歐盟執委會通過下世代接取網路管制建議

　　日本內閣官房日本經濟再生總合事務局（内閣官房日本経済再生総合事務局）在2017年6月9日第10次「未來投資會議」中提出未來投資戰略2017報告（未来投資戦略2017~Society 5.0 の実現に向けた改革~），在成長的戰略成果（5）日本第四次產業革命及新經濟的展開中，分別對於機器人實用、物聯網（IOT）、大數據（BIG DATA）、人工智慧（AI）等提出成果及未來計畫。 　　機器人加速實用化：首先，機器人廣泛利用在商業設施、機場等日常生活空間，於2016年9月羽田機場設置機器人實驗室「Haneda Robotics Lab」，利用機器人改善服務並補充勞動力。有關打掃清潔、協助移動、查詢服務等17種機器人，將進行實證實驗。而路面協助行走型機器人「RT.1」已經完成，於2015年生活協助型機器人之安全性得到國際認證，其後發展之「RT.2」將使用於長期照顧層面。其次，開發農業使用之自動駕駛拖車，並提供工作實際狀況和土壤狀況之電子管理服務。今年6月開始商業化之自動駕駛顯示器，可以監控自動駕駛耕作機器進行自動耕作等。在物流管理方面，於2018年將於山間部等地區進行無人機的包裹遞送，2020年將在都會區全面無人包裹遞送。預計將與日立等相關公司，進行物流管理系統之開發及活用福島機器人測試場域。

隨著網路蓬勃發展，個人資料之蒐集、處理及利用越來越普遍，同時也造成資料洩漏和濫用的問題日益嚴重，進而對隱私和個人資料構成侵害與威脅，為保障人民隱私和增強資料透明度，羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》（Rhode Island Data Transparency and Privacy Protection Act）。其核心內容包括以下幾個方面： 一、 適用對象：於羅德島州州內經營商業之營利組織（下簡稱企業），或主要生產製造商品、提供服務予該州居民之企業，且： 1. 在前一年度控制或處理超過三萬五千筆個人資料（personally identifiable information）者，但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料，且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務： 1. 選擇同意與退出權：前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理，行使選擇同意權（opt in）與退出權（opt out）。 2. 資料蒐集與利用透明度：要求企業蒐集個資前，須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象，並取得其同意。 3. 控制權：資料當事人有權向企業請求查詢、修改及刪除自己的資料，企業在接到請求後，必須即時處理該請求，並於45天之法定期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 4. 安全維護措施：企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施，包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估：企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄，包括： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料，且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇，或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任，並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。

　　歐盟於2022年6月29日提出《2022年前瞻策略報告：新地緣政治下之綠能與數位轉型雙生》（Twinning the green and digital transitions in the new geopolitical context，以下簡稱《2022年前瞻策略報告》），促進氣候與數位的協同和一致性，以面對現今與2025年的挑戰。歐盟主席Ursula Gertrud von der Leyen曾於2019年指出，綠能與數位轉型為首要的任務；鑒於俄羅斯與烏克蘭之戰爭，歐洲正加速提升於氣候與數位之全球性領導地位，聚焦於能源、糧食、國防與尖端技術之關鍵挑戰。《2022年前瞻策略報告》提出願景與雙生轉型（twin transitions）互動的整體分析，考量新興技術的角色，和地緣政治、社會、經濟與法規的因素，以塑造雙生，相互強化，並降低戰略依賴。 　　《2022年前瞻策略報告》確立十大關鍵行動，以擴大機會並減少源於雙生的潛在風險。該關鍵行動分別為： 1、在變化的地緣政治環境，歐盟需在轉型的關鍵領域中，持續強化其彈性與開放戰略的自主權。 2、歐盟須致力於促進全球的雙生轉型。 3、歐盟須策略性的管理關鍵商品的供應鏈，以達成雙生轉型，並保持其經濟上之競爭力。 4、在轉型的過程中，歐盟須強化社會與經濟上的凝聚。 5、教育與訓練系統須能適應新的社會經濟現實。 6、額外的投資須能轉向於支持技術與基礎設施。 7、引導轉型須有穩健與可信賴的監控框架。 8、具未來性與敏捷性的歐盟立法框架，須以單一市場為核心，將有利於具持續性的商業模型與消費模式。 9、制訂標準（Setting standards）為雙生和確定歐盟朝競爭持續性發展的關鍵。 10、更強健的網路安全與資料共享框架必須對潛在的雙生技術解鎖。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。