Like or Not！德國地方法院針對facebook「讚」按鈕功能之判決

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　美國FDA在七月間針對多家提供大眾基因檢測服務（direct-to-consumer genetic tests, DTI genetic tests）的公司發出通知函，表示將對該產業進行規管。FDA在各通知函中明白表示，其認為收信公司所提供的基因檢測服務，符合其主管之醫療器材管理法規對於體外診斷器材（in vitro diagnostics）之定義。根據美國聯邦法律，人類用醫療器材採用分級管理的概念，在上市前必須依其風險等級進行上市前通報或申請核准，以確保其分析與臨床之有效性。FDA認為，由於這些公司的基因檢測並未依法提出上市前通報或申請核准，涉有違法之嫌。 　　FDA採取此項措施，明顯是為了保護消費者，避免其受到未經臨床檢驗的檢測結果之誤導。然事實上國際間對於是否透過法令、以及如何規範大眾基因檢測服務，並無一致性看法。迄今，大眾基因檢測服務在許多國家都是在法令混沌未明的狀態下銷售，也引發了許多問題。對於FDA此一政策態度，有認為以法令方式規範此種服務，將會扼殺這個還在萌芽發展終的產業；也有認為，這算是對消費者遲來的保護。 　　大眾基因檢測服務的管理，顯示既有法令面對新興科技發展之管理窘迫性，也代表各國政府在保護消費大眾與促進新興產業發展之間，著實不易從中找到利益權衡之點，其科技管理面臨前所未有的新挑戰。

　　日本內閣府網路安全戰略本部（サイバーセキュリティ戦略本部）於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧（2020年及びその後を見据えたサイバーセキュリティの在り方（案）－サイバーセキュリティ戦略中間レビュー－），針對網路攻擊嚴重程度，訂立網路安全判斷基準（下稱本基準）草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀，為使相關機關可以做出適當之處理，進而可以迅速採取相應之行動，特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論，將於2017年年底發布相關政策。 　　本基準設置目的：為了於事故發生時，具有視覺上立即判斷標準，以有助於事故相關主體間溝通與理解，並可以做為政府在面對網路侵害時判斷之基準，成為相關事件資訊共享之體制與方法之基準。 　　本基準以侵害程度由低至高，分為第0級至第5級。第0級（無）為無侵害，乃對國民生活無影響之可能性；第1級（低）為對國民生活影響之可能性低；第2級（中）為對國民生活有影響之可能性；第3級（高）為明顯的對國民生活影響，並具高可能性；第4級（重大）為顯著的對國民生活影響，並具高可能性；第5級（危機）為對國民生活廣泛顯著的影響，並具有急迫性。除了對國民及社會影響，另外在相關系統（システム）評估上，在緊急狀況時，判斷對重要關鍵基礎設施之安全性、持續性之影響時，基準在第0級至第4級；平常時期，判斷對關鍵基礎設施之影響，只利用第0級至第3級。 　　本次報告及相關政策將陸續在一年內施行，日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作，按照統一之標準採取措施，並依據資訊系統所收集和管理之資料作出適當的監控及觀測，藉由構建之資訊共享系統，可以防止網絡攻擊造成重大的損失，並防止侵害持續蔓延及擴大，同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」，而日本以國民生活之影響程度標準列成0至5等級，其區分較為精細，且有區分平時基準及非常時期基準等，日本之相關標準可作為綱要修正時之參考。