歐洲資料保護監管機關研議提出「智慧電表系統發展準備建議」研究報告

　　因製作「星海爭霸」（StarCraft）、魔獸世界（World of Warcraft）等名作而廣受玩家喜愛的線上遊戲公司Blizzard Entertainment，於2010年7月7月對外宣布，將針對旗下遊戲的官方網路論壇（Game Forum），推動實名制度（Real ID System），引發各界議論。   　　Blizzard對外表示遊戲論壇旨在提供一個供玩家交流遊戲資訊的管道，玩家亦得透過論壇提供Blizzard改進遊戲內容的建議或發表其他意見。然而，部分使用者卻肆意透過論壇散布人身攻擊言論，或從事其他不法行為。Blizzard希望透過推動論壇實名制度，約束人們透過論壇發表攻擊性言論的現象。然而，論壇實名制度訊息公布未久，Blizzard旋即收到眾多玩家的抗議信件。為平息反彈聲浪，Blizzard共同創辦人兼執行長Mike Morhaime於7月9日於官方論壇發表聲明，宣布Blizzard將不會實施論壇實名制，為整起事件劃下句點。   　　相較於Blizzard放棄推動遊戲論壇實名制度，中國大陸文化部於2010年6月22日發布「網路遊戲管理暫行辦法」，實施「網路遊戲實名制」，自8月1日起，中國大陸線上遊戲玩家即必須使用真名及有效的身分資料進行註冊，而遊戲公司亦必須妥善保存玩家身分資料。中國大陸新法同樣引發諸多爭辯，玩家紛紛表示擔心個人資料遭到外洩；而遊戲業者也憂慮此舉將導致玩家人口大量流失。

2024年保護美國人資料免受外國對手侵害法案（Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA）於2024年6月生效。該法案為美國國家安全補充法案（H.R. 815, the National Security Supplemental）的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA，而PADFA將於簽署日後60天發生效力。 PADFA禁止資料經紀人將美國人民的敏感個資（personally identifiable sensitive data）傳輸到指定的外國對手國家，以及由這些國家控制的實體，如公司等。 PADFA所指之資料經紀人（data broker），是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式，將個人資料提供給特定實體，並收取對價者。而該法所稱之敏感個資，定義則相當廣泛，從個人日常活動資料如行事曆資訊、電子郵件，到個人醫療、財務資料皆包含在內。 目前PADFA指定之外國對手國家，是引用自美國法典第十編4872（d）（2）條（4872（d）（2）of title 10, United States Code.），包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 : 1.前述國家擁有20%以上所有權的實體。 2.主要營業據點、總部、住所位於前述國家的實體。 3.依前述國家法律建立的實體。 4.受前述國家指導、控制之人。 由於PADFA適用範圍廣泛，未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會（Federal Trade Commission）執行，該委員會將有權對違規者進行民事處罰。

　　美國參眾議院於2020年12月2日通過《外國公司問責法》（Holding Foreign Companies Accountable Act），並於12月18日由總統簽署生效。該法要求所有查核美國公開發行公司的國內外會計師事務所，應根據美國證券交易法規，向「美國上市公司會計監督委員會」（Public Company Accounting Oversight Board, PCAOB）註冊並接受監督；若是該外國公司連續三年不配合PCAOB審查，將禁止該公司的證券在任何美國證券交易所掛牌交易。 　　2002年《沙賓法案》（Sarbanes-Oxley Act）授權PCAOB制訂審計準則；然而PCAOB在外國公司監管方面面臨挑戰，截至2020年9月，中國及香港共有17家在PCAOB註冊登記的會計師事務所，為203家公開發行中國公司簽署審計報告，總市值達1.6兆美元；但中資企業援引中國大陸證券交易法、國家秘密法、檔案法及「關於加強在境外發行證券與上市相關保密和檔案管理工作的規定」，要求工作底稿等檔案應存放於中國境內，若境外監理機關（例如美國PCAOB），欲對某間中國公司進行審計，則應事先向中國證監督管理委員會和主管部門報告並經批准後由雙方合作進行，藉此規避PCAOB檢查，已不當損害美國投資人利益；故本次國會通過《外國公司問責法》參考2020年7月「總統金融市場工作小組」（The President's Working Group on Financial Markets, PWG）發布的《保護美國投資者免受中國公司重大風險報告》（Report on Protecting United States Investors from Significant Risks from Chinese Companies），要求在美國上市的中國大陸公司，由PCAOB實施獨立監管，並查閱公司主要工作記錄及審計底稿，若不遵守規定，美國證券交易委員會（United States Securities and Exchange Commission, SEC）應要求該中國大陸公司從美國證交所下市；達到保護美國投資者、降低新興市場投資風險、提高證券交易所上市標準之目標。 　　此外，若公司所聘僱的會計師事務所在外國司法管轄區域內有辦公室或分支機構，而PCAOB無法對其進行有效監管，該公司即必須證明其不受外國政府所有或控制，並在審計報告中揭露以下資訊：（1）外國政府擁有註冊發行公司的股份百分比；（2）外國政府是否享有財務控制權；（3）與中國共產黨官員相關的任何訊息；（4）發行公司章程內是否載有中國共產黨工作事項等。

　　三菱電機informationsystems公司所研發用於圖書館的系統封包MELIL/CS造成引進系統的圖書館發生個人資訊外洩與Web館藏檢索系統當機的系統障礙。從2010年7月到9月因系統障礙，總共有3間圖書館，共2971人的姓名、出生日期、住址、電話及圖書名稱等個人資料外洩。 　　有關個人資料外洩的經過，是因為三菱電機informationsystems公司在研發MELIL/CS系統時，先在引進系統的圖書館進行系統測試，於測試之後再將系統程式帶回公司修改，此時就不知情的將存有個人資料的程式帶回公司，也把這些資料登錄到產品的原始碼上。因此將進行測試的2間圖書館使用人約210人的個人資料登錄於該產品的原始碼上。 但發生個資外洩的直接原因更在於負責三菱電機informationsystems公司產品運作、維修的銷售伙伴千代田興產公司，該公司所設置的伺服器完全沒有設定權限區分，甚至不需密碼就可以連接該公司伺服器存取資料。因此發生第三人進入該公司伺服器，下載3個引進該系統圖書館約3000人的個人資料。 　　另外對於Web館藏檢索系統當機的發生，是因為圖書館使用人為了獲取圖書館新增加館藏圖書的資訊，以自動蒐集資訊程式直接存取館藏資料庫所發生。三菱電機informationsystems公司當初在設定網路連接圖書館系統，是以一次存取可以連接10分鐘的方式，所以只要以連接頻率高的機械性存取，只要超過資料庫的同時連接數的設定數值，就會發生存取障礙。 　　對於三菱電機informationsystems公司系統設計失當及千代田興產公司未設定伺服器存取權限所造成個人資料外洩事件，因為這兩家公司都是屬於財團法人日本情報處理開發協會（JIPDEC）的取得隱私標章企業，所以由JIPDEC依據隱私標章營運要領中的「有關賦予隱私標章規約」第14條規定，各處以由2011年1月起3個月的隱私標章停權處分。