德國禁種MON810爭議，行政法院裁定有理由，支持主管機關禁種決定

　　911 恐怖攻擊以來，美國持續加強國土安全保護，而為保障國家安全及科技競爭力，美國商務部（ US Department of Commerce ）原本打算制定安全管制規定， 對來自敏感國家之外國科學家， 限制其 使用部分的實驗研究設備。所謂敏感國家（ countries of concern ），包括巴基斯坦、印度、俄羅斯及中國，來自於這些國家的科學研究人員若要在美國境內的從事特定實驗研究，因而需要使用特定設施設備者（主要是可用於軍事用途者），不論研究設施設備是屬於聯邦或民間所有，在開始操作、進行安裝、維護與修繕等之前，必須先向美國政府提出申請始可近用。 　　現行美國有關技術管制規定主要係針對敏感科技的出口，商務部自 2004 年起，即打算推動修正此等規定，進一步將部分可用於軍事用途之研究設施設備予以立法管制，從美國政府所公布的管制清單來看，其涵蓋範圍甚廣，從化學、雷射到細菌培養等各領域之研究設施設備，均涵蓋在內，故商務部此項修法計畫一經公開，立即震撼外界，除學術界及產業界強烈外抨擊，就連聯邦實驗室也大表反對。反對意見多認為，預計的修正規定將會破壞大學校園中之開放精神，影響科學自由的研究環境；而研究設施設備近用之事前許可制，亦將造成學界與業界的負擔；甚至可能阻礙未來大學或業界延攬外國科技人才參與研究計畫之進行，長期而言，實將會戕害美國的國際競爭力。 　　面對各界反對聲浪，為避免降低研究型企業之生產力，美國商務部在今年 5 月底宣布取消原來的立法管制計畫，不過，商務部將會召集產學研各界專家，組成一個十二人的委員會，持續就實驗室安全管制的問題交換意見，期能獲致更有效之解決之道。

　　防制洗錢金融行動工作組織（Financial Action Task Force on Money Laundering, FATF）為因應虛擬資產（Virtual Assets）對於打擊洗錢與資恐主義措施所帶來的衝擊，協助各國建立可供遵循的一致性標準，於2018年10月修改FATF建議書（The FATF Recommendations），定義「虛擬資產」與「虛擬資產服務提供業者」（Virtual Asset Service Providers, VASPs），將其納入國際洗錢防制之範疇。 　　為使各國監管機關依據FATF相關建議，正確評估與降低虛擬資產與VASPs所可能涉及的洗錢與資恐風險，有效進行管理並建立公平競爭的虛擬資產產業體系，FATF於2019年6月21日，針對建議書中第15點－新科技所可能隱藏的洗錢隱憂，加入解釋性說明，列出FATF對於虛擬資產和VASPs的應用標準，包含建議監管機關採取註冊或許可制度，以利進行監督與審查，而非透過自律組織方式進行督導，並與他國進行國際合作。以及為防止不法份子與其同夥擁有對VASPs的控股權（controlling interest）或管理職能（management function），各國主管機關須採取必要的法律或監管措施。另監管機構應有足夠權力監督並確保VASP遵守打擊洗錢和恐怖主義融資的要求，包括進行檢查，強制公開資訊和實施金融制裁。 　　FATF同時公布「虛擬資產與虛擬資產服務商之風險基礎指引」（Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers），指導各司法管轄區如何應用風險基礎方法，針對虛擬資產相關活動與服務商，進行洗錢與資恐防制。相關主管機構在進行風險評估時，應考量特定的虛擬資產類型或VASP活動，了解其具體架構與運作在金融體系和國家經濟的作用，以及對洗錢與資恐防制的影響，將類似風險的產品或服務應用類似的監理原則處理，並針對虛擬資產的匿名性加強客戶識別機制。隨著VASP活動發展，主管機關亦應審視其他監管措施（如消費者保護、資訊安全、稅務等）與洗錢與資恐防制之間的關聯，進行短期與長期的政策擬定，以制定全面性的監管框架。 　　FATF預計於2020年6月開始啟動上述新審查機制，為期12個月，檢視各國對於前述具體要求之落實情況。以及持續與民間企業合作，共同探討虛擬資產的基礎技術、使用類型、相關業務模式。

　　歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則（GDPR）第22條規定發布「自動化個人決策和分析指引」（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，2018年2月6日進一步修正，下稱指引），處理對個人資料自動化決策（automated decision-making）和個人檔案剖析（Profiling）的建立。 　　指引分為五個部分與最佳實踐建議，旨在幫助資料控制者（controller）合乎GDPR對個人資料自動化決策和分析的要求，內容包括下幾點：1.定義自動化決策和分析，以及GDPR對這些概念的處理方法；2.對GDPR第22條中關於自動化決策的具體規定；3.對自動決策和分析的一般規定；4.兒童和個人檔案剖析（Profiling）的建立；5.資料保護影響評估。 　　指引的主要內容包括： 　　個人檔案剖析（Profiling），意謂收集關於個人（或一群個人）的資料，並分析他們的特徵或行為模式，加以分類或分群，放入特定的類別或組中，和/或進行預測或評估（例如，他們執行任務的能力，興趣或可能的行為）。 　　禁止對個人資料完全自動化決策，包括有法律上法或相類重大影響的檔案剖析，但規則也有例外。應有措施保障資料主體的權利，自由和合法利益。 　　GDPR第22條第二項a之例外規定，（履行契約所必需的），自動化個人決策時，應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性，同時考慮是否可以採取侵害隱私較少之方法。 　　工作小組澄清，關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時，控制者應以簡單的方法，告訴資料主體其背後的理由或依據的標準，而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。 　　對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料，其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如，在信用評等的情況下，應有權知道其資料處理的基礎，資料主體並能對其作出正確與否的決定，而不僅僅是關於決策本身的資料。 　　「法律效果」是指對某人的法律權利有影響，或者影響到個人法律關係或者其契約上權利。 　　工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定，指出僅在某些情況下才有其適用（例如，保護兒童的福利）。 　　在基於自動化處理（包括分析）以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下，進行資料保護影響評估並不局限於「單獨」自動化處理/決定。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。