.PHARMACY頂級域名(gTLD)防止偽藥流竄

　　馬來西亞於2010年6月即通過個人資料保護法，延宕經年，該法終於自2013年底開始正式施行，而數項配套規範亦同步施行。前個資保護部門首長Abu Hassan Ismail則被任命為新設之個資保護專員，受通訊及多媒體部部長之指揮監督。 　　從規範內容架構觀察，馬國此部個資法之範疇堪稱恢弘，不但包括了諸多的實質行為規定，例如，在行為規範的面向上，馬國個資法要求其所謂的資料使用者（data user） 必須遵守多項個資保護原則並尊重當事人權利；此外，該法亦有不少與個資保護相關之組織及程序規則，例如，該法設有行政救濟法庭，如對個資保護專員之決定有所不服者，即可在此提出救濟。惜該法之適用對象不包括公部門，且在適用情形方面，除排除了純粹因個人或家庭目的而蒐集、處理、利用個人資料外，亦針對諸多情形分別排除該法所設之不同個資保護原則之適用，且更賦予個資保護專員另行指定排除適用情形之權限，因而除將相當程度限制該法影響範圍外，並使該法之適用與發展增加許多不確定之因素。

　　於美國時間2021年11月15日，基礎建設法案（Infrastructure Investment and Jobs Act，以下稱基建法案）由美國總統拜登（Joe Biden）簽署後正式成為法律。依據白宮聲明，該法案旨在提供工作機會，改善港口與運輸以改善供應鏈，及其他關於美國基礎建設的投資等。此外該法案內容因涉及加密貨幣交易資訊申報議題，受到加密貨幣產業眾多矚目。 　　基建法案與加密貨幣產業有關者，主要是在美國國內稅收法典（Internal Revenue Code of 1986）第6050I與第6045條之既有規定中，分別將交易標的現金之定義新增數位資產（Digital Asset），及新增經紀商（Broker）之申報義務。所謂數位資產係以數位方式表彰一定價值，並透過加密保全的分散式帳本或其他類似技術所記錄之資產。經紀商認定範圍新增包括「關於任何為獲得報酬，而負責定期提供任何服務，代表他人實現數位資產轉移者」。法規生效後，任何價值超過10,000美元之交易訊息（諸如交易者姓名、社會安全號碼等資訊）應申報至美國國家稅務局（IRS），經紀商亦被要求申報其所經手交易至美國國家稅務局，新規範將適用於2023年12月31日後所應依法申報之文件。 　　區塊鏈技術去中心化的特性讓加密貨幣交易得以匿名化方式進行，然而新法一概將價值超過10,000美元的交易納入申報範圍。有論者認為，對於未建立身分驗證機制之小型平台業者、礦工以及散戶等經紀商或交易人，如何調整去匿名化之交易模式以遵循申報義務之法令，將是一大挑戰。綜上，新規範揭示政府將深化對於加密貨幣產業之監管，如何兼顧交易自由與交易秩序，將考驗著監管當局及業者之智慧。

一、立法背景 　　由於美國國家海洋暨大氣總署（National Oceanic and Atmospheric Administration，縮寫NOAA）於2018年間發布關於氣候變遷將導致經濟發展受到影響之相關報告，同時間，美國最高法院拒絕駁回2015年由21位民眾及美國Our Children’s Trust（非政府組織）對聯邦政府所提起之訴訟，主張美國政府並未循正當法律程序，即鼓勵對環境保護傷害甚鉅之石化能源開發。因此聯合國人權暨環境特別報告（UN Special Rapporteur on human rights and the environment）呼籲各國盡快針對環境變遷採取相關行動，美國國會議員Ed Markey及Alexandria Ocasio-Cortez遂基於上述情事於2019年2月7偕同提出綠色經濟草案（下稱本草案）。 二、草案簡介 　　所謂綠色經濟，是因應全球經濟危機、氣候變遷、石油資源枯竭而提出，其內容包括金融及租稅政策的重建以及再生能源的運用，初始概念於2007年由一位記者刊載於時代雜誌與紐約時報，後相關倡議人士遂依此成立非政府組織The Green New Deal Group，並於2008年廣泛發行相關刊物。 三、草案內容 　　本草案賦予政府五大義務：溫室氣體零排放、創造百萬高薪工作機會、投資基礎設施及工業、永續環境（諸如確保空氣、水質、氣候、食品之安全、韌性社區之推動）、反壓迫等，且內容上更將前開義務再行細分為14項目標計畫，並訂定10年執行期間。 　　上揭14項目標計畫的內容大致可分為五類，分別為：提升基礎設施以因應各種氣候變遷所造成之災害、將政府所需能源全數轉換為零碳排放、提升電力及能源效率、消除製造業與農業所造成之汙染與溫室氣體的排放，另外亦全面將大眾運輸設施改建為高速及零碳排放系統。 　　為達成前述14項目標，本草案一共訂定15項須政府配合之細項，方向上包括：給予社區、組織、機關、地方政府及各法人相關協助、提供適切之訓練課程及高等教育、針對新興科技之研究與開發進行投資、提高家庭所得及保障各級勞工組織工會之權利、提供全民高品質之健康照護。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。