英國Ofcom「個資與隱私」報告

歐盟執委會（European Commission, EC）於2023年5月10日宣布啟用《歐盟晶片法案》（EU Chips Act）三支柱之一的半導體供應鏈示警系統（Semiconductor Alert System），其目的在於監測半導體供應鏈短缺之問題。 根據《歐盟晶片法案》，歐盟各成員國的半導體供應鏈主管機關須定期執行半導體供應鏈的觀測任務，以隨時確認半導體供應鏈之狀況。然而，由於歐盟係由眾多不同的國家所組成，各成員國間訊息的流通相比於其他單一國家可能較為緩慢，故EC決定創建半導體供應鏈示警系統，交換半導體供應鏈資訊以解決上述問題。在此系統中，私人企業得單獨對所處產業中的早期半導體短缺進行回報，惟個別產業常常單獨誇大或高估危機的發生可能性，對此，EC成立了歐盟半導體專家小組（European Semiconductor Expert Group, ESEG），協助收集各半導體產業與成員國所回報之訊息，除將其用於建立風險評估外，亦彙整並分析成有價值的資訊後再分享給各成員國。 若資訊收集完成後，ESEG或EC察覺歐盟確實有發生半導體供應鏈崩潰的危險，EC將召開特別委員會會議（extraordinary board meeting），共同尋求解決方案，包含聯合政府採購（joint procurement），或與第三國進行合作，以合力解決半導體供應鏈之危機。

　　英國政府在考量保護政府機關及民眾免於網路安全之威脅下，設置了網路安全辦公室(Office of Cyber Security，OCS)及網路安全營運中心(Cyber Security Operations Centre，CSOC)兩個新的網路安全機關，並將於2010年3月正式運作。同時，內閣辦公室(Cabinet Office)發出聲明表示，英國政府將網路安全訂為21世紀政府的安全防護重點，並認為透過設置這兩個新的機關協助維護國家安全，將是達成這個目標的重要步驟。 　　在英國政府的規劃下，OCS設於內閣辦公室下，負責提供政府跨部會的資訊安全策略，並整合協調政府部門間網路安全之工作；CSOC則是設置於英國政府通信總部下(Government's Communications Headquarters，GCHQ)，負責有效的監測網路空間之健全性並針對緊急事件提出應變措施、瞭解攻擊英國政府及使用者之技巧、提供對於企業及大眾有關網路安全風險應變之忠告與建議。內閣辦公室也表示，OCS將與移民署(Home Office)及警察局長協會(Association of Chief Police Officers，ACPO)合作，盡快制訂出有關防範網路犯罪之相關策略。 　　英國政府肯認網路安全對於政府在安全防護上的挑戰。因此內閣辦公室強調，網路安全防護策略之整合是重要的，其將透過企業，國際合作伙伴及民眾的力量，藉由專業知識及能力的提升、以及更為完善的策略，降低安全風險及發掘安全防護機會，發揮英國在網路安全防範之優勢。

隨著網路蓬勃發展，個人資料之蒐集、處理及利用越來越普遍，同時也造成資料洩漏和濫用的問題日益嚴重，進而對隱私和個人資料構成侵害與威脅，為保障人民隱私和增強資料透明度，羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》（Rhode Island Data Transparency and Privacy Protection Act）。其核心內容包括以下幾個方面： 一、 適用對象：於羅德島州州內經營商業之營利組織（下簡稱企業），或主要生產製造商品、提供服務予該州居民之企業，且： 1. 在前一年度控制或處理超過三萬五千筆個人資料（personally identifiable information）者，但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料，且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務： 1. 選擇同意與退出權：前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理，行使選擇同意權（opt in）與退出權（opt out）。 2. 資料蒐集與利用透明度：要求企業蒐集個資前，須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象，並取得其同意。 3. 控制權：資料當事人有權向企業請求查詢、修改及刪除自己的資料，企業在接到請求後，必須即時處理該請求，並於45天之法定期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 4. 安全維護措施：企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施，包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估：企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄，包括： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料，且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇，或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任，並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。

在數位時代，兒童及青少年長時間使用網際網路已成為生活常態，然而，兒少在高度使用社群媒體的同時，也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」（toxic content）。在享受網路便利性的同時，兒少也面臨遭受騷擾、霸凌，被迫轉學甚至輕生等困境，心理健康面臨危機。為解決前揭問題，美國參議院於2024年7月30日通過《兒童網路隱私保護法》（Children’s Online Privacy Protection Act, COPPA）修正法案及《兒童網路安全法》（Kids Online Safety Act, KOSA）之立法，加強兒少網路安全之保護。 COPPA早於1998年制定，並於2000年開始施行，該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範，惟自訂定後迄今約25年，均未因應時代變遷做出調整，終於在本次會期提出修正草案。另KOSA之立法重點，則在於要求網路平台業者對兒童預設提供最高強度隱私設定，並建立控制措施，提供父母保護子女及認知到有害行為的機制，課予網路平台業者預防及減輕兒童陷於特定危險（如接收宣傳有毒內容之廣告）之義務等。此二法案經參議院投票通過後，合併為一案送交眾議院審核，重點說明如下： 1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年（下稱兒少），禁止網路平台業者在未經兒少使用者同意情況下，蒐集其個人資料。 2.禁止網路平台業者對兒少投放定向廣告（targeted advertising）。 3.為保護「合理可能會使用（reasonably likely to be）」網路平台的兒少，調整法案適用的「實際認知（actual knowledge）」標準，將適用範圍擴及至「合理可能被兒少使用（reasonably likely to be used）」的網路平台。 4.建立「清除鈕（eraser button）」機制，使兒少及其父母得以要求網路平台業者在技術可行情況下，刪除自兒少所蒐集之個人資料。 5.要求商務部（the Secretary of Commerce）於新法頒布後180日內，應成立並召集兒童網路安全會議（Kids Online Safety Council），進行包含識別網路平台對兒少造成危害之風險，提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。 觀本次可謂美國對於兒少網路保護之重大進展，惟此法案後續是否能順利提請總統簽署成法，正式具約束效力，仍須持續關注眾議院未來動向。