美國FDA公布510(k)醫療器材上市前許可指引針對醫療器材上市前之審查規範提出更完善詳細之調整

　　美國國家公路交通安全管理局（National Highway Traffic Safety Administration, NHTSA）於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐（Cybersecurity Best Practices for the Safety of Modern Vehicles），強化政府對先進聯網車輛網路安全之把關。 　　文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊，前者主要為公司整體組織網路安全文化與監管機制之建立；後者則偏重於技術性的建議內涵。 　　「一般網路安全最佳實踐」共有45項要點，核心概念為：公司應訂定明確的網路安全評估程序，由領導階層負責相關監督責任，定期執行網路安全之風險評估及第三方公正稽核，並對其所發現之風險弱點採取保護措施並持續監控，同時應妥善保存所有網路安全相關之紀錄文件，並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時，應將產品使用者、售後服務維修商，以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 　　「車輛技術網路安全最佳實踐」共有25項，核心理念為：對於產品開發人員，應建立存取權限管理，避免有心人士濫用權限。產品所使用的加密技術應隨時更新，若車輛具備診斷功能，應慎防遭到不當利用，且應防止車輛所搭載之感測器遭到惡意干擾或改動，感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新（Over-the-air, OTA）以及公司作業軟體所產生之風險漏洞。 　　本文件屬於自願性質，無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上，例如國際標準組織與國際汽車工程師協會（International Standards Organization, ISO/SAE International, SAE）先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下，進一步提出政府對車輛網路安全要求的努力。

　　今年1月底日本Coincheck虛擬貨幣交易所爆出最大規模的駭客攻擊事件後，日本金融廳開始擴大調查國內虛擬貨幣交易平台營運狀況；3月8日首次對2家虛擬貨幣交易平台業者Bit Station及FSHO祭出為期一個月「勒令停業」之行政處分，前者主因係公司內部高階主管擅自挪用客戶資金，違反資金結算法中用戶財產管理與用戶保護措施規範；後者則係發現多筆高額交易時，網路系統並未進行用戶認證，公司亦未對員工進行內部培訓課程，違反資金結算法中關於用戶保護措施之規範。 　　同時，日本金融廳亦對Coincheck、Bicrements、GMO Coin、Tech Bureau，及Mr.Exchange等5家虛擬交易平台業者發布下令改善之行政處分，要求業者重新審視經營漏洞，限期建立有效且完善的風險管理系統、保護消費者機制、反洗錢與打擊資恐、資金管理系統、內部稽核與內部控制系統及用戶客服系統等，避免再度發生大型駭客攻擊事件。 　　另為能有效地建立虛擬貨幣交易市場管制規範，日本金融廳宣布成立「虛擬貨幣交易產業研究小組」，並由學者、金融業者及虛擬貨幣業者為主要成員，為將來虛擬貨幣市場可能面臨各種議題，研析相關監管政策及法制規範。 　　面對襲捲而來之虛擬貨幣交易經濟，日前法務部邀集金管會、內政部、央行、警政署、調查局等單位跨部會協商，並就管制面、執法面等持續進行研商；我國或可以日本該次事件為借鏡，於行政管制強度做適當之調整，尤其我國為亞太防制洗錢組織（APG）創始會員，而虛擬貨幣交易之匿名性，已成為反洗錢與反資恐之最大風險，隨著虛擬貨幣交易行為頻繁與發展態樣多變，日後對於虛擬貨幣交易之管制政策與範圍都將備受矚目。

歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》（Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive）於2023年1月16日正式生效，其於《網路與資訊系統安全指令》（Directive on Security of Network and Information Systems, NIS Directive）之基礎上，對監管範圍、成員國協調合作，以及資安風險管理措施面向進行補充。 （1）監管範圍： NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品（如藥品與醫療器材）製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型，並以企業規模進行區分，所有中大型企業皆須遵守NIS 2之規定，而個別具高度安全風險之小型企業是否需要遵守，則可由成員國自行規範。 （2）成員國協調合作： NIS 2簡化資安事件報告流程，對報告程序、內容與期程進行更精確的規定，以提升成員國間資訊共享的有效性；建立歐洲網路危機聯絡組織網路（European cyber crisis liaison organisation network, EU-CyCLONe），以支持對大規模資安事件與危機的協調管理；為弱點建立資料庫及揭露之基本框架；並引入更嚴格的監督措施與執法要求，以使成員國間之裁罰制度能具有一致性。 （3）資安風險管理措施： NIS 2具有更為詳盡且具體之資安風險管理措施，包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等，並要求各公司解決供應鏈中的資安風險。

　　紐約市議會於2021年11月10日通過紐約市行政法規的修正法案，未來將禁止雇主使用未通過偏見審計（bias audit）的「自動化聘僱決策工具（Automated Employment Decision Tools）」，避免因為自動化工具導致的偏見與歧視，不當反映於雇主的最終聘僱決策。 　　於該法所定義之「自動化聘僱決策工具」，係指透過機器學習、統計模型、數據分析或人工智慧之運算，以實質性協助或取代決策過程，影響最終聘僱決定。而聘僱決定包含篩選應徵者以及對員工作成是否晉升之結果。偏見審計由獨立審計員針對自動化聘僱決策工具進行測試，藉以評估該自動化聘僱決策工具對於雇主依法應申報資訊的影響，例如是否影響及如何影響員工性別、族裔、職位、職務等特徵分布情形。該法並規定雇主或職業介紹機構只有在滿足以下條件的前提下，始得使用自動化聘僱決策工具，包括： 一、通過審計義務：自動化聘僱決策工具須於1年之內通過偏見審計（bias audit）。在使用該工具前，應將該最新審計結果摘要及該工具發行日公告於雇主或職業介紹機構的網站上。除非另有規定，如未有公告，應徵者或員工得提出書面要求雇主於30日內提供自動化聘僱決策工具所收集的數據類型、來源及雇主或職業介紹機構之數據保留政策之相關資訊。 二、通知義務：如欲使用自動化聘僱決策工具對居住在紐約市的員工或應徵者進行評估時，雇主應於使用前的10個工作日內通知該員工或應徵者，且應通知用於評估時所使用之工作資格或特質等參數，並允許應徵者或員工申請以替代方式進行評估。 　　如雇主或職業介紹機構違反上開規定，第一次違反者將承擔500美元的民事懲罰（civil penalty），如連續違反者，對於之後的違反將承擔500至1500美元不等。目前該法案仍待市長簽署，該法案如經市長簽署通過，將於2023年1月1日生效。