簡介美國FTC垃圾電郵法制施行成效報告

英國資訊專員辦公室（Information Commissioner's Office，下稱ICO）於2025年8月18日讉責南約克郡警方（South Yorkshire Police，下稱SYP）刪除超過9萬6千筆穿戴式攝影機影片（body-worn video，下稱BWV）證據，強調SYP未落實資料識別、第三方監督及備份機制等資料管理措施。 警方使用BWV作為記錄警方執法過程之取證方式，目的為提高透明度、公眾信賴及取得最佳證據等。由於BWV證據具備公正性及準確性，亦可減低對於受害者證據之依賴。當警員換班時，需要將BWV證據下載至指定地點，先傳送至「數位證據管理系統（Digital Evidence Management，下稱DEM系統，該系統由第三方業者管理）」後，再傳輸至「儲存網格（Storage Grid）資料庫」。倘若發生爭議，SYP將檢視「儲存網格資料庫」中的BWV證據。 2023年SYP發生遺失大量BWV證據之爭議事件，事實整理如下： 2023年5月升級DEM系統後，SYP改將資料儲存於本地硬碟。同年8月7日時，SYP發現在儲存網格資料庫中，具錯誤刪除96,174筆原始BWV證據之紀錄，經調查發現，在同年7月26日，第三方將本地資料傳輸到儲存網格時，曾發生大規模的資料刪除事件。 由於在進行備份時，未使用特定的檔案名稱或其他可識別的資料標記等方式標記資料，即使SYP內部已針對95,033筆BWV證據進行備份，仍無法比對確認「已被永久刪除的BWV證據」數量，且遺失之資料共涉及126起刑案，其中更有3案受影響，甚至有1起案件指出，若BWV證據存在，則相關案件的檢調程序應能夠有所進展。 ICO亦指出SYP雖與第三方簽署契約，卻未明定處理程序，且未監督第三方的遠端存取行為。SYP早在2019年，已發現備份機制存在問題，但當時未向高階管理人員報告相關問題的完整狀況，導致未採取補救措施。 綜上述，ICO提出SYP應確保所有紀錄應以清晰、可識別的方式進行標記；在允許第三方存取系統前，應完成風險評估及確認管控要求，並持續監督第三方等改善建議；以及應建立能夠有效還原任何遺失BWV證據的備份方案。 另外依英國皇家檢察署（Crown Prosecution Service）的統計顯示，因缺乏定罪的必要證據，包含缺乏數位證據，如受害者詢問或隨身攝影機影片遺失等各類原因，導致無法進行審判的皇家檢察署案件，整體呈現上升趨勢，從2020年的7484起案件，上升到2024年的8180起案件。 為系統性建立及強化數位證據管理機制，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，其以「b-JADE證明標章」檢視既有的數位證據監管制度，其他司法機關亦可參照「b-JADE證明標章」以確保採取有效之資料識別、第三方監督及備份控管作法，除了控管數位證據的相關業務流程、內外部人員等，亦應促使內部滾動式檢視問題及須定期向主管回報，以利調整規劃。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　於美國時間2021年11月15日，基礎建設法案（Infrastructure Investment and Jobs Act，以下稱基建法案）由美國總統拜登（Joe Biden）簽署後正式成為法律。依據白宮聲明，該法案旨在提供工作機會，改善港口與運輸以改善供應鏈，及其他關於美國基礎建設的投資等。此外該法案內容因涉及加密貨幣交易資訊申報議題，受到加密貨幣產業眾多矚目。 　　基建法案與加密貨幣產業有關者，主要是在美國國內稅收法典（Internal Revenue Code of 1986）第6050I與第6045條之既有規定中，分別將交易標的現金之定義新增數位資產（Digital Asset），及新增經紀商（Broker）之申報義務。所謂數位資產係以數位方式表彰一定價值，並透過加密保全的分散式帳本或其他類似技術所記錄之資產。經紀商認定範圍新增包括「關於任何為獲得報酬，而負責定期提供任何服務，代表他人實現數位資產轉移者」。法規生效後，任何價值超過10,000美元之交易訊息（諸如交易者姓名、社會安全號碼等資訊）應申報至美國國家稅務局（IRS），經紀商亦被要求申報其所經手交易至美國國家稅務局，新規範將適用於2023年12月31日後所應依法申報之文件。 　　區塊鏈技術去中心化的特性讓加密貨幣交易得以匿名化方式進行，然而新法一概將價值超過10,000美元的交易納入申報範圍。有論者認為，對於未建立身分驗證機制之小型平台業者、礦工以及散戶等經紀商或交易人，如何調整去匿名化之交易模式以遵循申報義務之法令，將是一大挑戰。綜上，新規範揭示政府將深化對於加密貨幣產業之監管，如何兼顧交易自由與交易秩序，將考驗著監管當局及業者之智慧。

　　加州立法體系在2018年6月28日通過了美國最嚴格的個人資料隱私法規，該法案無異議通過，並已經加州州長Jerry Brown簽署同意，將於2020年1月1日施行，以賦予科技產業修正其內部政策的緩衝期間。 　　該法案之所以如此速戰速決，據媒體解讀是為了避免該法案內容成為加州11月選舉併公民投票之公投提案的一部分。如以公投方式通過這部法規，日後修正時將重新以公民投票進行，有造成修法困難的疑慮；而以立法者立法方式通過這部法規，賦予立法者有對其修訂改正權限，於日後能以一般修法程序進行修法。 　　該法案內容與2018年5月25日實施的歐洲GDPR規範相近似，將造成加州原先隱私權規範些許改變，與倡議最初法案不同的地方在於，揭露接受個資第三人的相關資料時需揭露該第三者之類型（category）而非其身分。 　　隨著本年度加州消費者隱私保護法（The California Consumer Privacy Act）的修法，大型科技公司如Google和Facebook等蒐集有大量消費者個人資料者，都將受到重大影響，依據該法，一般使用者可以向企業確認被蒐集的個資種類以及個資販賣流向，亦可以請求中止個資的蒐集及販賣，提升了一般使用者在以往對於個資使用上的地位。 　　自歐洲GDPR規範實施以來至目前，美國聯邦法尚未有相應強度之規範，本次加州修法可認係GDPR實施以來美國國內第一部因應而修正之法律。

　　韓國於今年1月份爆發史上規模最大的個資外洩案，國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人，亦因此請辭以示負責。 　　為防止將來金融機構再次發生個人資料外洩等事件，韓國金融服務委員會（Financial Services Commission, FSC）與相關部會於3月份發佈一連串要求，以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段，包括蒐集、保存、使用和銷毀客戶資料時，都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利，包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任，包括提升首席資訊安全官（Chief Information Security Officer, CISO）獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制，以確保面對未來可能的資料外洩事故時，可迅速有效的應對。 　　韓國政府於於3月底已對不需修改法律之部分開始執行，而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。