美國提出「個人資料隱私暨安全法案草案」，規範聯網環境商業應用及隱私權利

　　在香港金融管理局（Hong Kong Monetary Authority, HKMA）於2016年9月推出金融科技監管沙盒（Fintech Supervisory Sandbox, FSS）滿一年後，於今年9月29日再公布2.0升級版。而香港保險業監管局（Insurance Authority, IA）同時發布保險科技沙盒（Insurtech Sandbox），證券及期貨事務監察委員會（Securities and Futures Commission, SFC）亦公告證監會監管沙盒（SFC Regulatory Sandbox），初步完備香港金融領域沙盒制度之建立。 　　於金融科技監管沙盒2.0版中，香港金融管理局為加強金融科技公司與HKMA連繫機制，將成立金融科技監管聊天室（Fintech Supervisory Chatroom），改變最初金融科技公司僅能透過銀行窗口與HKMA進行試驗商品相關聯繫，造成程序不便、資訊不流通等問題，2.0版後金融科技公司可透過HKMA隸屬之金融科技監管聊天室進行意見回饋。並且由於香港針對金融科技、保險、證券及期貨領域推出三種沙盒機制，故推出「一點通」之一站式便民服務，提供企業選擇沙盒並得以和各機關進行相互協調，此次改革將於年底作業完成。 　　而IA為促進保險科技發展，推出保險科技沙盒，對於保險公司計畫在香港推出的創新技術不確定是否符合香港法規，給予受授權保險公司在沙盒機制內進行沙盒試驗，在沙盒試驗中，主管機關得隨時對保險公司之風險控管做查核，並且消費者有隨時退出試驗並給予補償機制，IA亦可針對不符合之試驗計劃宣告中止。 　　另外，SFC開放合資格之企業提供沙盒試驗，所謂「合資格之企業」是指經由香港《證券及期貨條例》規範而設立之持照企業或新創公司，同時該公司必須使用創新科技並為投資者帶來更多優質產品服務，並受惠於香港金融服務業者。並且為保護投資者權益，除申請公司應有給予投資者退出機制與提供賠償方式外，並應揭露潛在風險。若最後申請公司證明其試驗客體可靠且符合目的，可向SFC申請走出沙盒機制，並對外營運。

　　看準消費者利用網路就其各別消費經驗進行評論的商機，不少業者紛紛提供專門作為消費評論的網路平台服務，例如美國最大評論網站yelp以及臺灣的「愛評網」等評論網站。然而，消費者若在網路上就其消費經驗對特定商家發表負面評論，難免對於商家的商譽或營業表現造成影響，因此部分商家試圖利用各種手段避免消費者於熱門評論網站中發表負面評論。最常見的手段為商家藉由其與消費者間的契約中加入「禁止負面評論約款」（Nondisparagement Clause），向發表負面評論的消費者或經營評價網站的業者主張其契約上的權利，但該作法也導致消費者與商家間的法律層出不窮。 　　較為人所知的爭議案例為，一間位於紐約市的酒店因至該酒店參加婚宴的顧客於Yelp等評論網站上留下諸多負面評價，該酒店即依據契約向使用場地舉辦婚宴的新婚夫妻， 以每一則負面評價500美元為計，收取一筆高額的賠償金。另有較特別的案例為，紐約市有一名牙醫師於其與診所病患間的契約中明訂授權約款，將任何病患可能於就診後作成的負面評價，以著作權授權的方式授予該名牙醫師，而該名牙醫師復以被授權人的身分，依據該契約向Yelp等消費評價網站主張刪除網站上針對其所營診所的相關負面評價。 　　因應愈來愈多的商家藉各種手段試圖限制消費者在熱門評價網站上發表負面的消費經驗或評論，加州議院於2014年9月正式表決通過並由該州州長簽署，於民法中增訂第1670.8條（California Civil Code §1670.8）之規定，使消費者發表消費評論之自由能夠受到更完整的保障。依據該法之規定，消費者有權對其所消費商品或服務的出賣人、出租人或其受僱人與代理人發表陳述（statement）；若任何契約禁止或限制消費者發表與其消費經驗相關評論之權利，則該契約應屬無效。總檢察長(Attorney General)以下的檢察官或個案消費者可透過民事程序向違反該法律規定者起訴，法院最高可以將行為人處以初犯2500元美金以及累犯每次5000美元的罰款。 　　馬里蘭州議會亦於2016年2月表決通過於該州《商業法》（Commercial Law）中增訂14.1325條（MD. Comm. Law gcl. §14.1325），該州法規定與上述加州州法同樣保障消費者對其消費經驗加以評論之權利，且違反該法的行為人除了將負擔1000美元及累犯每次5000元美金的罰款之外，若構成輕罪(misdemeanor)則可能被處以一年以下的拘禁，且得併科1000美元罰金。 　　除了上述二州對保障消費者消費評論的法制加以強化之外，美國國會也正在進行相關的立法工作。聯邦參議院於2015年12月表決通過《2015年消費者評論自由法》（Consumer Review Act of 2015），該法案（H.R.2110, 114th Cong. (2015-2016)）目前於聯邦眾議院的「工商業與貿易委員會」（Subcommittee on Commerce, Manufacturing, and Trade）中待審。該部聯邦法除了將使任何禁止或限制消費者以任何方法評論商品或服務的契約效力歸於無效之外，更禁止商家與消費者約定移轉任何關於消費經驗評論的智慧財產權。

　　歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則（GDPR）第22條規定發布「自動化個人決策和分析指引」（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，2018年2月6日進一步修正，下稱指引），處理對個人資料自動化決策（automated decision-making）和個人檔案剖析（Profiling）的建立。 　　指引分為五個部分與最佳實踐建議，旨在幫助資料控制者（controller）合乎GDPR對個人資料自動化決策和分析的要求，內容包括下幾點：1.定義自動化決策和分析，以及GDPR對這些概念的處理方法；2.對GDPR第22條中關於自動化決策的具體規定；3.對自動決策和分析的一般規定；4.兒童和個人檔案剖析（Profiling）的建立；5.資料保護影響評估。 　　指引的主要內容包括： 　　個人檔案剖析（Profiling），意謂收集關於個人（或一群個人）的資料，並分析他們的特徵或行為模式，加以分類或分群，放入特定的類別或組中，和/或進行預測或評估（例如，他們執行任務的能力，興趣或可能的行為）。 　　禁止對個人資料完全自動化決策，包括有法律上法或相類重大影響的檔案剖析，但規則也有例外。應有措施保障資料主體的權利，自由和合法利益。 　　GDPR第22條第二項a之例外規定，（履行契約所必需的），自動化個人決策時，應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性，同時考慮是否可以採取侵害隱私較少之方法。 　　工作小組澄清，關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時，控制者應以簡單的方法，告訴資料主體其背後的理由或依據的標準，而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。 　　對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料，其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如，在信用評等的情況下，應有權知道其資料處理的基礎，資料主體並能對其作出正確與否的決定，而不僅僅是關於決策本身的資料。 　　「法律效果」是指對某人的法律權利有影響，或者影響到個人法律關係或者其契約上權利。 　　工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定，指出僅在某些情況下才有其適用（例如，保護兒童的福利）。 　　在基於自動化處理（包括分析）以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下，進行資料保護影響評估並不局限於「單獨」自動化處理/決定。

　　美國總統川普於2019年5月依據「國際緊急經濟權力法」（International Emergency Economic Powers Act, IEEPA）之授權，訂定「保護資通訊技術與服務供應鏈安全」行政命令（Executive Order on Securing the Information and Communications Technology and Services Supply Chain）。目的係為避免因具有競爭關係之外國政府或機構，利用其設計、開發或製造之資通訊技術或相關服務之資安漏洞進行資料竊取或網路攻擊等行為。 　　川普總統認為，如未能對於相關之資通訊技術、產品或服務進行管制，將有提升美國資安風險之疑慮，進而對美國之國家安全、外交政策及經濟構成威脅，故應針對具有競爭關係之外國政府或機構所提供的相關資訊與通訊技術或服務，進行下列相關之措施： 禁止美國境內之相關單位（包含合夥、協會、信託等機構、合資企業、公司、集團或其他組織）取得、進口、轉讓、安裝、交易或使用具有資安風險而由競爭關係之外國政府或機構所擁有、控制、設計、開發、製造或供應的資通訊技術或服務。 授權由商務部長訂定具有競爭關係之外國政府或機構、資通訊技術或服務及上述禁止措施之相關認定標準及程序。 商務部長應與國務卿向國會提交本命令之經常性及最終報告；而國家情報總監及國土安全部，則應持續針對美國所面臨之相關風險威脅進行定期之識別與評估，並將評估內容提交予總統。