聯邦通訊委員會禁止無線麥克風使用700MHz頻段

　　美國科羅拉多州州長於2021年7月正式簽署《科羅拉多州隱私法》（Colorado Privacy Act, CPA）草案，科羅拉多州正式成為美國第三個制定全面性隱私專法的州，該法將於2023年7月1日施行。 　　隨著全球化及科技快速發展，以及大數據的應用趨勢，資料的蒐集、處理、利用規模及範圍逐漸擴大，全美各地隱私保護規範遍地開花，期待能促使企業在「保護個人資料」與「資料自由流通」及「資料商業運用」中取得平衡。 2018年美國加州首先制定《加州消費者隱私保護法》（California Consumer Privacy Act, CCPA）成為全美第一州級隱私保護專法後，包含華盛頓州、伊利諾州、紐約州等，也都提出各該州級隱私保護法案，而美國維吉尼亞州議會於今年2月通過《消費者資料保護法》（Consumer Data Protection Act, CDPA）法案，並在3月經由州長簽署，正式成為美國第二個擁有隱私保護專法的州，該法預計於2023年1月1日生效。 　　科羅拉多州於今年6月將CPA草案送交州長簽署後，於7月順利成為第三個通過隱私保護專法的州。一旦CPA生效，消費者除將享有近用權（right of access）、更正權（right of correct）、刪除權（right of delete）、資料可攜權（right of data portability）外；CPA規定在資料控制者對其消費者進行目標式廣告（targeted advertising）、銷售消費者個人資料，或者將對消費者決策產生重大影響時，消費者享有選擇退出權（right to opt out）。 　　整體而言，儘管 CPA 與CCPA及CDPA規範相似，在隱私保護規範上可能不是特別具有開創性，但CPA反映了美國各州強化隱私保護的趨勢與決心。舉例而言，去（2020）年不僅美國大選結果受矚目，美國各州隱私保護相關公投案，包含《加州第24號提案》、麻州《汽機車機械資料》、密西根州《電子資訊搜索票》及緬因州波特蘭市《臉部辨識禁令》也獲通過。美國在尚未具有統一聯邦隱私保護法下，透過州級隱私立法，保有各州特色並作為各州隱私保護執法依據。

　　美國總統於2019年1月14日簽署《實證決策基本法》（Foundations for Evidence-Based Policymaking Act of 2018），本法包含要求聯邦政府政策制定應以實證為依據，並規定開放政府資料法（OPEN Government data Act）相關措施，與確保機密資料安全及資料統計效率，據此做為推動政府資料開放共享與以實證為依據制定聯邦政府政策之法制基礎。 　　做為美國聯邦政府透明化政策的一環，本法最核心的部分即為開放政府資料法之相關規定，開放政府資料法的OPEN為開放（Open）、公開（Public）、電子化（Electronic）與必要（Necessary）之縮寫，象徵開放政府資料法的精神與意旨，其具體措施包含要求聯邦政府機關應盡可能公開其所蒐集之資料，依本法對資料的定義為被記錄的資訊，不論載體為何（recorded information, regardless of form or the media on which the data is recorded）。 　　而公開的資料應具備機器可讀性（machine-readable）、為或可轉換為自由檔案格式（open format）、不受除了智慧財產權保護以外之使用限制（即非國家機密或受其他法律保護的資料）以及應符合由標準制定組織所訂定之開放標準，除此之外每個機關應設置首席資料長（Chief Data Officer）負責上述資料開放事宜，以確保政府公開資料得以有效率的開放與共享。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

　　英國政府於2021年11月24日，提出產品安全及電信基礎設施法案（Product Security and Telecommunications Infrastructure Bill，PSTI法案），要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商，及經銷商符合新網路安全標準，並對未遵守規範者處以巨額罰款。 　　PSTI法案之通過將保護消費者免受資安攻擊，並使政府得以引入更加嚴格的安全標準。該法案之內容包含，禁止數位科技產品之業者使用單一且通用之預設密碼，產品之預設密碼都必須有所不同；供應商應具備漏洞揭露政策，並應向客戶公開公司正採取何種防禦作為，處理該安全漏洞；應公開相關聯繫資訊或建立聯繫平台，使安全研究人員或其他人發現產品缺陷及錯誤時，方便與其聯繫；另外，針對不符合要求之產品或服務，政府亦將有權阻止其於英國境內銷售。 　　在電信基礎設施改革方面，將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判，減少相關冗長的法律爭訟事件，例如，要求電信營運商透過訴訟外紛爭解決機制（Alternative Dispute Resolution，ADR）解決紛爭，無須訴諸法院。亦加快續約之談判流程，讓根據舊有協議安裝基礎設施之營運商，得以按照類似條款進行續約，英國政府希望透過這些措施使95%國土擁有4G網路覆蓋，至2027年大多數人口能使用5G網路。 　　PSTI法案生效後，英國政府將指定監管機構，其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰，或以其在全球之營業總額的4%作為罰款。