中華人民共和國發布「電子認證服務管理辦法」

　　Google最近因他的Android作業系統，遭到其競爭對手向歐盟競爭法主管機關檢舉違反競爭法。以FairSearch.org為代表、Nokia、Microsoft及Oracle在內的Google競爭對手指控，Google企圖利用他的Android系統作為”特落伊之馬”（Trojanisches Pferd），以獲得行動業務的獨占地位並據以控制使用者資料。這是因為Google要求智慧型手機和平板電腦的製造商若要使用一些受歡迎的Google應用程式，如Google Maps或YouTube時，必須連同一系列其他的Google應用程式，一起放在這類行動設備的桌面上明顯位置。這項要求被競爭對手認為已影響到其他App提供者，且讓Google擁有隨時透過製造商銷售出的智慧型手機，掌控大量的用戶資料的能力。 　　此外，FairSearch.org也主張，因Google以不符成本的方式推廣他的Android作業系統，此舉讓其他作業系統的提供者難以回收投資。目前Google的Android作業系統已經在智慧型手機服務市場擁有獨占地位--其市場佔有率約為70%；在平版電腦的服務市場上，Android作業系統的佔有率也在增加之中。因此，歐盟執委會應對Google這些在行動市場上的不當行為展開嚴格調查，以避免歐洲的消費者因Google濫用市場的行為而受到損害。事實上FairSearch.org已經不是第一次指控Google違反競爭法，在此之前，FairSearch.org就曾向歐盟檢舉Google的搜尋引擎業務違反歐盟競爭法，其被指控就其搜尋引擎的搜尋結果，涉嫌對自己提供的服務提供優惠的差別待遇。歐盟在2010年11月正式對此展開調查，該案調查現已近尾聲，歐盟對此的立場傾向要求Google在他的搜尋結果應清楚地說明哪些是屬於Google集團的服務以作為標示。至於最新有關Android作業系統的指控，歐盟已表明會以放大鏡檢視，但歐盟是否會正式調查或將兩案合併審理，尚不清楚，Google也還未針對有關Android作業系統的指控做出回應。

美國衛生及公共服務部（U.S. Department of Health and Human Services, HHS）民權辦公室（Office for Civil Rights, OCR）於2023年10月18日發布了兩份文件，針對遠距醫療情境下的隱私和資訊安全保護，分別給予病人及健康照護服務提供者（下稱提供者）實務運作之建議。本文主要將發布文件中針對提供者的部分綜合整理如下： 1.於開始進行遠距醫療前，提供者應向病人解釋什麼是遠距醫療及過程中所使用的通訊技術。讓病人可瞭解遠距醫療服務實際運作方式，若使用遠距醫療服務，其無須親自前往醫療院所就診（如可以透過語音通話或視訊會議預約看診、以遠端監測儀器追蹤生命徵象等）。 2.提供者應向病人說明遠距醫療隱私和安全保護受到重視的原因。並且向病人告知為避免遭遇個資事故，提供者對於通訊技術採取了哪些隱私和安全保護措施，加以保護其健康資訊（如診療記錄、預約期間所共享資訊等）。 3.提供者應向病人解釋使用通訊技術對健康資訊帶來的風險，以及可以採取哪些方法降低風險。使病人考慮安裝防毒軟體等相關方案，以防範病毒和其他惡意軟體入侵；另網路犯罪者常利用有漏洞之軟體入侵病人裝置，竊取健康資訊，因此可於軟體有最新版本時，盡快更新補強漏洞降低風險；若非於私人場所預約看診，病人則可透過調整裝置或使用即時聊天功能，避免預約資訊洩漏。 4.提供者應協助病人保護健康資訊。確保病人知悉提供者或通訊技術供應商聯絡資訊（如何時聯絡、以什麼方式聯絡等），使病人遭網路釣魚信件或其他方式詐騙時可以加以確認；也應鼓勵病人有疑慮時都可洽詢協助，包括如何使用通訊技術及已採取之隱私和安全保護措施等。 5.提供者應使病人了解通訊技術供應商所採取之隱私和安全保護措施。告知病人通訊技術供應商名稱、採取之隱私和安全保護措施，及如何得知前開措施內容；使病人了解進行遠距醫療時是否使用線上追蹤技術。 6.提供者應告知病人擁有提出隱私投訴的權益。若病人認為自身健康隱私權受到侵犯，得透過OCR網站進行投訴。

　　2019年7月25日，紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」（S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act），目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於，一旦發生與資料外洩相關的安全漏洞時，能及時進行適當的通知。同時，修改紐約州現有的資料外洩通知法，擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外，如違反通知義務，將處以最高5千美元或每次（未履行通知義務）20美元 （上限25萬美元）的民事賠償。且美國司法部長（The Attorney General） 亦得以紐約人民名義，代為起訴未實施資料安全規畫的企業，並按紐約民事執行法與規則（The Civil Practice Law And Rules）第63條進行初步救濟，依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。 　　當天州長亦簽署「身份盜用預防措施和緩解服務修正案」（A.2374/S.3582），新增資料外洩安全保護措施，要求消費者信用機構，提供受安全漏洞影響的消費者「身份盜用預防措施」（Identity Theft Prevention ）與「緩解服務」（Mitigation Services），為消費者制定長期最低度的保護手段。其要求信用機構，通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結，並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效，並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。

　　經過了一整年向各界諮詢與彙整各方意見後，美國國家衛生研究院（NIH）於今年8月底，公布其所資助之GWAS基因型與表現型數據資料庫（genotype-phenotype datasets）之分享近用方針。此方針希望在保障研究參與者的個人隱私前提下，協助科學研究社群取得相關基因數據資料。GWAS數據資料對科學有顯著的幫助，並具有龐大的潛在公共利益，然而，提供個人的基因型與表現型資料進行科學研究，涉及個人隱私與秘密之保護，故具有高度的敏感性而受到大眾關切。 　　因此，NIH在訂定這項方針時，為了搜集各方意見，首先於去年5月，宣布計畫更新GWAS的數據資料分享政策，後於去年8月公開徵詢大眾對方針之意見，次又依據所蒐集之各方意見，於去年12月針對此分享政策舉辦會議進行討論，根據這些討論所形成之共識，併同NIH內部討論之結果，最後形成此項分享政策。 　　方針中指出，如何在促進科學研究之目的，與保護相關參與人的權利間取得平衡，是相當重要的議題，故本方針分別對研究人員近用之程序、基因數據資料的處理與參與者權利之保護進行詳細規範。舉例來說，本方針要求欲近用資料庫的研究人員，提供其研究必須使用此資料庫的書面說明資料；另外也會對所有存放在資料庫的數據資料進行去個人化處理，使該項資訊無法再以技術判別，並使用隨機方法加密，以確保參與者的隱私與保密資料不遭外洩。根據NIH表示，此方針雖然僅是對GWAS數據資料庫的近用作規範，但未來亦有意將其作為近用其他類似資料庫的規範參考架構。