經合法授權獲得的資料，或是將合法蒐集資料的訪問權限限制於經過適當培訓的人員。 　　4.建立資料保護審查法院，以審查CLPO對於合格申訴的判定結果。 　　新成立的資料保護審查法院應任命針對資料隱私和國家安全法領域具備適當經驗的法律從業人員來擔任法官。投訴人可於CLPO做出決定後，向該法院申請審查CLPO的決定。

　　美國衛生及公共服務部（U.S. Department of Health and Human Services, HHS）依21世紀醫療法（21st Century Cures Act）於2018年11月28日公布由國家健康資訊技術協調辦公室（Office of the National Coordinator for Health Information Technology, ONC）與美國聯邦醫療保險和補助服務中心（Centers for Medicare & Medicaid Services, CMS）共同起草的「減輕使用健康資訊科技及電子健康紀錄所造成的管制與行政負擔之策略（Strategy on Reducing Regulatory and Administrative Burden Relating to the Use of Health IT and EHRs）」草案，以緩解健康資訊科技（Health Information Technology）於臨床使用的負擔。 　　雖然資通訊科技的進步促進許多產業的發展，卻在醫療產業造成應用上的問題，如臨床醫師會花費更多的時間、人力成本於登載電子健康紀錄，而壓縮與患者溝通的時間。為改善這些問題，此草案針對臨床紀錄建檔（Clinical Documentation）、健康資訊科技的可用性與使用者經驗（Health IT Usability and the User Experience）、電子健康紀錄報告（EHR Reporting）、及公共衛生報告（Public Health Reporting）四大議題提出相對應的策略及建議採用的措施。並以三個主要方向為討論主軸：降低臨床醫師紀錄患者健康資訊所耗費的人力時間成本、降低臨床醫師、醫院與健康照護機構（health care organizations）為達到報告規範標準而耗費的人力時間成本、及促進電子健康紀錄在使用上的功能性與直覺性（functionality and intuitiveness），以期能促進醫病溝通，並進一步完善健康照護環境。此草案在2019年1月28日前開放公眾提出建議，並預計於2019年年底公布最終版本。