中華人民共和國發布「電子認證服務管理辦法」

　　2018年7月27日印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）公告個人資料保護法草案（Protection of Personal Data Bill），若施行將成為印度首部個人資料保護專法。 　　其立法背景主要可追溯2017年8月24日印度最高法院之判決，由於印度政府立法規範名為Aadhaar之全國性身分辨識系統，能夠依法強制蒐集國民之指紋及虹膜等生物辨識，國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料，因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵，進而認為國民有資料自主權，能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害，因此認定Aadhaar專法與相關法律違憲，政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會，研擬個人資料保護法草案。 　　草案全文共112條，分為15章節。主要重點架構說明如下： 設立個資保護專責機構（Data Protection Authority of India, DPAI）：規範於草案第49至68條，隸屬於中央政府並由16名委員所組成之委員會性質，具有獨立調查權以及行政檢查權力。 對於敏感個人資料（Sensitive personal data）[1]之特別保護：草案在第4章與第5章兩章節，規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前，必須獲得資料主體者（Data principal）之明確同意（Explicit consent）。而明確同意是指，取得資料主體者同意前，應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式，以及可能對資料主體者產生之影響。 明確資料主體者之權利：規範於草案第24至28條，原則上資料主體者擁有確認與近用權（Right to confirmation and access）、更正權（Right to correction）、資料可攜權（Right to data portability）及被遺忘權（Right to be forgotten）等權利。 導入隱私保護設計（Privacy by design）概念：規範於草案第29條，資料保有者（Data fiduciary）應採取措施，確保處理個人資料所用之技術符合商業認可或認證標準，從蒐集到刪除資料過程皆應透明並保護隱私，同時所有組織管理、業務執行與設備技術等設計皆是可預測，以避免對資料主體者造成損害等。 指派（Appoint）資料保護專員（Data protection officer）：散見於草案第36條等，處理個人資料為主之機構、組織皆須指派資料保護專員，負責進行資料保護影響評估（Data Protection Impact Assessment, DPIA），洩漏通知以及監控資料處理等作業。 資料保存之限制（Data storage limitation）：規範於草案第10條與第40條等，資料保有者只能在合理期間內保存個人資料，同時應確保個人資料只能保存於本國內，即資料在地化限制。 違反草案規定處高額罰金與刑罰：規範於草案第69條以下，資料保有者若違反相關規定，依情節會處以5億至15億盧比（INR）或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義，草案第3-35條規定，包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分（transgender status）、雙性人身分（intersex status）、種族、宗教或政治信仰，以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料（health data）。

　　所謂「離崗創業」係指中國大陸允許國立的研究開發機構、大學院校科技人員於履行職責、完成本職工作的前提下，經徵得單位同意得保留職位至企業或自行創業從事研發成果運用活動之研發人員激勵措施。 　　中國大陸於2012年時首次提出「創新驅動發展戰略」之國家政策，該政策的主要涵義包括了未來的發展要靠科技創新驅動，而不是傳統的勞動力以及資源能源驅動；以及創新的目的是為了驅動發展，而不是為了發表高水準論文。 　　在實施該戰略政策之前提下，中國大陸於2016年2月發布了《實施〈中華人民共和國促進科技成果轉化法〉若干規定》，於該文件中，為激勵研發人員創新創業，開放國立研究開發機構、大學院校科技人員於履行職責、完成本職工作的前提下，經徵得單位同意得保留職位至企業或自行創業從事研發成果運用活動。該文件並要求國立研究開發機構及大學院校應建立相關規範，或與研發人員約定留職從事研發成果運用活動期之間和期滿後的權利和義務，以及規定研發人員依該規定留職者，其期間以3年為限。

　　美國聯邦第二巡迴上訴法院針對Patrick Cariou v. Richard Prince一案做出侵害著作權之合理使用判斷新見解，合理使用之目的主要為平衡著作權與美國憲法第一修正案之間的衝突，故1976年著作權法第107條中編寫有關合理使用之條文─在第106和第106A之規定外，對一受著作權保護作品的合理使用，無論是透過複製、錄音或其他任何上述規定中所提到的手段，以用作批評、評論、新聞報導、教學、學術交流或研究之目的，不屬於侵權。上訴法院認為被告Prince使用雖不符合批評、評論、新聞報導、教學、學術及研究等，卻是另有目的，可構成合理使用，更進一步指出被告的創意方法、表現形式等都與原告作品本質上不同，甚至還比原作新穎，因此，在轉化測試法則上建立了若以不同美學表達且加入挪用藝術手法的話，即使不具批判卻另有目的並加入新元素於創作，使原作改變之轉化，則構成合理使用。至於轉化測試法則確立於1994年的Campbell案，最高法院指出戲謔仿作可藉由諷刺原著作而轉化成與原著作不同的另一著作。 　　此案可謂針對合理使用於判定著作權侵害案件時，合理使用原則第一項因素成立轉化測試法則與否之新指標。著作權合理使用原則發展亦可觀察出美國有逐漸將判斷標準擴大之趨勢，而轉化測試法則之發展亦將持續追蹤之。

　　聯合國人權理事會(Human Rights Council)於2016年3月8日依據28/16號「數位時代下之隱私權」(Right to Privacy in the Digital Age)決議，設立隱私特別報告員(Special Rapporteur on Privacy, SRP)，專責調查各國隱私保護情形並每年定期向人權理事會和聯合國大會提交隱私報告(Report of the Sepcial Rapporteur on the right to privacy)。 　　2017年年度隱私報告(A/HRC/34/60)於2月24日提出，報告除延續第一年報告中所列出的五大隱私優先課題 (跨國界隱私認知、安全與監督、巨量資料與開放資料、健康資料、企業擔任資料管理者議題等)，主題聚焦於「情報蒐集」行為的監督，將政府監督行為歸類為十項： 基於使用國際化、標準化的術語和語言而有監督必要； 基於了解國家體系、體系比較之監督必要，以秘密(secretive)或公開形式進行； 促進、保護基本人權之相關措施； 保障與救濟措施(隱私特別報告員建議採國際性層次)； 責任與透明度； 為蒐集、討論實務實踐狀況； 對政府監督行為之進一步討論； 尋求與公民溝通管道； 基於放寬安全部門、執法機關秘密性監督之必要； 基於對政府監督議題之公共論壇需求。 　　期中報告對現階段政府監督行為以隱私友善(privacy-friendly)立場出發，總結後續推動方向如下： 為何民粹主義(polulism)、隱私兩議題與安全議題會產生衝突； 國家如何透過監督情報增進隱私保護； 誰有權主張隱私權，隱私權的普世性(universality)於政府監督行為具特別意義； 隱私權如何透過內國法、國際法的推動而更加落實； 透過更廣泛討論，關於監督的法律文件及相關國際法規範可期待成熟發展。