奈米科技之前瞻性規劃－以美國推行綠色奈米為中心

　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料，故處以罰款385,000英鎊。 　　ICO調查發現Uber的諸多過失，包含系統存有一系列原可避免的數據安全漏洞，使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統，下載大約270萬筆英國客戶個人資料，例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄，如旅程詳情及支付金額。然而，受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的，Uber反而向攻擊者妥協並支付了10萬美元，以銷毀被盜取的數據。 　　ICO認為，這不僅為Uber資料安全之問題，且當時未採取任何措施通知可能受影響的人，或對其提供任何協助，已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默，亦非對於網路攻擊之適當反應，Uber未完善的數據保護措施，以及隨後的決策與行為，反將可能會加劇受害者權益的受損。 　　因此，ICO認為該事件已嚴重違反了英國1988年資料保護法（Data Protection Act 1998, DPA）第7條的原則，有可能使受影響的客戶和司機面臨更高的詐欺風險，故從嚴判處Uber高達385,000英鎊罰款。

　　美國電子隱私資訊中心(The Electronic Privacy Information Center, EPIC)向聯邦貿易委員會(Federal Trade Commission, FTC）檢舉Uber利用手機軟體"God view"追蹤並蒐集軟體用戶（乘客）位置資訊，並利用該資訊發送廣告給乘客。EPIC主張該作法為違法、詐欺的商業模式。 　　議員Al Franken對該軟體用戶服務條款也提出質疑，因該服務條款載明即使用戶終止使用，該軟體仍將繼續蒐集用戶的位置資訊，並可無限期使用用戶的個人資料。雖然Uber後續對該服務條款進行增修，但仍對外主張保有最後解釋的權利。 　　EPIC認為目前依「駕駛隱私法」(Driver's Privacy Act )的規定，除具要求提供車輛資料的法源依據，或個人同意並被告知資料將如何使用之情形，才可以蒐集該車輛資料以維護駕駛隱私，否則不得蒐集與該車輛的任何記錄與資料。然而，EPIC亦認為應立法禁止使用軟體追蹤乘客與蒐集其資料。EPIC同時也建議應制定法規限制 Google、Facebook、Whatsapp、Snapchat等公司追蹤及蒐集顧客資料。對此，Facebook僅表示會確保用戶的位置資訊不被濫用，而Google則拒絕對此發表評論。 　　另外，EPIC認為Uber蒐集用戶位置資訊，並隨著時間的推移來追蹤用戶（乘客）動向資料並進行廣告行銷，對用戶的隱私權保護並不完整，且用戶資料也有被盜取之可能，因此，EPIC希望FTC能對Uber"God view"軟體進行調查，希望促成規制用戶（乘客）資料蒐集、處理與利用的商業模式。

　　美國聯邦通信委員會（Federal Communications Commission，FCC）於2022年9月29日以4票對0票通過新的軌道碎片（太空垃圾）規則，以求解決軌道碎片碰撞的成本風險，促進低地球軌道區域經濟利用。 　　新軌道碎片規則將大幅縮短原本長達 25 年的衛星任務後處置指南，要求運行於低地球軌道區域（高度低於2,000公里）之太空載具，營運商應於其任務結束5年內進行「脫軌」處置，例如將衛星脫離軌道，使其落入地球大氣層並燃燒殆盡，或開發新的太空垃圾清理技術進行衛星回收，以降低衛星碰撞風險。且新軌道碎片規則除以美國許可發射的衛星為其適用對象外，同樣適用於欲進入美國市場之衛星系統營運商，因其向FCC之申請流程中，包含衛星任務長度及衛星脫軌時間表，故受系爭新規則拘束。 　　FCC主席Jessica Rosenworcel表示，目前太空中有數千噸的軌道碎片，為了開創新的太空時代，解決軌道碎片問題是必要的，尤其是低地球軌道區域，新的5年軌道碎片規則即是旨在透由縮短任務結束後太空載具的處置時間；FCC專員Athan Simington亦表示，美國約代表50%的國際太空經濟，新軌道碎片規則將擴展到所有尋求進入美國市場的營運商，預期可成為全球營運商默示且無法抗拒之規則。 　　考量系爭新規則將增加營運商之負擔及成本，FCC定有2年過渡期間，即2024年9月29日後發射的太空載具，方適用新的5年軌道碎片規則。

　　歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則（一般資料保護規則）」（Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR），該草案內容包括行政罰鍰三審制（three-tiered system）。凡故意或過失違反歐洲資料保護基本權之企業，情節重大者，可能招致鉅額行政罰鍰，草案之裁罰性措施將讓從業者更加重視資料保護法益。 　　是否對違反GDPR之侵權行為裁處罰鍰，會員國政府有裁量權限；已受刑事制裁者，政府亦得免除罰鍰以避免重複處罰。資料保護主管機關（data protection authorities, DPAs）依三審制判斷，確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括：第一審，是否對資料當事人之資料要求延遲、變更回應；第二審，是否對資料當事人、DPAs盡資訊透明義務；第三審，各種具體侵權行為，包括對於資料取得缺乏法律依據、未能即時告知資料違反情事，或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 　　依草案，DPAs審酌罰鍰額度時，應依下列計算罰鍰： 　　(1) 企業故意或過失未能於一定期間內，回應資料當事人之資料查閱請求者，裁處上一會計年度全球總年營業額0.5%罰鍰。 　　(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊；或未能對消費者充分揭露個人資料蒐集、處理的目的者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(3) 企業故意或過失未能維護消費者權益，更正或刪除消費者資料，違反GDPR所保障之消費者「被遺忘權」者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(4) 企業故意或過失處理個人資料，行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域，該區域沒有適當安全資料保護者，就企業上一會計年度全球總年營業額裁處2%罰鍰。 　　六月中旬，歐盟各部長將就歐洲議會、歐盟理事會的提案，就罰鍰額度進行最後協商，未來將持續關注草案協商後續發展。