美國2015年「消費者隱私權法案」簡介

　　新加坡通訊及新聞部（Ministry of Communications and Information, MCI）與新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）於西元2020年5月14日至28日間針對其「個人資料保護法修正草案」進行民眾意見諮詢，總共收到87份回覆。綜合民眾回覆之意見後，同年10月5日，於議會提出了「個人資料保護法修正草案」，修正重點如下： 提高外洩個人資料者罰鍰金額，至該公司在新加坡年營業額10%或1000萬美元。MCI / PDPC說明，實際上於裁罰前會綜合考量個案事實與相關因素（如：嚴重性、可歸責性、影響狀況、組織有無採取任何措施減輕個資外洩造成的影響等），作為裁罰金額的判斷依據。此外，新加坡的個人資料保護法也加入了個資外洩通知義務，但與歐盟一般資料保護規範（General Data Protection Regulation, GDPR）仍有不同，例如：其多了評估是否通知的機制。 組織基於商業改善之目的，且遵守法定條件下，得未經同意使用個人資料，此處商業改善目的包含：(1)改善或加強提供之商品或服務，或開發新的商品或服務；(2)改善或發展新的營運方式；(3)瞭解客戶喜好；(4)客製化商品或服務所需。 在公司併購、重組、出售股份以及經營權轉讓等關於公司資產處置情形，得例外無需經當事人同意而蒐集、處理與利用個人資料。 新增資料可攜權相關規定。 處罰未經授權者處理個人資料之行為。針對民眾回覆之疑慮（認為草案內容不明確），MCI / PDPC說明預計在《法規與諮詢指南》中闡明有關授權行為的細節性規定，包含採取的形式。

　　英國海外屬地直布羅陀，針對透過與日俱增的首次發行代幣（Initial Coin Offerings, 簡稱ICO）募集商業活動，早在2017年9月，其金融服務委員會（Gibraltar Financial Service Commission, 簡稱GFSC）已公布官方聲明，警告投資人運用分散式帳本技術（Distributed Ledger Technology，簡稱DLT）之商業活動，如：虛擬貨幣交易或ICO等具高風險且投機之性質，投資人應謹慎。 　　GFSC又於2018年1月公布「分散式帳本技術管制架構」（Distributed Ledger Technology Regulatory Framework），凡直布羅陀境內成立或從其境內發展之商業活動，若涉及利用DLT儲存（store）或傳輸（transmit）他人有價財產（value belong）者，均須先向GFSC申請成為DLT提供者（DLT provider），並負擔以下義務： 應秉持誠信（honesty and integrity）進行商業活動。 應提供客戶適當利息，且以公平，清楚和非誤導方式與其溝通。 應準備相當金融或非金融資源（non-financial resources）。 應有效管理和掌控商業活動，且善盡管理人注意義務（due skill, care and diligence），包含適當地告知客戶風險。 應有效配置（arrangement）客戶資產和金錢。 應具備有效公司治理，如：與GFSC合作且關係透明。 應確保高度保護系統和安全存取協定。 應具備系統以預防、偵測且揭發金融犯罪風險，如：洗錢和資恐。 應提供突發事件預備方案以維持商業活動繼續進行。 　　GFSC和商業部（Ministry of Commerce）又於2018年2月聯合公布，將於第二季提出全世界第一部ICO規範，管制境內行銷（promotion）、販售和散布數位代幣（digital token）行為，強調贊助人須先授權（authorized sponsor），並有義務確保遵守有關資訊揭露和避免金融犯罪之法律。

　　「敏感科技」的普遍定義，係指若流出境外，將損害特定國家之安全或其整體經濟競爭優勢，具關鍵性或敏感性的高科技研發成果或資料，在部分法制政策與公眾論述中，亦被稱為關鍵技術或核心科技等。基此，保護敏感科技、避免相關資訊洩漏於國外的制度性目的，在於藉由維持關鍵技術帶來的科技優勢，保護持有該項科技之國家的國家安全與整體經濟競爭力。 　　各國立法例針對敏感科技建立的技術保護制度框架，多採分散型立法的模式，亦即，保護敏感科技不致外流的管制規範，分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型，分別為國家機密保護，貨物（技術）之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制，而我國法亦是採取這種立法架構。目前世界主要先進國家當中，有針對敏感科技保護議題設立專法者，則屬韓國的「防止產業技術外流及產業技術保護法」，由產業技術保護委員會作為主管機關，依法指定「國家核心科技」，但為避免管制措施造成自由市場經濟的過度限制，故該法規範指定應在必要的最小限度內為之。

　　2018年英國頒布電子通訊之網路與資訊系統規則（The Network and Information Systems Regulations 2018），該規則實施歐盟2016年網路與資訊系統安全指令（Network and Information Security Directive, NIS Directive）。該規則分成幾個部分，第一部分是介紹性條文，例如介紹網路及資訊系統之定義：「（a）2003年通訊法（Communications Act 2003）第32條第1項所指的電子通訊網路；（b）一組或多組互聯或相關設備，其中之設備或程序根據程式自動化處理數位資料；（c）為操作、使用、保護和維護目的，由（a）或（b）款所涵蓋的儲存、處理、檢索或傳輸的數位資料。」 　　第二部分是英國政府相關組織架構規定，包括網路及資訊系統的國家政策（The NIS national strategy）、國家權責機關的指定（Designation of national competent authorities）、單一聯絡點的指定（Designation of the single point of contact）、電腦安全事件應變小組的指定（Designation of computer security incident response team）、執行機關的資訊分享（Information sharing–enforcement authorities）、北愛爾蘭的資訊分享（Information sharing–Northern Ireland）。 　　第三部分則是基本服務營運商（類似於我國的關鍵基礎設施營運商）與其職責，包括基本服務營運商的確定、營運權廢止、基本服務營運商的安全維護職責、事故通報的責任等。根據第8條第1項之規定，如果營運商提供本規則附表2所載明的基本服務（包括電力、石油、天然氣、航空運輸、船務運輸、鐵路運輸、公路運輸、醫療健康、數位基礎設施等），並且符合基本服務一定門檻要求者，則該廠商即被視為基本服務營運商（operator of an essential service, OES）。舉例而言，規章之附表2第1項載明，營運商提供電力供應之基本服務者，其一定門檻要求包括：若營運商位於英國，符合「為英國國內超過25萬名消費者提供電力服務」或「輸電系統的發電量大於或等於2 gigawatts」之條件者，該營運商即為基本服務營運商（OES）；若營運商位於北愛爾蘭，則應「依據北愛爾蘭1992年的電力法規命令取得供電執照」，且「為北愛爾蘭境內超過8千名消費者提供電力服務」，或符合「發電量大於或等於350 megawatts」等條件，則該營運商即為基本服務營運商（OES）。 　　再者，若營運商符合第8條第3項所列之條件，則可由主管機關指定為基本服務營運商（OES）。此外，主管機關可根據第9條撤銷基本服務營運商（OES）的認定，基本服務營運商（OES）必須履行第10條規定的安全維護責任，並對於第11條規定的事件負有事故通報的責任。 　　第四部分則是數位服務，包括相關數位服務提供者、成員國跨境合作與行動、向資訊專門委員進行登記（Registration with the Information Commissioner）、資訊通知（Information notices）、檢查權限、違反義務之強制執行、裁罰、對行政機關裁罰決定之獨立審查、罰鍰之執行、費用、裁罰程序、執法行為的一般考量因素、審查與報告。