日本企業陸續向開發中國家提供環保技術援助

　　消費者評論服務Angie's List於本月在印第安納州提起一項聯邦訴訟，對象是Amazon Local。Angie's List作為當地交易網站，提供高達75％的本地服務，包括產品和使用經驗。但Amazon Local員工卻通過註冊成為Angie's List的會員，以獲得其他會員名單和下載網站所提供的文件，也包括其他會員的評論和相關資訊。因此20餘名Amazon Local員工被列為共同被告。 　　該訴訟聲明中指控相關資訊被Amazon Local所使用，用以在西雅圖建立一個競爭性的服務。Angie's List在訴訟中指稱，他在會員協議“明確禁止使用Angie's List的帳戶和資料用於商業目的”，但Amazon Local員工卻違反了契約。“Amazon Local沒有投入必要的時間，資源和合法手段發展自己的研究與Angie's List競爭，相反的，Angie's List和它的員工都選擇了秘密訪問和挪用Angie's List專有信息的快捷方式。 　　Angie's List指控Amazon Local違反商業機密，竊盜，侵入電腦，民事侵權，電腦欺詐與濫用盜用行為和違反契約。Angie's List請求法院判決Amazon Local賠償其損失，並禁止Amazon Local再使用Angie's List，包括已經得到的資訊。Angie's List也請求未規定的損害賠償，“不當得利”和懲罰性的和其他損害。

美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，E.O. No. 14117），目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員，主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目，進一步授權司法部訂定規範，而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告（Advance Notice of Proposed Rulemaking，下稱ANPRM），並於公布後45日內蒐集意見，內容簡述如下： 1.受關注國家：中國（包括香港及澳門）、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。 2.受規範對象：由受關注國家所掌控之實體及具有契約關係之人或實體，或以該等國家為主要居住地之外國人等皆屬之。 3.資料類型：本次ANPRM定義了大量敏感個人資料與政府相關資料，並公布「大量」（bulk）之參考值，將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料，用以詮釋敏感個人資料；而資料涉及美國聯邦政府（含軍方）所控制之敏感位置皆屬政府相關資料。 4.禁止行為：涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為，皆被列為禁止行為，例如：透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形，但也由於適用範圍較廣，因此訂有豁免規定，例如：美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。 我國作為全球重要的高科技產業供應鏈之一員，因地緣關係與部分受關注國家進行產品製造供應或貿易往來，故可能受此行政命令之影響，ANPRM未來修訂方向值得我國持續關注其後續發展。

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。