澳洲聯邦法院判決 Kazaa軟體的業者—Sherman Networks敗訴

英國創新科技部（Department for Science, Innovation and Technology,下稱創新科技部）2025年6月7日發布消息，英國政府正在建立第一個國家數位交易所(National Digital Exchange, NDX)，並預計於2026年試行，數位交易所可協助英國各政府機關可以更快速且容易地購買合適的數位工具，並期望每年節省12億英鎊（約等於新臺幣481億元）的政府支出，並賦予公務員（使用者）可對供應商進行評分。 2025年1月25日英國政府公布「數位政府現狀審查(State of digital government review)」報告，英國政府2023年於數位技術支出超過260億英鎊（約等於新台幣10,435億元），英國有數百萬人民仰賴政府機關、醫院、學校及相關機構所提供的數位服務，另報告中指出英國二級醫療機構及地方議會仍各自辦理雲端服務、網路與設備採購，因此採購時各機關錯失了與供應商議價的能力，此外僅有28%的公部門主管表示，其所在的部門有能力追蹤並確保供應商提供的技術及服務符合其價值。 國家數位交易所係由創新科技部進行審核與管理，需求機關可自國家數位交易所購買所需之數位工具，上架之數位工具除經創新科技部審核外，亦由該部會與供應商進行全國統一的價格協商，採購方可根據其實際需求透過人工智慧與供應商進行配對，藉由國家數位交易所採購數位工具，相較於需求機關自行辦理採購流程花費數月時間，可減少至幾小時，此外國家數位交易所目標於3年內將參與政府採購的中小型企業比例提升至40%。 我國數位發展部及經濟部現行亦有針對軟體、資訊服務及數位新創產品或服務辦理共同供應契約，供全國公務機關參與訂購，除可節省我國政府機關自行辦理採購案所花費時間及人力，透過複數決標的採購方式，單一產品可以有較多的供應商供機關選擇，同時提升供應商的曝光機會，以促進我國資訊產業發展。英國新設立之國家數位交易所後續制度及未來運作方向，值得持續追蹤。

　　2018年7月27日印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）公告個人資料保護法草案（Protection of Personal Data Bill），若施行將成為印度首部個人資料保護專法。 　　其立法背景主要可追溯2017年8月24日印度最高法院之判決，由於印度政府立法規範名為Aadhaar之全國性身分辨識系統，能夠依法強制蒐集國民之指紋及虹膜等生物辨識，國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料，因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵，進而認為國民有資料自主權，能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害，因此認定Aadhaar專法與相關法律違憲，政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會，研擬個人資料保護法草案。 　　草案全文共112條，分為15章節。主要重點架構說明如下： 設立個資保護專責機構（Data Protection Authority of India, DPAI）：規範於草案第49至68條，隸屬於中央政府並由16名委員所組成之委員會性質，具有獨立調查權以及行政檢查權力。 對於敏感個人資料（Sensitive personal data）[1]之特別保護：草案在第4章與第5章兩章節，規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前，必須獲得資料主體者（Data principal）之明確同意（Explicit consent）。而明確同意是指，取得資料主體者同意前，應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式，以及可能對資料主體者產生之影響。 明確資料主體者之權利：規範於草案第24至28條，原則上資料主體者擁有確認與近用權（Right to confirmation and access）、更正權（Right to correction）、資料可攜權（Right to data portability）及被遺忘權（Right to be forgotten）等權利。 導入隱私保護設計（Privacy by design）概念：規範於草案第29條，資料保有者（Data fiduciary）應採取措施，確保處理個人資料所用之技術符合商業認可或認證標準，從蒐集到刪除資料過程皆應透明並保護隱私，同時所有組織管理、業務執行與設備技術等設計皆是可預測，以避免對資料主體者造成損害等。 指派（Appoint）資料保護專員（Data protection officer）：散見於草案第36條等，處理個人資料為主之機構、組織皆須指派資料保護專員，負責進行資料保護影響評估（Data Protection Impact Assessment, DPIA），洩漏通知以及監控資料處理等作業。 資料保存之限制（Data storage limitation）：規範於草案第10條與第40條等，資料保有者只能在合理期間內保存個人資料，同時應確保個人資料只能保存於本國內，即資料在地化限制。 違反草案規定處高額罰金與刑罰：規範於草案第69條以下，資料保有者若違反相關規定，依情節會處以5億至15億盧比（INR）或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義，草案第3-35條規定，包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分（transgender status）、雙性人身分（intersex status）、種族、宗教或政治信仰，以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料（health data）。

　　根據Ponemon Institute的調查，2011年至2012年中，英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出，若企業備有正式的事故應變計畫，每項資料侵害事故的平均成本會降低至13英磅左右。除此之外，雇用外部顧問來協助應變，資料侵害事故的平均成本也會節省4英磅。 　　依據新的資料保護法律架構，歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時，根據不同委員會的需求，未來將針對特定產業，制定新的網路與資訊安全管理規範。 　　專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險，同時也進行風險轉移的處置措施。各項事故應變計劃之中，保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外，企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家，信用監測提供者或是資料侵害事故的事務處理公司，例如：協助發送事故通知的公司。保險業建置的專家網絡，未來將可以幫助要保人，以最快最省成本的方式處理相關事故。