美國指控中國兩大電信通訊商威脅國家安全，呼籲各機關及私人企業拒絕向其購買設備及技術

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於今（2019）年4月15日發布「合適年齡設計：網路服務行為準則」（Age appropriate design: a code of practice for online services）諮詢報告，針對18歲以下孩童使用網路服務所涉及個人資料之相關議題提出遵循標準，要求網路服務提供商應受遵循以保障孩童隱私資訊。 　　本次諮詢報告主要針對網路服務如何適當確保孩童個人資料，同時符合歐盟《一般資料保護規則》（General Data Protection Regulation, GDPR）以及《隱私及電子通訊規則》（Privacy and Electronic Communications Regulations, PECR），若網路服務提供商未依循該行為準則，將很難證明符合GDPR、PECR規定，ICO亦採取監管措施（regulatory action），包含警告、譴責、執行通知、罰款等。於諮詢報告中，臚列涉及個人資料事項，包括資料共享、地理定位（geolocation）、家長監控（parental controls）、輕推技術（nudge techniques）、默認裝置（default settings）、側寫（profiling）等多達16項遵循標準，其中輕推技術引發抑制網路科技發展、過度監管爭議。 　　所謂「輕推技術」是指專為引導用戶或鼓勵用戶決策時可以點選之程式以表示用戶想法，簡而言之Facebook、Instagram按「讚」功能、社群軟體Snapchat「Streaks」互動功能，或是新聞網頁常見「是」或「不是」選擇性問題視窗等即是輕推技術應用。由於輕推技術之設計會蒐集用戶瀏覽網頁習慣，甚至透露其個人性格、生活狀態給廣告商或社群媒體等。 　　諮詢報告指出，依據GDPR前言第38點規定，因孩童對於其個人資料處理之可能風險、結果及相關保護措施及其權利認知較低，同時依GDPR第5條規定個人資料之蒐集處理與利用，對資料主體者應為合法、公正及透明（lawfulness, fairness and transparency）。但輕推技術的運用將會促使資料主體者更容易地提供其個人資料，同時，尤其會誘導兒童去選擇隱私保護較低的選項設定或花費更多時間在這些服務上，而此一技術之運用正是利用資料主體者之心理偏差(psychological bias)，而違反了公平與透明原則。因此諮詢報告書要求網路服務提供商應主動限制孩童使用輕推功能。ICO於諮詢文件更詳細依0-5歲、6-9歲、10-12歲、13-15歲、16-17歲不同年齡層限制輕推技術應用之程度，或在何種情況須有家長陪同，以保障孩童隱私。 　　此項標準引來正反兩派意見，主張自由市場（free market）人士批評，認為有過度監管之嫌並阻礙科技發展，輕推技術本身不是問題，而是在於蒐集個人資料後要做那些運用，同時要如何執行限制技術之應用亦將是問題所在。而贊成者認為廠商如提供網路服務給所有年齡層時，應有特別措施以保護不同年齡層之人，因此對於孩童與成人間之監管程度應有區別。該諮詢報告於今（2019）年5月31日截止公眾諮詢階段，並預計2020年初施行該行為準則。

　　2020年11月3日，加州於其大選中以公投方式批准通過第24號提案（Proposition 24），該提案頒布《加州隱私權法》（California Privacy Rights Act，以下簡稱CPRA）。CPRA對加州消費者隱私保護法（California Consumer Privacy Act 2018，以下簡稱CCPA）所規定之隱私權進行重要修正，改變了加州的隱私權格局。 　　CPRA賦予加州消費者新的隱私權利，並對企業施加新的義務，例如消費者將有權限制其敏感性個人資料（例如財務資料、生物特徵資料、健康狀況、精確的地理位置、電子郵件或簡訊內容及種族等）之使用與揭露；消費者有權利要求企業更正不正確的個人資料；CPRA同時修改現有的CCPA的「拒絕販售權」，擴張為「拒絕販售或共享權」，消費者有權拒絕企業針對其於網際網路上之商業活動、應用或服務而獲得的個人資料所進行之特定廣告推播。CPRA亦要求企業對各類別之個人資料，按其蒐集、處理、利用之目的範圍及個人資料揭露目的，設定預期的保留期限標準。 　　CPRA另創設「加州隱私保護局」（California Privacy Protection Agency）為隱私權執行機構，該機構具有CPRA之調查、執行和法規制定權，改變了CCPA 係由加州檢察長（California Attorney General）負責調查與執行起訴的規定，並規定加州隱私保護局應於2021年7月1日之前成立。 　　 CPRA將在2022年7月1日之前通過最終法規，且自2023年1月1日起生效，並適用於2022年1月1日起所蒐集之消費者資料，隨著CPRA的通過，預期可能促使其他州效仿加州制定更嚴格之隱私法，企業應持續關注有關CPRA之資訊，並迅速評估因應措施。

　　英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國，英國仍需要明確有效的資料保護法，而關於公投退出歐盟(Brexit)結果，ICO發言人表示：「資料保護法是屬地的，不問公投結果為何，若英國不再是歐盟的成員國，即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易，我們必須證明資料保護是充足的，亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言，遵循資料保護法律與歐盟一致性規範，既是企業組織，亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作，而且未來亦是如此。目前明確的法律保護相當重要，且考量到經濟發展，ICO會向政府提出建議，英國相關法規之改革仍屬必要。」 　　Brexit後，英國企業資料仍需傳輸至第三國，因此英國可能需爭取類似於瑞士、加拿大等，由歐盟執委會認定資料保護符合充足保護水準之模式；或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性，而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses)，或英國授權有約束力的企業自我拘束規則(Binding Corporate rules)，然而目前英國退出歐盟程序進行中，相關資料保護傳輸之法規範，仍待後續密切觀察。