檢視英國無線寬頻規畫方向

　　美國國家標準與技術研究院（NIST）於2020年1月16日發布「隱私框架1.0版」（NIST Privacy Framework Version 1.0），為促進資料的有效利用並兼顧對隱私權的保障，以風險管理（risk management）的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」（Framework for Improving Critical Infrastructure Cybersecurity Version 1.1）架構，包含框架核心（Core）、狀態評估（Profile）與實施層級（Implementation Tier），以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制，透過狀態評估來判斷當前與設定目標的實施層級，進而完成組織在隱私保護上的具體流程與資源配置。 　　NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架，用以促進開發者導入隱私設計思維（privacy by design），以及協助組織保護個人隱私，其目標包含透過支持產品或服務設計中的倫理決策（ethical decision-making）及最小化對隱私的侵害來建立客戶的信任；在當前與未來的產品或服務中，因應持續變化的技術與政策環境遵守對隱私的保護義務；以及促進個人、企業夥伴、稽核者（assessor）與監管者（regulator）在隱私權保護實踐上的溝通與合作。 　　本隱私框架並非法律或法規，亦不具備法律效果，而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具，企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求，掌握其產品或服務所隱含的隱私權侵害風險，並識別隱私權相關法律規範，包含加州消費者隱私法（California Consumer Privacy Act）與歐盟一般資料保護規則（General Data Protection Regulation, GDPR）等，提出更具創新性與有效性的解決方案，並有效因應AI與物聯網技術的發展趨勢。

隨著網路蓬勃發展，個人資料之蒐集、處理及利用越來越普遍，同時也造成資料洩漏和濫用的問題日益嚴重，進而對隱私和個人資料構成侵害與威脅，為保障人民隱私和增強資料透明度，羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》（Rhode Island Data Transparency and Privacy Protection Act）。其核心內容包括以下幾個方面： 一、 適用對象：於羅德島州州內經營商業之營利組織（下簡稱企業），或主要生產製造商品、提供服務予該州居民之企業，且： 1. 在前一年度控制或處理超過三萬五千筆個人資料（personally identifiable information）者，但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料，且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務： 1. 選擇同意與退出權：前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理，行使選擇同意權（opt in）與退出權（opt out）。 2. 資料蒐集與利用透明度：要求企業蒐集個資前，須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象，並取得其同意。 3. 控制權：資料當事人有權向企業請求查詢、修改及刪除自己的資料，企業在接到請求後，必須即時處理該請求，並於45天之法定期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 4. 安全維護措施：企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施，包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估：企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄，包括： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料，且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇，或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任，並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。

　　英國政府於2020年2月13日發布了《藥品和醫療器材法》（Medicines and Medical Devices Bill）草案。根據英國國民保健署（NHS）的聲明，新法草案修改以及補充了現有的英國藥品、醫療器材、臨床試驗監管框架，確保英國能夠開發具有開拓性的醫療技術。 　　本次草案的提出原因之一為英國計劃自2020年12月31日起退出歐盟，過去英國藥品與醫療器材法律乃援引歐盟相關指令與規則（例如：歐盟醫療器材法規，Medical Device Regulation, (EU) 2017/745），一旦脫歐過渡期結束，英國將無法再透過1972年《歐洲共同體法》（ECA 1972）援用歐盟的規定來規範與更新藥品、醫療器材與臨床試驗法律。 　　本次法案另有幾項新增重點： 醫療器材主管機關英國藥品和醫療產品監管署（Medicines and Healthcare Products Regulatory Agency）成為唯一有權簽發執行通知書（enforcement notices）的機關。 草案第23條明確指出哪些違反英國《2002年醫療器材法規》（Medical Devices Regulations 2002）的行為可能導致刑事犯罪。 草案第26條針對違反英國《2002年醫療器材法規》的人有新的民事制裁（civil sanctions）規範框架。例如在本法草案附表1（Schedule 1）中提及將賦予內閣大臣權力，得對違反《2002年醫療器材法規》之個人處以罰款（monetary penalty）。 草案第34條賦予內閣大臣權力向公眾分享有關醫療器材的資訊，例如受個資法保護或屬商業機密的醫療器材安全的資訊。 目前法案草案在國會二讀階段。

　　歐盟執委會（European Commission）於2020年2月19日提出「歐洲資料戰略」（the European data strategy），其將建立單一資料市場（single data market）。針對少數大型科技公司（big tech）往往透過定位、社群網路等服務，掌控全球大量資料，且嚴重阻礙由資料驅動之商業型態（data-driven business）的發展與創新，透過建立單一資料市場，開放未使用的資料，使資料可於歐盟內部及跨部門自由流動，以對抗美國大型科技公司，例如：Facebook、Google或Amazon等資料壟斷之情況，確保市場開放和公平。 　　依據文件內容，歐洲資料戰略主要目標在於，善用歐盟巨量產業資料和創新科技，建立一個公平的歐盟資料空間，鼓勵資料共享，並建議制定資料監管規則。歐盟相關措施包含公布更多地理空間、環境、氣象學等公共資料（public data）；免費提供企業街區資料；針對阻礙資料分享之規範訂定競爭法；提供新跨境資料使用和整合規範；針對製造、氣候變遷、自動產業、健康照護、金融服務、農業、能源等提供相關標準；廢除阻礙資料共享的相關規則，避免線上平臺對資料限制利用或獲利顯失公平之情況。歐盟執委會預計於2020年底提出數位服務法（Digital Services Act），提供企業於單一市場營運更清楚規則，強化數位平臺責任和保護基本權利。