美國「能源效率改革法案」簡介

　　美國白宮在2015年2月27日發布了「消費者隱私權法」（Consumer Privacy Bill of Rights Act）草案，目的在於擴大消費者資料的保護範圍。 該草案的重點分列如下： 透明性：受規範主體必須提供資訊主體簡潔、明顯、易懂的公告，公告內容必須提供簡潔、明瞭及即時的隱私與安全運作，包含資訊保存、揭露以及個人資料存取機制。 個人控制：受規範主體應該在合理範圍內提供機制，讓資料主體能控制其個人資料之處理，同時也規範應讓消費者撤銷個人資料使用的同意。 注重資料蒐集與合理使用：受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時，在資料蒐集之特定目的完成後的合理時間內，必須針對所蒐集的個人資料進行刪除或是去識別化。 安全性的維護：為了維護個人資料之安全性，以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露，公司機構必須進行安全風險評估，並且採取合理的資訊安全防護措施。 存取與正確性：受規範的公司機構必須提供資訊主體合理的存取權利，同時也應該採取合理的步驟，來維護資料的正確性。 擔負隱私維護的責任：受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。 不受本草案規範之公司機構： 25名員工以下的小型公司，且其處理者僅限於員工與求職者之個人資料。 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼，並符合以下要件之一者： 在12個月內蒐集個人資料筆數在10,000筆下； 5名員工以下。 　　除了要求產業發展處理消費者資料的標準或規則，該草案也要求「聯邦貿易委員會」（Federal Trade Commission, FTC）確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定，包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」，將會面臨FTC或是州檢察長所發起的法律行動。 　　該草案引起了產業界極大的反彈，隱私團體也批評該草案太過寬鬆，留給產業界太多自由空間，同時目前國會由共和黨所主導，因此後續立法工作的進行將會面臨極大的挑戰。

　　2020年6月、9月及11月，印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）分別發布三項公告，內容為封鎖數款具資安風險之應用程式，並直接列出名單，總數一共高達220款。三項公告分別如下： 政府封鎖59款有害印度主權之完整性、防禦力、國家安全及公共利益的手機應用程式（Government Bans 59 mobile apps which are prejudicial to sovereignty and integrity of India, defence of India, security of state and public order）。 政府封鎖118款有害印度主權之完整性、防禦力、國家安全和公共利益的手機應用程式（Government Blocks 118 Mobile Apps Which are Prejudicial to Sovereignty and Integrity of India, Defence of India, Security of State and Public Order）。 政府禁止國內使用者使用43款手機應用程式（Government of India blocks 43 mobile apps from accessing by users in India）。 　　三項公告皆指出依照資訊技術法（Information Technology Act 2000）第69A條之規定，中央政府為保護印度主權之完整性、國家安全、公共利益而有必要，得透過命令封鎖、監視或解密由特定電腦資源（computer resource）產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款，電腦資源係指電腦設備、電腦網路、軟體或應用程式。 　　電子及資訊科技部進一步表示，經民眾檢舉後調查發現，在手機Android及iOS系統之應用程式商店中，有許多應用程式未經使用者授權就存取其重要資料，並傳輸到印度境外的伺服器，不僅對印度人民隱私造成威脅，更損害印度國家安全與公共利益。有鑑於此，電子及資訊科技部決定封鎖此類具資安風險之應用程式，將名單中所列應用程式自應用程式商店中下架，名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式，外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷（Galwan Valley）發生衝突，因此印度透過封鎖中國資通訊服務之手段以牽制對方，預計此舉將導致兩國關係更加緊張。

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　美國於2011年2月份啟動「更佳建築倡議」(Better Building Initiative)計劃，期在2020年達成降低工業和商業之能源密集度百分之二十的目標。展望2013年，美國能源部於2012年底發布該倡議之進度報告(Progress Report)。報告開宗明義指出若干有礙建築能源效率之投資障礙，擬如下: (1) 尚缺少能源效率投資成本節省之實證數據 (2) 尚缺少潛在市場和技術解決方案之相關資訊 (3) 能源效率作為商業最佳實踐尚未普遍被接受。基此，能源部致力於發展以下策略: (1) 創新產業研發 (2)促進能源效率投資 (3) 培育清潔能源之技術人員 (4) 強化聯邦公部門示範作用。 　　在創新產業研發面向，能源部成立「更佳建築聯盟」(Better Buildings Alliance)，此乃結合零售、食品、商業房地產、醫療照護、高等教育產業，預計於2013年將擴大到州和地方層級；聯盟成員將承諾設定節能目標，擇定高效率之建築科技進行採購。其次，在促進能源效率投資上，報告指出，因市場尚缺乏相關數據資訊(data information)，難就能源效率之市場價值(value)進行驗證；將建立起相關機制，作為未來融資和建築物改善的基礎。最後，在強化公部門示範作用上，透過聯邦能源管理計畫(Federal Energy Management Program, FEMP)和節能績效契約(Energy Savings Performance Contract, ESPC)，持續強化能源技術服務公司(Energy Service Companies, ESCO)進行聯邦建築物節能效益之提升和擔保。 　　綜上，可得知建築能源效率數據資訊之欠缺乃目前美國能源部在推展「更佳建築倡議」面臨的最大問題。查美國國會於2012年12月初通過「美國製造業能源技術修正法案」(American Energy Manufacturing Technical Corrections Act)，就前述聯邦能源管理計畫(FEMP)和資料蒐集標準(Data Collection)進行規範，相關法制政策趨勢殊值注意。