美國加州第14屆國會選區眾議院議員Jackie Speier於2016年7月中旬提出私密隱私保護法案(Intimate Privacy Protection Act, IPPA),本法案之草擬耗時兩年多,以聯邦法的法律位階之姿誕生,在美國各州政府紛紛將違反本人意願散布性隱私內容入罪化的高峰期,可望能統一各州州法分歧的法律落差。由於目前全美已有超過半數的州政府已分別頒布所謂的情色報復法案(Revenge Porn Act),造成各地方政府就此行為之定義和條文適用有所歧異,對無國界的網路生態來說,產生許多法律適用之衝突和迥異。
私密隱私保護法案規定,違反本人意願散布性隱私內容者,將處五年以下有期徒刑,得併科罰金,適用主體包含具有侵害故意和意圖藉此營利之人。然而,有反對聲浪認為,由於條文僅限欠缺本人同意,但未限於行為人具有侵害他人的故意,故認為此聯邦法位階的法案適用範圍過於廣泛,恐侵害憲法保障的言論自由。美國公民自由聯盟(American Civil Liberties Union, ACLU)長期關注此項法律議題,要求構成要件應限於行為人具有侵害他人之故意,否則將嚴重影響媒體產業。私密隱私保護法案條文內容特別明列排除適用之條款,如因法律或訴訟執行上的需要、基於公共利益或合法的商業利益之情事,以及網路服務提供者的豁免責任(意圖藉由散布性隱私內容而營利之網路服務提供者除外)。目前本法案同時獲得多數民主黨議員、共和黨議員,以及網路服務提供者巨擘Facebook和Twitter的支持。
2009年02月17日美國總統簽署通過「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業列為重點發展項目之ㄧ,擬由政府預算進行醫療資訊科技化計畫,俾使電子病歷的傳輸與交換得兼顧效率及安全。而以規範醫療資訊安全為主的「醫療保險可攜及責任法」之隱私權條款(HIPAA, Privacy Rule),亦因此有重大修正。 其中,最主要的變革在於擴充HIPAA的責任主體,由原有的健康照護業者、健康計畫業者及健康照護資訊交換業者,擴充至凡因業務關係而可能接觸個人健康資訊的個人或業者,包含藥劑給付管理公司、代理人及保險業者等,這些機構或個人原本與醫療院所或病患間係依據契約關係進行責任規範,但被納入HIPAA的責任主體範圍後,則需依此負擔民、刑事責任。 而於加強資訊自主權部份,亦有數個重要變革如下:(一)責任主體之通知義務:依據新規定,資料未經授權被取得、使用或揭露,或有受侵害之虞時,責任主體應即早以適切管道通知資訊主體有關被害之情事,以防備後續可能發生的損害。(二)資訊主體之紀錄調閱權:以往資料保管單位得拒絕個人調閱健康資料運用紀錄之請求,有鑒於病歷電子化後,保存及揭露相關紀錄已不會造成過重負擔;依據新規定,資訊主體有權調閱近三年內個人健康資料被使用次數及目的等紀錄。(三)資訊主體資料揭露之拒絕權:以往責任主體得逕行提供個人醫療資訊作為治療、計費及照護相關目的之使用,無論資訊主體曾表達拒絕之意與否;依據新規定,資訊主體得禁止其向保險人揭露相關資訊,除非保險人已全額支付醫療費用。 以上HIPAA之新增規範,預計於2010年02月17日正式施行。
澳洲政府發布「國家 AI 計畫」 將採用科技中立的AI治理模式澳洲工業、科學及資源部(Department of Industry, Science and Resources)於2025年12月2日發布「國家AI計畫」(National AI Plan),擘劃了澳洲至2030年的AI發展藍圖,將「掌握機遇」、「普及效益」與「確保人民安全」列為三大發展方向。該計畫將透過基礎建設投資、人才培育、產業支持,以及強化監管能力等途徑,打造一個更具競爭力、包容性與安全性的 AI 生態系統。 國家AI計畫的另一個重點在於,澳洲政府打算透過現有的法律監管架構治理AI,而不另立AI專法。此舉是回應澳洲生產力委員會(Productivity Commission)於8月提出之建言:政府在推動創新與訂定規範時必須取得平衡,應暫緩推動「高風險 AI 的強制護欄(mandatory guardrails)」,僅有在現行制度無法處理AI衍生之危害時,才有必要考慮制定 AI 專法。 據此,國家AI計畫指出,面對AI可能造成的危害,現有制度已有辦法進行處理。例如面對使用AI產品或服務的爭議,可依循《消費者保護法》(Australian Consumer Law)取得權利保障;AI產品或服務的風險危害,亦可透過《線上安全法》(Online Safety Act 2021)授權,制定可強制執行的產業守則(enforceable industry codes)來應對。澳洲政府未來也將推動《隱私法》(Privacy Act 1988)修法,意欲在「保護個人資訊」與「允許資訊被使用及分享」之間取得適當平衡。 同時,由於採用分散式立法的關係,澳洲特別成立「AI 安全研究院」(Australian AI Safety Institute, AISI),以強化政府因應 AI 相關風險與危害的能力。AISI將協助政府部門內部進行監測、分析並共享資訊,使部門間能採取即時且一致的治理政策。 澳洲政府曾在2024年9月研議針對高風險AI進行專門的監管,但因擔心過度立法恐扼殺AI發展轉而採用「科技中立」的監管方式,以既有法律架構為基礎推動AI治理。此與歐盟的AI治理邏輯大相逕庭,未來是否會出現現行制度無法處理之AI危害,抑或採用現行法制並進行微調的方式即可因應,值得持續觀察。
歐盟執委會發布2020歐洲創新計分板報告歐盟執委會(European Commission, EC)於2020年6月23日發布2020歐洲創新計分板報告(European Innovation Scoreboard 2020, EIS),其以「整體結構條件」(Framework conditions)、「投資」、「創新活動」和「影響力」(Impacts)四大指標評比歐盟成員國以及其他歐洲國家的研究與創新績效、創新環境等;各指標下再細分為10個次標和27個子標,例如人力資源、友善創新環境建構、政府部門研發創新支出、企業專業職能訓練、專利與商標申請、高科技產品出口等。 歐洲計分板將歐盟會員國創新表現分為四組,以2020年綜合創新能力分別為:(1)創新領導者(Innovation Leaders):包含丹麥、芬蘭、荷蘭、瑞典等國,為創新表現大於歐盟成員國平均創新度20%以上者;(2)優秀創新者(Strong Innovators):包含奧地利、比利時、法國、德國、葡萄牙等,創新表現大於歐盟成員國平均者;(3)中等創新者(Moderate Innovators):包含希臘、匈牙利、義大利、西班牙、波蘭等國,其創新表現小於歐盟平均者;以及最後一組(4)適度創新者(Modest Innovators):包含羅馬尼亞及保加利亞,為創新表現低於歐盟平均之50%。 此外,在各特定領域上,該報告亦有對不同國家進行排名。例如在創新研究體系領域,表現最好者為盧森堡、丹麥、荷蘭;中小企業帶領創新則以葡萄牙和芬蘭表現最佳;創新協力合作(Innovation linkages and collaboration)以奧地利、比利時、芬蘭最佳。而在全球綜合創新表現上,南韓為創新表現最佳,其向加入專利合作條約(Patent Cooperation Treaty, PCT)國家提交之專利申請數、商標申請數、設計專利申請數量最多,分別為世界其他先進國家的2-10倍不等(申請數量以每十億GDP為一單位計算);其次是加拿大、澳洲、日本、歐盟、美國與中國。歐盟已是第二年超越美國,並在其他主要競爭者中(美國、中國、巴西、俄羅斯、南非等)保持優先,唯優勢差距開始減少。此外,EIS跨年度分析評比,是以歐盟2012年創新表現為基準。報告中將歐盟2012年之創新表現預設為100,在2012-2019年間,中國的創新表現評分自79成長至97,而美國則在93-99間穩定變動;特別是2019和2020兩年,美國創新表現均維持在99,而無顯著之進步。故報告預測若依此趨勢,中國創新表現將在近年超越美國。
印度邁向個資法制新里程公布數位個資保護規則印度於2025年11月13日公布《數位個人資料保護規則》(Digital Personal Data Protection Rules,下稱DPDP規則,位階近似於我國個人資料保護法施行細則),作為2023年8月制定《數位個人資料保護法》(Digital Personal Data Protection Act,下稱DPDPA)之配套規範。DPDPA為印度首部全面性個資保護立法,並與DPDP規則採三階段施行。第一階段自2025年11月13日起,重點包括定義規定、印度資料保護委員會(Data Protection Board of India, DPBI)之設立與權限。第二階段自2026年11月13日起,聚焦於印度特有之「同意管理人(Consent Manager)」制度。第三階段自2027年5月13日起,全面施行資料處理者(Data Fiduciary,意涵近似於歐盟一般資料保護規則(GDPR)所稱資料控管者,惟更強調對資料主體負有信賴義務與善良管理責任)一般義務、兒童資料保護、重要資料處理者制度、當事人權利、跨境傳輸及適用除外等規定。其制度重點如下: 一、明確化告知與同意規範:DPDP規則要求資料處理者於取得資料主體同意前,須以獨立且易懂之方式提供告知,清楚說明個人資料類型、利用目的及所提供之商品或服務,並提供同意撤回、權利行使及申訴之管道。 二、建立同意管理人制度:此制度使資料當事人得透過第三方集中管理其對不同資料受託者之同意狀態,並隨時檢視或撤回其同意。DPDP規則就其資格、義務、登錄程序及監理機制加以規範,並賦予DPBI對其進行調查與裁罰之權限。 三、強化資安措施與侵害通報:DPDP規則明定資料受託者應採取安全維護措施,其最低標準包括加密、存取控制、日誌保存、監控、備份及資料處理相關契約管理等。另建立個資侵害通報制度,要求即時通報資料當事人及DPBI,並於72小時內補充完整資訊。 四、加重大型平台與特定資料保護機制:DPDP規則要求大型電子商務、線上遊戲及社群平台於三年未互動且無保存義務時刪除個人資料;並就18歲以下兒童及受法定監護者,要求取得可驗證之法定代理人同意。另中央政府得指定「重要資料處理者(Significant Data Fiduciary)」,課予定期影響評估、稽核及設置資料保護長之義務。 五、規範權利行使、跨境傳輸與除外規定:DPDP規則要求資料受託者及同意管理人於其網站或應用程式中,清楚揭示權利行使方式及身分驗證程序;跨境傳輸採「原則開放、例外限制」模式,由政府另行指定限制國家或對象;另就研究、保存及統計目的之資料處理,DPDP規則明定在未造成個人權益之影響下,且資料受託者已採取適當技術與組織措施,始得適用除外規定。