德國與愛爾蘭對於個人資料處理是否須明示同意之見解不同

　　OECD於2022年12月6日公布一份標題為「為中小企業永續發展提供資金—推動力、阻力和政策」（Financing SMEs for sustainability — Drivers, Constraints and Policies）的報告，報告中檢視現行支援中小企業參與永續金融的工具與政策，並指出政府在制定公共政策與支援措施時應考慮的要點，期能加速中小企業的綠色轉型。 　　報告中首先分析中小企業綠色轉型的阻力與推動力。在阻力方面，中小企業由於規模小，不易取得銀行的融資，也無多餘人力關注綠色議題與相關可用資源的發展，因此不敢貿然從事具有高度不確定性的綠色投資，綠色轉型意識普遍低落。更由於中小企業永續金融生態系的參與者廣泛，包括國際及國家法規和準則的制定者、政策制定者、永續資金提供者、ESG的中介機構等，這些永續機構、工具及實踐行動會隨著永續金融發展持續增加，令中小企業無所適從。在推動力方面，包含消費者的永續意識提升、越來越多金融機構與投資者將永續績效納入投資決策考量，以及氣候變遷與淨零轉型帶來的商機，皆使得中小企業有必要加強綠色轉型的努力，才能從淨零商機中獲利，免於陷入競爭劣勢。 　　為了提高中小企業綠色轉型的動機，OECD建議可透過財務性及非財務的支援，雙管齊下。目前財務性的支援以融資工具為主流，其它還有綠色基金、補助金、津貼、補貼、減稅、降低費用、股權或混合式的支援工具等。非財務性的支援則有與永續相關的技術支援、意見提供、諮詢服務和教育培訓等。這些主要是透過政府、金融機構、或是國際倡議進行，也有政府及民間機構獨自或合作建立的線上平台，提供一站式的服務，使得資源的取得更加便捷有效率。 　　中小企業永續金融仍存在許多問題需要進一步了解與因應，包括中小企業的淨零轉型意識與知識間的落差、永續金融資訊的不足、環境績效評量與報告能力的欠缺，以及該如何強化中小企業永續金融生態系，以增加永續金融的供需量等。OECD未來會繼續深入探究這些議題，支援落實「2022年G20/OECD更新中小企業融資高級別原則」（the 2022 Updated G20/OECD High Level Principles on SME Financing）中新增的「加強永續金融」原則，這顯示推動中小企業永續金融已是國際共識，我國政府與業者也應及早擬訂對策因應之。

　　歐洲網路與資訊安全機構（European Network and Information Security Agency，簡稱ENISA）為了支持網路安全商品和服務進行標準化，於今年七月九日和歐洲標準化委員會（European Committee for Standardization，簡稱CEN）與歐洲電工技術標準化委員會（European Committee for Electrotechnical Standardization，簡稱CENELEC）共同簽署合作協議，來強化網路安全標準化的各項措施。 　　本合作協議的目的，在於能夠更有效地了解與解決網路和資訊安全標準化的議題，特別是處理和ENISA有所關連的不同訊息和通信技術（ICT）部門。本次簽署的合作協議，可視為是近來ENISA制定新法規的額外延伸，其將給予ENISA針對支持網路資訊安全（NIS）標準的發展，有更多積極的角色。本合作協議涉及的範圍包含下列情況： 　　‧ENISA於識別技術委員會（identified technical committees）作為觀察人，CEN與CENELEC的工作小組與講習作為支持歐洲標準的準備 　　‧CEN與CENELEC評估ENISA相關的研究成果，並且將其轉化成標準化活動 　　‧ENISA參與或適當地擔當依據CEN-CENELEC內部規章所組成的相關技術委員會、工作小組與講習之主席 　　‧散布和促進出版物、研究結果、會議或研討會之消息流通 　　‧對於促進活動與因NIS標準相關工作之商業聯繫建立和研究網絡提供相互支持 　　‧針對處理攸關NIS標準活動的科技和研究議題，舉辦各項局部工作小組、會議和研討會 　　‧針對共同利益確定之議題作相關資訊交換 　　有鑑於ENISA逐漸強調NIS標準化的相關工作，標準化不僅能改善網路安全外，更能提高所有網路安全產品與服務當面對不同網路威脅時的防禦能力。是以，我國資安主管機關是否亦需協調所有資安部門，針對網路安全技術架構研擬或規劃出相關標準化的網路威脅防範模組，則是亟需思考的問題。

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

　　英國通訊管理局Ofcom近日（2008/12/5）對於英國電信（British Telecommunications, BT）的網路部門Openreach，針對全迴路（fully unbundled line）、分享式迴路（Shared unbundled line）、住宅批發線路出租（Residential wholesale line rental）、商用批發線路出租（Business wholesale line rental）等等接取服務的批發價格提出諮詢文件。 　　Openreach是Ofcom基於管制需求要求BT所單獨成立的一個網路部門，主要業務為批發電信服務給通信供應商。自2006年成立後至今，原細分化出租之電路線路從123,000 條提升到超過五百萬條，透過批發接取服務的競爭，直接刺激零售電信服務市場的競爭，使消費者有更多的服務選擇以及更物有所值。 　　除了諮詢批發價格之外，Ofcom在該文件中提及對Openreach的批發服務設立價格上限。之前的批發價格並不包含因每年的通貨膨脹率所進行的調整或修改，在本次文件中則認為通貨膨脹確實會影響Openreach的成本，現在則應如實的反映這樣的調動。Ofcom認為，新的價格將可帶來持續性的寬頻及語音市場競爭，且可以確保Openreach有適當的誘因繼續投資新的建設。 　　Ofcom在諮詢文件中對於2009年10月後的年度批發價格：全迴路：85.00英鎊 ~ 91.00英鎊（目前是81.69英鎊）；分享式迴路：15.60英鎊 ~ 16.20 （目前是15.60英鎊）；商用批發線路出租：106.00 ~ 110.00英鎊（110英鎊）；住宅批發線路出租：100.68英鎊 ~ 104.40英鎊（目前是100.68英鎊）；而其他相關費用調整，依據其成本適時增加。 　　在諮詢各界意見後，Ofcom預計在2009年4月確定新的批發價格。