美國眾議院通過專利改革法案，引發各界關注

　　日本國家網路安全中心（内閣サイバーセキュリティセンター，或稱National Information Security Center, NISC）於2020年3月2日發布「網路安全相關法令問答集」（サイバーセキュリティ関係法令Q&Aハンドブック），以回應日本內閣在2017年7月27日通過的「網路安全戰略」（サイバーセキュリティ戦略）中所提及應整理相關法制，以利企業實施網路安全措施與對策之決定。因此，內閣網路安全戰略本部（サイバーセキュリティ戦略本部）普及啟發‧人才培育專門調查會（普及啓発・人材育成専門調査会）於同年10月10日成立工作小組，針對網路安全相關法令進行推動與調查工作。 　　本問答集內容涉及13項法律議題，包括議題如下： 說明網路安全基本法（サイバーセキュリティ基本法）網路安全之定義與概要； 以公司法為核心，從經營體制觀點說明董事義務，例如建立內部控制機制，以確保系統審核與資料揭露之適當性； 以個人資料保護法為核心，例如說明個人資料的安全管理措施； 以公平交易法（不正競争防止法）為核心，說明在營業秘密的保護範圍內，利用提供特定資料與技術手段，來實施迴避行為係屬無效； 以勞動法規為核心，說明企業採取網路安全措施之組織與人為對策； 以資通訊網路、電信業者等為中心，說明IoT相關法律問題； 以契約關係為中心，說明電子簽章、資料交易、系統開發、雲端應用服務等議題； 網路安全相關證照制度，例如資訊處理安全確保支援人員； 說明其他網路安全議題，例如逆向工程、加密、訊息共享等； 說明發生網路安全相關事故之因應措施，例如數位鑑識； 說明當網路安全糾紛有涉民事訴訟時應注意之程序； 說明涉及網路安全之刑法規範； 描述日本企業在實施網路安全措施時，應注意之相關國際規範，例如歐盟一般資料保護規則（General Data Protection Regulation, GDPR）與資料在地化（Data Localization）等議題。 　　此外，隨著網路與現實空間的融合，各產業發展全球化，相關法規也日益增加，惟網路安全相關法規，在原無網路安全概念與相關法制的日本法上，卻鮮少有較為系統化的概括性彙編與解釋文件。因而盤點並釐清網路安全相關法令則成為首要任務，故研究小組著手進行調查研究，並將調查結果—「網路安全法律調查結果」（サイバーセキュリティ関係法令・ガイドライン調査結果）與「第四次關鍵基礎設施資訊安全措施行動計畫摘要表」（重要インフラの情報セキュリティ対策に係る第４次行動計画）作為本問答集之附錄文件以資參酌。最後，NISC期待透過本問答集，可作為企業實施具體網路安全對策之實務參考。

　　2016年3月法國個人資料保護主管機關「國家資訊自由委員會」（Commission Nationale de l'Informatique et des Libertés, CNIL）要求Google等搜尋引擎公司，刪除網路搜尋所出現之歐洲公民姓名。此舉參考2014年歐洲法院（European Court of Justice）對於Mario Costeja González一案（C 131/12）所作裁決，Google公司和Google西班牙公司須遵守西班牙資料保護局（Agencia Española de Protección de Datos, AEPD）要求，移除出現原告姓名之搜尋結果。Google表示不服，並上訴法國最高行政法院（Conseil d'État）。 　　於本案中Google提出兩點主張：第一，CNIL對於被遺忘權（right to be forgotten）適用範圍過大，聲稱所搜尋到之姓名等資訊，屬於事實或來自新聞報導和政府網站之合法公開網站資訊，認為CNIL將隔絕原本在法國可為其他人所知之合法資訊；第二，Google主張向來遵守各國個人資料保護政策，將遵照CNIL要求，但僅限刪除在法國網域內之歐洲公民姓名，無法及於全球網域，除非法國政策已為全歐盟或全球所適用，不然法國個人資料保護審查制度不能延伸至其他國家。 　　對於網路公民權利推廣不遺餘力之「電子前線基金會」（Electronic Frontier Foundation, EFF）認為CNIL對法國公民資料保護之特別要求，將對Google造成損害。

　　華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉，其旨趣，在於統一美國各州不同個資外洩通報法，並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 　　Pryor法案曾於2007年提出，惟當時未能通過，其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容，在要求處理及儲存消費者私人資訊，諸如「社會安全碼」〈social security numbers〉之企業，一旦發生資料外洩事件，需對國家提出通報，如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險，則應於發現個資外洩六十日內通知受影響之消費者。 　　Pryor法案之適用對象甚廣，故有認為，該法一旦通過，其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act，簡稱GLBA〉後的模範法典，其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉，但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 　　惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度，因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報，但對「損害門檻」並無明確定義。此外，受影響之企業似無實行適當風險評估之誘因，除需耗費大量成本評估外洩事件是否超過損害門檻外，尚需面臨企業名譽受損與客戶不滿之損失，在個資外洩要素風險指導原則付之闕如之情形下，企業恐無法客觀地評估自身個資外洩之風險。故有建議，解決之道，應明定損害門檻，並聘請外部專家或使用市場新工具，訂定客觀的指導原則，使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 　　就資訊安全部分，此法案揭櫫於其通過一年內，美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定，要求擁有或處理含有個人資料或契約之企業，必須建立並執行蒐集、使用、出售，及其他傳播、維持個人資訊之資訊安全政策，以達保護個人資料之目的。

　　紐約市議會於2021年11月10日通過紐約市行政法規的修正法案，未來將禁止雇主使用未通過偏見審計（bias audit）的「自動化聘僱決策工具（Automated Employment Decision Tools）」，避免因為自動化工具導致的偏見與歧視，不當反映於雇主的最終聘僱決策。 　　於該法所定義之「自動化聘僱決策工具」，係指透過機器學習、統計模型、數據分析或人工智慧之運算，以實質性協助或取代決策過程，影響最終聘僱決定。而聘僱決定包含篩選應徵者以及對員工作成是否晉升之結果。偏見審計由獨立審計員針對自動化聘僱決策工具進行測試，藉以評估該自動化聘僱決策工具對於雇主依法應申報資訊的影響，例如是否影響及如何影響員工性別、族裔、職位、職務等特徵分布情形。該法並規定雇主或職業介紹機構只有在滿足以下條件的前提下，始得使用自動化聘僱決策工具，包括： 一、通過審計義務：自動化聘僱決策工具須於1年之內通過偏見審計（bias audit）。在使用該工具前，應將該最新審計結果摘要及該工具發行日公告於雇主或職業介紹機構的網站上。除非另有規定，如未有公告，應徵者或員工得提出書面要求雇主於30日內提供自動化聘僱決策工具所收集的數據類型、來源及雇主或職業介紹機構之數據保留政策之相關資訊。 二、通知義務：如欲使用自動化聘僱決策工具對居住在紐約市的員工或應徵者進行評估時，雇主應於使用前的10個工作日內通知該員工或應徵者，且應通知用於評估時所使用之工作資格或特質等參數，並允許應徵者或員工申請以替代方式進行評估。 　　如雇主或職業介紹機構違反上開規定，第一次違反者將承擔500美元的民事懲罰（civil penalty），如連續違反者，對於之後的違反將承擔500至1500美元不等。目前該法案仍待市長簽署，該法案如經市長簽署通過，將於2023年1月1日生效。