英國Ofcom「個資與隱私」報告

中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》（下稱《辦法》）及其配套指引，自2025年5月1日正式實施。《辦法》及指引的發布，旨在落實《個人信息保護法》中的稽核規定，完善個資合規監督架構，為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式：企業可自行或委託專業機構定期進行審計；另當主管機關發現高風險處理活動或發生重大資料外洩事件時，有權要求企業限期完成外部審計，並提交報告。針對處理規模較大的企業，《辦法》特別規定，凡處理超過1,000萬人個資的業者，須至少每兩年完成一次審計。 針對大規模蒐用個資企業，《辦法》亦強化其配合責任，對於處理超過100萬人資料的企業，須設置個資保護負責人；對大型平台服務業者，則須成立主要由外部人員主導的獨立監督機構，以確保審計客觀性。 在審計執行層面，《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求，並禁止將合規審計轉委託，防堵審計品質不一，或個資分享過程增加外洩風險。同時，也規範同一機構或審計負責人不得連續三次審計同一對象，以強化審計公正性。 《合規審計指引》進一步列出具體審查項目，包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等，協助企業全面落實個資合規審查。

　　美國商務部工業安全局（Department of Commerce, Bureau of Industry and Security, BIS）於2020年6月15日宣布修改《出口管制規則》（Export Administration Regulations, EAR），調整美國企業和中國大陸華為公司商業往來的相關禁令，允許美國企業和華為合作制定5G標準。國際標準為技術開發的重要基礎，企業在標準制定的參與和領導力，將同步影響5G、自動駕駛、AI及其他尖端技術的未來發展；美國為鞏固全球創新領導地位，積極倡導國內產業參與標準制定成為國際標準，保護國家安全與外交政策利益。雖然華為及其關係企業在2019年5月，因存在重大國家安全風險，被美國商務部列入實體管制清單，禁止美國企業在未獲商務部許可的情況下與華為進行任何業務往來，但此項政策不應妨礙美國企業參與重要的國際標準制定活動。 　　本次《出口管制規則》補充「一般性暫行核准（Temporary General License）」附錄，允許華為及其68家關係企業在參與國際標準化組織與5G標準制定等特殊情形下，得依據美國行政管理和預算局（Office of Management and Budget, OMB）A-119號通知所制定之標準，取得《出口管制規則》中涉及EAR99或出於反恐原因被列入美國商業管制清單之貨品與技術。代表美國企業毋需取得商務部的暫行核准，也可以在國際標準制定組織中與中國大陸華為等公司分享用於制定5G標準的相關資訊，甚至合作制定5G標準。另外，《出口管制規則》僅在非出於商業目的之合法標準制定情況下，允許美國企業向華為及其關係企業揭露此類技術；若是出於商業目的揭露，仍然須受《出口管制規則》拘束並應保存記錄。

　　英國資訊委員辦公室(Information Commissioner's Office, ICO)於今（2021）年2月17日推出資料分析工具箱（data analytics toolkit）供所有考慮對個人資料進行資料分析的組織使用，旨在幫助組織駕馭人工智慧（Artificial Intelligence, AI）系統對個人權利所可能帶來的挑戰。 　　ICO表示，越來越多的組織使用AI來完成特定任務，例如使用軟體自動發現資料集（data sets）的模式，並藉此進行預測（predictions）、分類（classifications）或風險評分（risk scores），組織在使用個人資料進行資料分析時，納入資料保護的概念是至關重要的，除符合法律要求外，也能增強民眾對技術的信任與信心。 　　使用ICO的資料分析工具箱時，首先會詢問組織所適用的法律，並引導至相對應的頁面，並透過合法性（lawfulness）、問責與治理（accountability and governance）、資料保護原則（data protection principles）以及資料主體權利（data subject rights）等一系列的問題瞭解組織的資料保護情形，在回答所有問題之後，工具箱將產生一份報告，提供組織關於資料保護的建議，提高組織資料保護的法令遵循程度。 　　ICO強調，組織應該要在個人資料處理的過程中考量報告中所提及的建議，並向組織的資料保護長（Data Protection Officer, DPO）徵詢其意見，在組織委託、設計與實施資料分析時落實個人權利與自由的保障。