本文為「經濟部產業技術司科技專案成果」
由美國共和黨所倡議的法案「Internet Stopping Adults Facilitating the Exploitation of Today's Youth Act of 2009」(S. 436,H.R. 1076),於今年2月13日交由參、眾兩院進行審議;鑒於網路色情危害青少年之問題相當嚴重,該法案訂定了加重色情犯罪刑度及其他數項保護措施,旨在減少網路色情對於兒童的危害。但其中一項措施要求電子通訊服務者、遠端電腦服務提供者,對於隨機配置之暫時性網路位置等相關可識別用戶身份的紀錄及資料,應保存至少兩年,引發業者及隱私權保護團體極大的反彈聲浪。 業者反彈的原因在於依據18 U.S.C §2510對於「電子通訊服務」(electronic communication service)之定義,係指「提供使用者接收、傳送有線或電子通訊的服務」,幾乎囊括所有類型的資通訊服務提供者;倘若法案通過,則如AT&T、Verizon電信業者、Comcast有線電視營運商、網路電話業者、提供Wi-Fi接取點服務者、及動態主機隨機配置IP位置之服務提供者等,未來皆須依規定負有保存記錄至少兩年的義務,將導致其儲存設備之成本大增。 此外,保衛隱私權團體大力抨擊此種無差別強制保存用戶特定紀錄的作法,形成潛在傷害隱私權的危機,若是保管不當而造成資料外洩、或資料遭不當使用,其受害規模將難以估算。由於業者及民間反彈聲浪相當大,參、眾兩院是否通過此法案,或做出若干調整,仍待後續觀察。
中國發布《個人信息保護合規審計辦法》,明確企業個資審計責任中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》(下稱《辦法》)及其配套指引,自2025年5月1日正式實施。《辦法》及指引的發布,旨在落實《個人信息保護法》中的稽核規定,完善個資合規監督架構,為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式:企業可自行或委託專業機構定期進行審計;另當主管機關發現高風險處理活動或發生重大資料外洩事件時,有權要求企業限期完成外部審計,並提交報告。針對處理規模較大的企業,《辦法》特別規定,凡處理超過1,000萬人個資的業者,須至少每兩年完成一次審計。 針對大規模蒐用個資企業,《辦法》亦強化其配合責任,對於處理超過100萬人資料的企業,須設置個資保護負責人;對大型平台服務業者,則須成立主要由外部人員主導的獨立監督機構,以確保審計客觀性。 在審計執行層面,《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求,並禁止將合規審計轉委託,防堵審計品質不一,或個資分享過程增加外洩風險。同時,也規範同一機構或審計負責人不得連續三次審計同一對象,以強化審計公正性。 《合規審計指引》進一步列出具體審查項目,包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等,協助企業全面落實個資合規審查。
法國通過新的加密貨幣監管法律2017年5月,馬克宏政府上任後,積極推動新興創新技術,以期將法國建設為新創國度。在此施政方針下,政府於2018年間提出「企業成長與轉型法案」(The PACTE draft Bill),並於2019年4月11日經法國國民議會通過,係為《企業成長與轉型法》(La loi PACTE)。 本法主要針對六大議題做改革,包含:企業成長及交接程序、擴增企業社會責任及員工參與率、資金、數位轉型及創新、行政流程簡化、提高國際競爭力。在「數位轉型及創新」部分,該法為「首次代幣發行(Initial Coin Offering, ICO)」和「數位資產服務提供者(Digital Assets Services Providers, DASP)」建立一法律框架,其主要制度內容,大抵有四: (一) ICO之選擇性憑證(Optional visa): ICO發起人在符合一定要件時,「得」向法國金融市場管理局(Autoritédesmarchésfinanciers, AMF)繳交相關資訊文件,以獲憑證;如未為之,募資仍屬合法,惟不得公開徵求資金、發起資助,僅可進行廣告活動。 再者,獲得選擇性憑證必須符合以下要件,包含: 代幣發行人在法國成立或註冊合法之法人組織; 提供的資料文件上,須載明代幣發行、籌資計畫、公司等所有相關資訊; 必須有一個系統機制,來監控和保護在銷售過程中收集的資產; 遵守反洗錢(Anti money Laundering)和恐怖份子籌資活動(terrorist financing)相關規定。 (二) 數位資產服務提供者之選擇性特許(Optional license): 數位資產服務提供者,「得」主動向AMF申請特許並受其監督;如未為之,仍屬合法,惟不得公開徵求資金、發起資助,僅可進行廣告活動。 然而,須注意的是,無論服務提供者是否申請特許,凡「向第三方提供數位資產保管服務」或「買受數位資產以換取法定貨幣」者,皆須至AMF辦理註冊事宜。 (三) 允許二種資金可投資於數位資產: 該法指出,「符合市場流通性和估價規則之專業投資基金」和「專業私募股權投資基金」可投資於數位資產。 (四) 強化AMF之監管權力: 該法賦予主管機關AMF一定之監管權力,包含: 得監督「已獲選擇性憑證之ICO」及「經選擇性特許之服務提供者」,於其未遵守法規時,施以制裁。 得公布違法ICO及服務提供者之「黑名單」。 得封鎖數位資產服務之詐欺網站。
美國白宮頒布有關於太空系統的網路安全原則《太空政策第5號指令》由於美國近年來透過太空系統進行通訊、定位導航、太空探索及國防等多方面應用,為避免太空系統受到網路威脅,白宮於2020年9月4日發布《太空政策第5號指令》(Space Policy Directive-5,SPD-5),該指令主要關注太空系統的網路安全,將現有地面使用的網路安全政策應用在太空系統中,旨在提高美國太空設施網路安全。 SPD-5指令建立以下五項太空網路安全原則,作為指導政府及民間單位提高太空系統網路安全的方法: 一、太空系統及相關軟硬體設施,應使用以風險等級為基礎的方式,進行開發運作並建構其網路安全系統。 二、太空系統營運商應制定太空系統網路安全計畫(應包含防止未經授權的存取行為、防止通訊干擾、確保地面接收系統免受網路威脅、供應鏈的風險管理等功能),以確保能掌握對太空系統的控制權。 三、監管機構應訂定規則或監管指南來實施SPD-5指令的原則。 四、太空系統的營運商及其合作對象應共同推動SPD-5指令,並盡力減少網路威脅的發生。 五、太空系統營運商在執行太空系統網路安全的保護措施時,應管理其風險承擔能力。 儘管SPD-5指令並未指示特定機構執行上開原則,但已有美國聯邦通信委員會將SPD-5之網路安全原則納入其法規中,未來SPD-5指令將有可能作為美國太空網路安全措施及法規訂定的基礎。