英國Ofcom「個資與隱私」報告

　　為因應金融產業數位化及鼓勵金融業創新，並在打造歐盟金融業競爭之同時，確保消費者之保護及金融市場之穩定，歐盟執委會於2020年9月間通過「數位金融整體計畫」（Digital Finance Package），該計劃包含之項目十分廣泛，建構了歐盟未來對於數位金融市場之整體性立法框架。 　　而2022年11月甫通過之「數位營運韌性法案」 （Digital Operational Resilience Act, DORA）便是數位金融整體計畫中之一分支，該法案預計將於2025年生效。有鑑於過去歐盟會員國各自對資通安全事件行動效果有限，且國家措施之不同調導致重疊、不一致、重複之要求而產生高昂之行政和法遵成本，此情況分裂了單一市場，破壞了歐盟金融機構之穩定性和完整性，並危及消費者和投資者保護，遂有本法案之誕生。 　　本法案主要之訂定目的在於建立資通安全事件之要求標準及通報流程機制以加強銀行、保險業、投信投顧等金融業者之資通安全，使其面臨網路攻擊時，能保有韌性及恢復力，並維持正常之營運狀態。具體而言，本法案為促金融業者達成高度數位經營韌性之統一要求，遂要求金融業者採取以下手段： 　　（一）資通風險管理監控 　　（二）資通事件之報告及建立於自願基礎上之重大網路威脅通報 　　（三）向主管機關通報重大營運或支付安全有關之事件 　　（四）數位營運韌性檢測 　　（五）有關網路威脅或漏洞有關之資訊情報共享 　　（六）健全控管對第三方資通技術供應者之機制。 　　總地而論，本法案透過建立歐盟統一之資通安全事件通報原則及營運韌性檢測標準等方式加強歐盟之眾金融機構在受網路攻擊之應對能力，且將可避免過去各國間無法取得共識，金融機構於發生資通安全事件時手足無措之窘境，值得讚許，或可為我國未來借鏡採納。

　　加利福尼亞州（下簡稱加州）州長Jerry Brown於2018年9月30日簽署了一項新法案，規定在加州註冊成立的上市公司以及總部位於加州並在美國證交所上市的外國公司（如德拉瓦州公司），都必須在2019年底之前，於其董事會安排至少一位女性擔任董事，否則將面臨處罰；而此項新規定，亦使加州成為美國第一個要求上市公司將女性納入董事會的州。 　　此項規定並規定，在2021年年底前，若董事會的規模為6名以上，至少需有3名女性董事，若董事會的規模為5名成員，則至少需有2名女性董事，若董事會規模為4名以下董事，則至少需有1名女性董事。違反此項規定，將受到以下處罰：（1）首次違反處以10萬美元的罰款；（2）再度違反處以30萬美元的罰款，隨後再處以每次違反的罰款。 　　根據統計，日前在美國3000家最大的上市公司的董事會組成中，女性僅占其中18%，於2017年，更有624家上市公司的董事會中根本沒有女性。該法案表明，促進公司董事會性別平等不僅可以改善所有女性的職場機會，同時還能提高生產力，其依據是瑞士信貸（Credit Suisse）於2014年所作出的一項研究，該研究發現，擁有全男性董事會的公司，其平均股本回報率（Return on Equity, ROE）為10.1%，而擁有至少一名女性董事的公司，其平均股本回報率為12.2%。 　　根據彭博社(Bloomberg)於2019年的一項新分析，此項變革可為女性提供692個席次，並足以導致美國公司董事會整體性別平衡產生顯著的變化。此外，新紐澤西州(New Jersey)和馬薩諸塞州(Massachusetts)亦在考慮進行類似的立法，其他州也通過了不具拘束力的準則。根據統計，若其他州採用和加州相同立法，羅素3000(Russell 3000)中的公司需要在幾年內為女性開放3732個董事會席次，全國董事會的女性人數將增加近75%。 　　縱使該法案的反對者認為，這將增加企業改善種族和民族多樣性的難度，並質疑法案的適法性，然該法案的提出者仍認為，此一措施對於提升女性的代表權是必要的，相信當董事會組成多元化，女性的聲音能被聽到時，對整體勞動力的改善會是更好的。

　　近來美國運輸安全管理局（Transportation Security Administration, TSA）修訂隱私衝擊評估(Privacy Impact Assessment, PIA) 規章，規定機場安全檢查於必要時，可以針對某些特殊旅客強制進行AIT掃描。 　　美國運輸安全管理局根據航空運輸安全法(Aviation and Transportation Security Act, ATSA) 負責運輸之安全、評估威脅及強制執行安全相關的規定和要求，並且確保機場等交通設備是否有充足的安全措施。 　　由於國際恐怖攻擊行動頻傳，美國運輸安全管理局於2013年開始採行AIT掃描技術以強化旅客通關之安全檢查，並將會顯示出近乎裸照的3D透視影像全身掃描機器（body scanning machines）淘汰。 　　所謂的AIT（Advanced Imaging Technology）掃描技術，即係高階圖像技術，可偵測旅客是否有攜帶危險性、威脅性物品，它所顯示出來的影像僅係一個大致輪廓，如有違禁品則會在該部位產生色塊，警告安檢人員應採行進一步檢查措施。 　　一般而言，雖然旅客可拒絕AIT掃描，選擇讓海關人員進行身體檢查，但是為確保運輸安全，近來運輸安全管理局更新隱私衝擊評估(Privacy Impact Assessment, PIA) 規章，規定於必要時可以針對某些特殊旅客強制進行AIT掃描，旅客不再有拒絕之權利。 　　此一政策施行，勢必遭受侵害「隱私權」之質疑，運輸安全局表示，AIT掃描係採用「自動目標辨識」 (Automatic Target Recognition , ATR) 軟體，亦即非直接顯示個人影像，僅顯示特殊物體在一般影像上的所在位置，發出警訊後再由安檢人員進行詳細檢查。現今AIT掃描技術已提升，掃描出的人體圖像會被模糊處理，且掃描後機器不會儲存任何可識別個人之資訊，更加確保旅客的隱私權不受侵害。

為加強兒少網路安全，英國通訊局（Office of Communication）於2025年4月24日發布「兒少風險評估指導原則」（Children's Risk Assessment Guidance）以及「兒少保護行為準則」（Protection of Children Codes of Practice），以供受規範之網路服務提供者遵循。 「兒少風險評估指導原則」要求所有受《網路安全法》（Online Safety Act 2023）規範的「使用者對使用者服務」（user-to-user service）和「搜尋服務」（search service）的服務提供者，在完成兒少存取評估（children’s access assessments）確認服務有可能被兒少存取後，必須在三個月內即2025年7月24日前，完成兒少風險評估（children’s risk assessments）。 至於「兒少保護行為準則」一經國會審議通過，則自2025年7月25日起生效，服務提供者必須採取「兒少保護行為準則」規定的安全措施（safety measures），或實施其他有效手段，以減少上開風險發生的可能性。 「兒少保護行為準則」列出的安全措施包括： 一、更安全的資訊發送： 有運作推薦系統（recommender system）且存在中度或高度有害內容風險的服務提供者，應調整其演算法，確保不向兒少推播有害內容。 二、有效的年齡驗證： 風險最高的服務提供者必須使用高度有效的年齡驗證，以識別使用者是否為兒少。 三、有效的內容審查： 服務提供者應建立內容審查機制，一旦發現有害兒少的內容時，能迅速採取行動。 四、更多的選擇與支援： 服務提供者應賦予兒少更多的控制權，包括允許對內容或貼文表達不喜歡、接受或拒絕群組聊天邀請、封鎖用戶、將用戶設為靜音、以及關閉自己貼文的留言功能等。 五、簡便的舉報與申訴： 服務提供者應提供透明的舉報與申訴管道，且確保提出舉報和申訴的管道和方式對兒少而言相對輕鬆且簡單。 六、強化的治理： 服務提供者應設置負責兒童安全的專責人員，高層團隊並應每年審查兒童風險管理情況。 如服務提供者未能履行上開義務，英國通訊局可處以罰款。必要時，甚至可向法院聲請禁制令封鎖該平台。 處在網路無限擴張的時代，保障兒少網路安全絕對是重要且不容忽視的課題。英國通訊管理局發布的實施作法，非常值得我國觀察學習與參考。