美國發布了「消費者隱私權法」草案

　　美國商務部工業安全局（Department of Commerce, Bureau of Industry and Security, BIS）於2020年6月15日宣布修改《出口管制規則》（Export Administration Regulations, EAR），調整美國企業和中國大陸華為公司商業往來的相關禁令，允許美國企業和華為合作制定5G標準。國際標準為技術開發的重要基礎，企業在標準制定的參與和領導力，將同步影響5G、自動駕駛、AI及其他尖端技術的未來發展；美國為鞏固全球創新領導地位，積極倡導國內產業參與標準制定成為國際標準，保護國家安全與外交政策利益。雖然華為及其關係企業在2019年5月，因存在重大國家安全風險，被美國商務部列入實體管制清單，禁止美國企業在未獲商務部許可的情況下與華為進行任何業務往來，但此項政策不應妨礙美國企業參與重要的國際標準制定活動。 　　本次《出口管制規則》補充「一般性暫行核准（Temporary General License）」附錄，允許華為及其68家關係企業在參與國際標準化組織與5G標準制定等特殊情形下，得依據美國行政管理和預算局（Office of Management and Budget, OMB）A-119號通知所制定之標準，取得《出口管制規則》中涉及EAR99或出於反恐原因被列入美國商業管制清單之貨品與技術。代表美國企業毋需取得商務部的暫行核准，也可以在國際標準制定組織中與中國大陸華為等公司分享用於制定5G標準的相關資訊，甚至合作制定5G標準。另外，《出口管制規則》僅在非出於商業目的之合法標準制定情況下，允許美國企業向華為及其關係企業揭露此類技術；若是出於商業目的揭露，仍然須受《出口管制規則》拘束並應保存記錄。

　　由於國際出口管制組織「瓦聖那協議」（ Wassenaar Arrangement,WA）於去年(93)底修訂半導體晶圓製程技術水準之出口管制規定，由0.35微米放寬為0.18微米；國貿局為配合「瓦聖那協議」之修訂，亦於今年9月公告半導體晶圓製程技術之出口管制修正為0.18微米。 　　然，我國半導體晶圓製造廠商申請赴中國大陸投資，主要依據經濟部之「在大陸地區投資晶圓廠審查及監督作業要點」辦理，其中第四點申請要件明顯規定「大陸投資事業製程技術限於0.25微米以上」。此外，在國貿局「限制輸出貨品總彙表」更有規範半導體晶圓製造等相關設備之輸出規定121：需要有國貿局簽發輸出許可證；輸出規定488：（一）輸往大陸地區者，應檢附經濟部投資審議委員會核准投資文件；輸往大陸以外地區者，應檢附保證絕不轉售大陸地區之切結書。（二）外貨復運出口者，另檢附原海關進口證明文件。（三）屬戰略性高科技貨品列管項目者，除應申請戰略性高科技貨品輸出許可證，並檢附上述文件外，應另依戰略性高科技貨品輸出入管理辦法規定，檢附下列文件：１、進口國核發之國際進口證明書、最終用途證明書或保證文件。２、外貨復運出口者，如原出口國政府規定需先經其同意者，應另檢附原出口國政府核准再出口證明文件；其於原進口時領有我國核發之國際進口證明書、最終用途證明書或保證文件者，應再檢附該等文件影本。 　　國際貿易局強調，我國目前開放半導體晶圓製程技術輸往中國大陸仍限為0.25微米以上，並未放寬輸往中國大陸之出口管制。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。

　　美國國家公路交通安全管理局（National Highway Traffic Safety Administration, NHTSA）2021年6月29日 「自駕車與配備等級2駕駛輔助系統車輛之意外事件回報命令（Standing General Order 2021-01：Incident Reporting for Automated Driving Systems and Level 2 Advanced Driver Assistance Systems）」，課予系統製造商與營運商意外事件回報義務，重點如下： （1）適用範圍：全美境內公共道路上發生之車輛碰撞事件，事發前30秒至事件結束期間內曾經啟用等級2駕駛輔助系統或自動駕駛系統。 （2）意外事件定義：事件中任何一方有人員死亡或送醫治療、車輛必須拖吊、安全氣囊引爆或事件涉及弱勢用路人（vulnerable road user）。 （3）回報期限：須於知悉事件後隔日立即回報，知悉後10日傳送更新資料，如後續仍有發現新事證，應於每月15號傳送更新。自駕車發生碰撞，即使無人傷亡、無車輛拖吊或安全氣囊引爆，仍需於次月15號傳送事件回報。 （4）回報方式及項目：需至NHTSA指定網站註冊帳號，線上填寫制式通報表格。項目包含車籍資料、事件時間、地點、天候、路況、傷亡及財損情形等等。 　　NHTSA收到的回報資料，原則上會在將個人資料去識別化後對大眾公開，惟若系統製造上或營運商主張部分資訊為商業機密，可另行向NHTSA之諮詢辦公室通報審核。如逾期未報或隱匿資訊，可處每日最高22,992美元罰金，累計最高罰金為114,954,525美元。