Google就隱私權議題與美國FTC達成初步和解，消費者團體呼籲FTC採取更嚴厲的手段

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。

隨著網路蓬勃發展，個人資料之蒐集、處理及利用越來越普遍，同時也造成資料洩漏和濫用的問題日益嚴重，進而對隱私和個人資料構成侵害與威脅，為保障人民隱私和增強資料透明度，羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》（Rhode Island Data Transparency and Privacy Protection Act）。其核心內容包括以下幾個方面： 一、 適用對象：於羅德島州州內經營商業之營利組織（下簡稱企業），或主要生產製造商品、提供服務予該州居民之企業，且： 1. 在前一年度控制或處理超過三萬五千筆個人資料（personally identifiable information）者，但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料，且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務： 1. 選擇同意與退出權：前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理，行使選擇同意權（opt in）與退出權（opt out）。 2. 資料蒐集與利用透明度：要求企業蒐集個資前，須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象，並取得其同意。 3. 控制權：資料當事人有權向企業請求查詢、修改及刪除自己的資料，企業在接到請求後，必須即時處理該請求，並於45天之法定期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 4. 安全維護措施：企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施，包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估：企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄，包括： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料，且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇，或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任，並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。

　　美國最高法院日前針對Brown v. EMA & ESA（即之前的Schwartzenegger v. EMA）一案作出決定，確認加州政府於2005年制定的一項與禁止販賣暴力電玩（violent video games）有關的法律，係違反聯邦憲法第一修正案而無效。 　　該加州法律係在阿諾史瓦辛格（Arnold Alois Schwarzenegger）擔任加州州長時通過。根據該法規定，禁止販售或出租暴力電玩給未滿18歲的未成年人，且要求暴力電玩應在包裝盒上加註除現行ESRB分級標誌以外的特別標誌，故有侵害憲法第一修正案所保障的言論自由之虞。本案第一審、第二審法院均認定加州「禁止暴力電玩」法案係屬違憲。 　　而最高法院日前於6月27日以7比2的票數判決，肯定下級審的見解。最高法院認為，電玩（video games）係透過角色、對話、情節和音樂等媒體，傳達其所欲表達的概念，就如同其他呈現言論的方式（如書本、戲劇、電影），皆應受到憲法言論表達自由原則之保護。 　　因此，對同樣受到憲法保障的遊戲內容表達，只有在有重大（值得保護）的公益須維護時，才能對其加以限制；同時，限制手段亦須通過最嚴格的審查標準（stringent strict scrutiny test）。最高法院認為，本案中加州政府並無法證明有重大（值得保護）的公益存在，且以法律禁止販賣的手段也無法通過審查標準。 　　如同美國娛樂軟體協會（ESA）CEO Michael D. Gallagher所說，政府不應採取立法禁止的方式，限制遊戲內容的表達自由；反之，美國電玩產業一直以來都遵守一套自願性的分級制度（Entertainment Software Rating Board rating system），藉以提供消費者有關遊戲內容的資訊。這套分級制度已足以協助家長從包裝盒上辨認出遊戲內容，確保未成年人不接觸不適宜的遊戲。 　　判決出爐後，產業界紛紛表示這是對遊戲產業的一大勝利。本案也證明，即使面臨日新月異科技發展的挑戰，憲法所保障的言論自由表達原則，同樣適用在新興科技的表現媒介。

　　歐盟布魯塞爾會議規劃組織（QED）在2016年12月針對第四次工業革命法制議題提出討論，呼應2016年4月歐盟執委會提出之歐洲產業數位化政策，加速標準建立，並且預計調整現行法律規制，著重於資料所有權、責任、安全、防護方面等支規定，討論重點如下： 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用，雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同，其間如何調合朝向資料自由發展之方向進行 　　我國2016年7月由行政院通過「智慧機械產業推動方案」，期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行，未來，相關法制配套規範，如個人資料保護、巨量資料應用、以及標準化等議題，皆有待進一步探討之必要。