美國食品藥物管理局(FDA)為落實食品安全現代法案公布食品安全查檢與風險管理相關規定

　　美國聯邦商務部（Department of Commerce, DOC）下之工業及安全局（Bureau of Industry and Security, BIS）於2021年10月20日公布一暫行最終規則（interim final rule），對出口管制規則（Export Administration Regulation, EAR）進行修訂，其於商品管制清單（Commerce Control List）中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼（Export Control Classification Number, ECCN）項目及說明文字，並增訂「授權網路安全出口（Authorized Cybersecurity Exports, ACE）」的例外許可規定（15 CFR §740.22），該暫行最終規則將於2022年1月19日生效。 　　被列入商品管制清單內的項目，原則上即不允許出口（或再出口、於國內移轉，以下同），惟透過ACE之例外許可，使前述項目可出口至大多數國家，僅在下列「再例外」情況需申請出口許可： 出口地為反恐目的地：出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時，須申請出口許可。 出口對象為國家類別D之政府終端使用者（Government end user）：政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體，當政府終端使用者歸屬於國家類別D時，須申請出口許可。惟若類別D之國家同時被歸類於類別A:6（如賽普勒斯、以色列及台灣），在特定情況下，如為弱點揭露、犯罪調查等目的，出口予該國之電腦安全事件回應小組；為犯罪調查、訴訟等目的，出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品（digital artifacts）予警察或司法機關；或出口數位製品予前述政府，而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者（favorable treatment cybersecurity end user）擁有或操作資訊系統相關之網路安全事件時，不適用ACE之再例外規定，而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位：結合上述第二點之說明，不論出口至國家類別D:1、D:5之政府或非政府單位，皆受ACE之「再例外」拘束，而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位，或對非政府單位的視同出口（deemed export）行為，方不適用再例外規定，而不須申請出口許可。 終端使用者限制：已知或可得而知該物品將在未獲授權之情況下，被用於影響資訊系統或資訊之機密性、完整性或可用性時，須申請出口許可。

日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》（IoT製品に対するセキュリティ適合性評価制度構築方針），以順應國際IoT產品資安政策趨勢，因應日益嚴重的資安威脅。 本制度為自願性認證制度，由情報處理推進機構（情報処理推進機構，簡稱IPA）擔任認證機構進行監督。以IoT產品為適用對象，制定共通因應資安威脅之最低標準，再依不同產品特性需求，制定不同符合性評鑑等級，依評鑑結果進行認證，授予認證標章。不同評鑑等級差異如下： 1.等級一：為共通因應資安威脅之最低標準，可由供應商進行自我評鑑，並以評鑑結果檢查清單申請認證標章，IPA僅會針對檢查清單進行形式確認。 2.等級二：係考量產品特性後，以等級一為基礎，制定應加強之標準，與等級一相同係由供應商評鑑，自我聲明符合標準，IPA僅會針對檢查清單進行形式確認。 3.等級三：係以政府機關或關鍵基礎設施業者為主要適用對象，須經過獨立第三方機構評鑑，並以IPA為認證機構進行認證，確保產品值得信賴。 本制度可協助採購者及使用者依資安需求，選用合適的IoT產品，亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作，達成相互承認，減輕IoT產品供應商輸出海外之負擔。

　　諾華（Novartis）旗下學名藥廠山德士（Sandoz）和美國學名藥廠Momenta，同意支付1.2億美金，使涉及其暢銷救命藥Enoxaparin之反托拉斯集體訴訟達成和解。本案原告為非營利醫院Nashville綜合醫院和紐約州公務員工會醫療計畫組織DC 37，於2014年美國田納西中區聯邦地方法院起訴。根據訴訟文件提到，Enoxaparin原是訴外人賽諾菲（Sanofi-Aventis）以Lovenox為品牌名販售的抗凝血劑，用於預防和治療深部靜脈血栓、肺栓塞及急性冠心症等症狀，2010年Momenta證明其學名藥Enoxaparin和Lovenox具相同療效，申請簡易新藥上市（Abbreviated New Drug Application，ANDA）獲准。 　　原告指稱2008年Momenta欺瞞美國藥典委員會（United States Pharmacopeial Convention，USP），使其開發之Enoxaparin檢測方法，成為美國食品藥品監督管理局（U.S. Food and Drug Administration，FDA）指定的檢測方法之一，但在此過程中未向藥典委員會揭露自己正為該檢測方法申請專利。隔年Momenta之檢測方法取得專利（No.7,575,886），因該檢測方法無法迴避，故其它欲生產Enoxaparin的學名藥廠皆可能侵害該專利，而難以進入市場。又Momenta和山德士早在2003年就簽有合作協議，Momenta將該專利授權給山德士，共同創造一個壟斷的學名藥市場，以抬高售價賺取暴利。 　　未來和解金將用於賠償醫院、保險公司、為員工支付醫療費用的公司，及田納西州其它29區受山德士和Momenta反競爭行為影響的人們。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

　　歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則（一般資料保護規則）」（Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR），該草案內容包括行政罰鍰三審制（three-tiered system）。凡故意或過失違反歐洲資料保護基本權之企業，情節重大者，可能招致鉅額行政罰鍰，草案之裁罰性措施將讓從業者更加重視資料保護法益。 　　是否對違反GDPR之侵權行為裁處罰鍰，會員國政府有裁量權限；已受刑事制裁者，政府亦得免除罰鍰以避免重複處罰。資料保護主管機關（data protection authorities, DPAs）依三審制判斷，確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括：第一審，是否對資料當事人之資料要求延遲、變更回應；第二審，是否對資料當事人、DPAs盡資訊透明義務；第三審，各種具體侵權行為，包括對於資料取得缺乏法律依據、未能即時告知資料違反情事，或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 　　依草案，DPAs審酌罰鍰額度時，應依下列計算罰鍰： 　　(1) 企業故意或過失未能於一定期間內，回應資料當事人之資料查閱請求者，裁處上一會計年度全球總年營業額0.5%罰鍰。 　　(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊；或未能對消費者充分揭露個人資料蒐集、處理的目的者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(3) 企業故意或過失未能維護消費者權益，更正或刪除消費者資料，違反GDPR所保障之消費者「被遺忘權」者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(4) 企業故意或過失處理個人資料，行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域，該區域沒有適當安全資料保護者，就企業上一會計年度全球總年營業額裁處2%罰鍰。 　　六月中旬，歐盟各部長將就歐洲議會、歐盟理事會的提案，就罰鍰額度進行最後協商，未來將持續關注草案協商後續發展。