英國資訊委員會（ICO）：企業應用巨量資料技術時可能得以合法權益為由處理個人資料

　　英國《海外犯罪資料提供請求法》（Crime (Overseas Production Orders) Act 2019, COPO Act）於2019年2月12日由英國女王御准（royal assent）生效。 　　過去，英國請求海外證據法源依據僅有〈國際司法互助條約〉（Mutual Legal Assistance Treaties）支撐，且無明確的實施規範可作為依循。隨通訊網路科技日新月異，犯罪及犯罪證據的資料儲存地打破國界。《海外犯罪資料提供請求法》即是給予海外犯罪資料提請求程序一個明確的規範。在與他國簽署條約（designated international co-operation arrangement，指：司法互助條約或英國內閣大臣依法指定的條約）之前提下，《海外犯罪資料提供請求法》授權英國執法機構與相關單位（appropriate officer）可向法院聲請搜索票，並憑藉搜索票請求被搜索自然人或法人，提供儲存於英國境外的電子資料（electronic data）或特種電子資料（excepted electronic data）。本法所稱「電子資料」係指以電子儲存的資料；「特種電子資料」則是指法律專業人士與其客戶的通訊紀錄，或自然人與死者在具有保密義務之情況下所產生的紀錄。 　　在英格蘭、威爾斯和北愛爾蘭，可依《海外犯罪資料提供請求法》向法院聲請搜索令的相關單位包含：員警（constable）、英國稅務海關總署（Revenue and Customs）、英國嚴重詐欺辦公室（Serious Fraud Office, SFO）、特許金融調查人員（accredited financial investigator）、反恐金融調查人員（counter-terrorism financial investigator）、英國金融行為監理總署（Financial Conduct Authority）依法指定的調查人員或其他內閣大臣所公告之規則所指名的人員。在蘇格蘭則是檢察官（procurator fiscal）、員警、英國稅務海關總署、英國金融行為監理總署依法指定的調查人員或其他內閣大臣所公告之規則所指名的人員。海外犯罪資料提供請求之搜索票有效期間，係獲准當日起算三個月。

歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》（Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive）於2023年1月16日正式生效，其於《網路與資訊系統安全指令》（Directive on Security of Network and Information Systems, NIS Directive）之基礎上，對監管範圍、成員國協調合作，以及資安風險管理措施面向進行補充。 （1）監管範圍： NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品（如藥品與醫療器材）製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型，並以企業規模進行區分，所有中大型企業皆須遵守NIS 2之規定，而個別具高度安全風險之小型企業是否需要遵守，則可由成員國自行規範。 （2）成員國協調合作： NIS 2簡化資安事件報告流程，對報告程序、內容與期程進行更精確的規定，以提升成員國間資訊共享的有效性；建立歐洲網路危機聯絡組織網路（European cyber crisis liaison organisation network, EU-CyCLONe），以支持對大規模資安事件與危機的協調管理；為弱點建立資料庫及揭露之基本框架；並引入更嚴格的監督措施與執法要求，以使成員國間之裁罰制度能具有一致性。 （3）資安風險管理措施： NIS 2具有更為詳盡且具體之資安風險管理措施，包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等，並要求各公司解決供應鏈中的資安風險。

　　為因應金融產業數位化及鼓勵金融業創新，並在打造歐盟金融業競爭之同時，確保消費者之保護及金融市場之穩定，歐盟執委會於2020年9月間通過「數位金融整體計畫」（Digital Finance Package），該計劃包含之項目十分廣泛，建構了歐盟未來對於數位金融市場之整體性立法框架。 　　而2022年11月甫通過之「數位營運韌性法案」 （Digital Operational Resilience Act, DORA）便是數位金融整體計畫中之一分支，該法案預計將於2025年生效。有鑑於過去歐盟會員國各自對資通安全事件行動效果有限，且國家措施之不同調導致重疊、不一致、重複之要求而產生高昂之行政和法遵成本，此情況分裂了單一市場，破壞了歐盟金融機構之穩定性和完整性，並危及消費者和投資者保護，遂有本法案之誕生。 　　本法案主要之訂定目的在於建立資通安全事件之要求標準及通報流程機制以加強銀行、保險業、投信投顧等金融業者之資通安全，使其面臨網路攻擊時，能保有韌性及恢復力，並維持正常之營運狀態。具體而言，本法案為促金融業者達成高度數位經營韌性之統一要求，遂要求金融業者採取以下手段： 　　（一）資通風險管理監控 　　（二）資通事件之報告及建立於自願基礎上之重大網路威脅通報 　　（三）向主管機關通報重大營運或支付安全有關之事件 　　（四）數位營運韌性檢測 　　（五）有關網路威脅或漏洞有關之資訊情報共享 　　（六）健全控管對第三方資通技術供應者之機制。 　　總地而論，本法案透過建立歐盟統一之資通安全事件通報原則及營運韌性檢測標準等方式加強歐盟之眾金融機構在受網路攻擊之應對能力，且將可避免過去各國間無法取得共識，金融機構於發生資通安全事件時手足無措之窘境，值得讚許，或可為我國未來借鏡採納。

　　歐盟在2015年9月11日至2015年12月7日期間進行電子通訊網路及服務法規架構檢視公共諮詢，檢討目前電子通訊法規發展方向。2016年3月3日歐盟提出摘要報告，諮詢主題可分為五項，分別為:網路接取規範、頻譜管理與無線連結、電信服務產業管制、普及服務規範、以及機構設立與監理等。在此次公共諮詢當中，可歸納出幾項發展趨勢，包括: 一、基於消費者或市場需求，網路已成為促進數位社會、經濟發展之主要方式。 二、網路連線品質待改善。多數認為應支持基礎建設來因應未來廣泛的需求。 三、多數認為目前法規架構無法促進內部市場發展，未來應朝向電信市場自由化方向進行，特別是基於使用者利益以及市場競爭考量。 四、頻譜管理部分，無線寬頻網路固然重要，但未來仍應朝向促進新行動通訊技術發展，如5G技術等。 五、未來對於頻譜的規劃與應用應更具彈性，且進行技術領域調和。 六、許多會員國因應科技技術的進步更新電信法規，透過促進下世代基礎建設投資以及其他方式，未來希望能使電信法規更具有彈性與簡化。 七、未來將著重考量長期投資研發帶來的效益。 八、消費者希望未來能重視服務競爭，而非僅強調基礎建設。且針對基礎建設本身，亦應重視基礎建設投資的成本分擔。 九、重新思考普及服務，亦即給予會員國更多的彈性來決定如何進行資金補助與履行服務。 十、消費者組織立場認為需要進行產業管制，以及設定使用者保護規範，而基於電信事業立場，特別是在服務部分，則需要整合性規範。部分也認為電信法規亦適用於相同性質之服務，例如OTT。 十一、多數認為，歐盟層級的管制機構應該重新檢視，以協助未來法規的修正。