挪威和瑞典簽署綠色認證協議書

　　美國CFIUS又稱為美國外資投資委員會（Committee on Foreign Investment in the United States），其依據1950年國防製造法（Defense Production Act of 1950）第721款The Exon-Florio修正案，授權組成的政府委員會。 　　美國外資投資委員會CFIUS的主要任務，在於審查外資併購交易，以防外國人透過跨國企業併購方式，控制美國企業，危及國家經濟與軍事安全並導致本國高科技技術外流。 　　美國在2007年簽署「外國投資和國家安全法」（The Foreign Investment and National Security Act of 2007，簡稱FINSA），該法案針對外國投資安全審查項目，包括加強國家安全概念、完善CFIUS審查與監督職責等。 　　近期，新的立法提案方向為「外國投資風險審查現代化法案」（the Foreign Investment Risk Review Modernization Act of 2017，簡稱FIRRMA）。此法案目標是推展CFIUS現代化改革，限制外資對美國科技公司和基礎設施的投資，以維護國家安全。該法案將帶給國會、外商投資及CFIUS的監管環境顯著改變，具體內容包括擴大CFIUS管轄權與權力、擴大對美國關鍵技術與基礎設施投資審查、增加國家安全風險考量因素等。

　　今年三月底，Google與美國聯邦貿易委員會(Federal Trade Commission, FTC)就Buzz案達成和解。2010年時FTC控告Google Buzz未確實保護消費者的個人資料，侵犯了消費者的隱私權，違反「聯邦貿易委員會法」(FTC Act)以及美國與歐盟所訂定之「安全港架構協議」(U.S.-EU Safe Harbor Framework)。FTC表示，Google搭配在其Gmail中的網路社交服務Buzz，讓Gmail使用者誤以為其可以自主決定是否加入該社群，但事實上縱使Gmail使用者選擇不加入，也無法完全移除此項服務。甚者，選擇加入Buzz的消費者，亦無法找到明確的方式，控制其分享的個人資料。FTC控告Google未取得消費者的同意，將Gmail的資料(通訊錄名單)供社交網路使用，構成目的範圍外的使用。   　　依據Google與FTC和解內容，Google必須執行一套更為嚴謹的隱私權制度，不得再有誤導消費者其個人資料開放程度的行為，並且在爾後二十年都需接受獨立機構的隱私審查。初步和解內容開放30天(至2011年5月2日 )供社會大眾提供意見，之後FTC將提出最終和解內容。迄今為止，消費者團體提出的意見，包括要求FTC限制Google持有個人資料的時間，將隱私權保護制度適用到其所有的產品，對其儲存於雲端系統的個人資料進行加密動作，以及在進行個人資料蒐集前，應彈跳出視窗取得消費者同意等   　　值得注意的是，FTC在和解案中關於隱私權政策的客體所使用的語彙為「涵蓋資料」(covered information )而非「個人資料」(personal information)，「涵蓋資料」所包含的範圍除了傳統的「個人資料」，尚包含IP位址、個人實體位址，以及通訊名單等等。   　　本案是FTC首度依職權要求業者採取更為嚴謹的隱私權保護制度以保障消費者權益，亦是FTC初次依「安全港架構協議」所採取的行動。本案對於線上服務的隱私權保護無疑是一大進展，但亦有論者擔心嚴苛的隱私權保護制度，反將造成小公司或新業者市場參進的障礙，愈發壯大Google的市場地位。   　　除此之外，Google的Buzz服務亦被消費者以集團訴訟提起告訴，最終和解金為850萬美元。   　　隨著Google成為搜尋引擎界的龍頭，其近年的一舉一動皆備受美國以及歐洲管理當局嚴密注意，今年二月份時，Google即時街景服務亦因不當蒐集個人資料而被法國裁罰14萬美元。

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。