日本企業陸續向開發中國家提供環保技術援助

　　為鼓勵金融產業之創新，同時使其遵循應有之責任，並讓歐盟金融消費者與商業機構享有更多之利益，歐盟執委會於2020年10月24日提出數位金融包裹法案（Digital Finance Package），並提出以下2項數位金融立法提案： 一、加密資產立法提案（Proposal for Markets in Crypto-assets） 　　為促進金融創新並同時保有金融穩定性與保護投資人，歐盟執委會提出加密資產管制框架立法提案，並將加密資產分為已受監管與未受監管兩類，前者將持續依據既有規範進行管理。而針對尚未管制之加密資產，該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制，要求取得核准後始可提供服務。具體而言之，立法提案包含以下項目： （一）針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。 （二）針對向公開市場提供加密資產進行管制，例如，依據提案第4條，供應商應為法人，第5條則要求供應商應製作加密資產白皮書，並將其提供給主管機關後始可於公開市場提供相關服務。 （三）針對代幣資產發行人以及其加密資產之審核程序，依據提案第15條，代幣發行者必須為歐盟境內之法律實體。另外，該法要求加密資產發行人應誠實、公平且專業，並完成加密資產白皮書之出版與制定市場溝通規則。 （四）針對加密資產之收購，該法第4章亦設有相關規範，於第37條及38條規定收購之評估機制。 （五）針對加密資產服務供應商之授權與營運條件，該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。 （六）針對市場秩序維護之部分，該法於第6章規範相關預防市場濫用之禁止事項與要求，並於第7章賦予歐盟成員國各主管機關相關權力，例如第94條之監督與懲處權限。 二、歐盟數位營運韌性管制框架立法提案（Proposal for Digital Operational Resilience） 　　數位化總伴隨資安風險，歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案，以確保相關企業可應對所有與通訊技術有關之干擾與威脅，另外，銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊，另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含： （一）ICT風險管理要求：該立法提案參照相關國際標準，於第5至第14條制訂相關ICT風險管理要求，惟未要求應遵循具體國際標準。 （二）ICT相關事件報告：該提案於第15至20條規範相關報告義務，將整合歐盟金融機構之ICT相關事件報告與監測程序。 （三）數位運作韌性測試：該提案於第21至第24條要求ICT風險管理框架應定期進行測試，惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。 （四）第三方單位風險：該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測，例如，第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範，另外，ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。

　　為因應金融產業數位化及鼓勵金融業創新，並在打造歐盟金融業競爭之同時，確保消費者之保護及金融市場之穩定，歐盟執委會於2020年9月間通過「數位金融整體計畫」（Digital Finance Package），該計劃包含之項目十分廣泛，建構了歐盟未來對於數位金融市場之整體性立法框架。 　　而2022年11月甫通過之「數位營運韌性法案」 （Digital Operational Resilience Act, DORA）便是數位金融整體計畫中之一分支，該法案預計將於2025年生效。有鑑於過去歐盟會員國各自對資通安全事件行動效果有限，且國家措施之不同調導致重疊、不一致、重複之要求而產生高昂之行政和法遵成本，此情況分裂了單一市場，破壞了歐盟金融機構之穩定性和完整性，並危及消費者和投資者保護，遂有本法案之誕生。 　　本法案主要之訂定目的在於建立資通安全事件之要求標準及通報流程機制以加強銀行、保險業、投信投顧等金融業者之資通安全，使其面臨網路攻擊時，能保有韌性及恢復力，並維持正常之營運狀態。具體而言，本法案為促金融業者達成高度數位經營韌性之統一要求，遂要求金融業者採取以下手段： 　　（一）資通風險管理監控 　　（二）資通事件之報告及建立於自願基礎上之重大網路威脅通報 　　（三）向主管機關通報重大營運或支付安全有關之事件 　　（四）數位營運韌性檢測 　　（五）有關網路威脅或漏洞有關之資訊情報共享 　　（六）健全控管對第三方資通技術供應者之機制。 　　總地而論，本法案透過建立歐盟統一之資通安全事件通報原則及營運韌性檢測標準等方式加強歐盟之眾金融機構在受網路攻擊之應對能力，且將可避免過去各國間無法取得共識，金融機構於發生資通安全事件時手足無措之窘境，值得讚許，或可為我國未來借鏡採納。

　　為因應近來智慧聯網（IoT）、巨量資料及雲端運算發展趨勢，為強化線上隱私權利及促進歐盟數位經濟的發展，歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案：「保護個人有關個人資料處理及自由流通規章（一般資料保護規章）」（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)），以取代並廢除（repealed）原有「個人資料保護指令」規範，並修改（amend）「隱私與電子通訊指令」，預計在2013年6月進入歐洲議會、理事會及執委會的三方協商，若順利將在2014年通過，並在2016年生效。 　　「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應，重要規範內容有(1)追蹤（tracking）與特徵分析（profiling）：訂定第20條「特徵分析措施」（Measures based on profiling）規範條文，保障每個當事人皆有主張不被採取特徵分析措施（如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度）而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權（right to be forgotten and to erasure）：訂定第17條，創設新的權利「被遺忘及刪除權」，用以幫助民眾處理線上資料，當其不希望自己的資料被利用且無合法理由保留時，資料將被刪除(3)資料可攜權利（the right to data portability）：訂定第18條，當資料處理是以電子化方法，且使用結構性、通用的格式時，資料當事人有權利可以取得該結構性、通用格式下的個人資料，更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件：第4條第8款明定，不論何種資料處理情況時所需的同意，增列必須是明確（explicitly）同意之要件(5)「設計階段納入隱私考量」（privacy by design）、「預設隱私設定」（privacy by default）：訂定第30條，要求資料控制者及處理者應實行適當的技術性、組織性措施，並考量科技發展水準，制定特定領域及特定資料處理情況的標準及條件，並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。 　　歐盟此次對於「一般資料保護規章」(草案)的修法進程，以及世界各重要國家的立場及反應態度，均值得後續密切觀察研析。