建立G2B2C電子公文交換法制

　　由於近日頻傳醫院遭受勒索軟體攻擊（ransomware attacks），美國加州檢察總長於2021年8月24日發布官方公告（bulletin）：在加州州法「醫療資訊保密法」（Confidentiality of Medical Information Act, CMIA）與聯邦法「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act of 1996, HIPAA）規範下，蒐集、處理和利用醫療健康資料的醫療照護機構，有採取適當措施與事故通報的義務，以維護醫療健康資料保密性。 　　針對「採取適當措施」的內容，美國加州檢察總長於本次官方公告中，提出明確指引（guidance）：醫療照護機構須至少採取下列5項防範措施（preventive measures），以避免勒索軟體威脅： 確保所有存取醫療健康資料的作業系統與軟體，均升級至最新版本； 安裝防毒軟體，並維護其運作； 定期為員工舉辦教育訓練，包含教導員工不要點擊可疑網址和防範釣魚電子郵件（phishing email）； 限制員工下載、安裝和運作未經批准的軟體； 維護和定期測試資料備份與救援計畫，以便於事故發生時，控制對資料和系統的影響範圍及程度。 　　此外，針對「資料外洩事故通報義務」（breach notification obligations），美國加州檢察總長指出：依據「加州民法」（California Civil Code）第1798.82條，擁有或經授權使用含有個人資料的「電腦化資料」（computerized data）的醫療照護機構，於發生，或可合理確信發生，影響超過500位加州居民的資料外洩事故時，即負有將該事故通報檢察總長辦公室的義務。

歐盟於2024年4月26日通過重型車輛二氧化碳排放性能標準（Regulation （EU）2019/1242）修正案，加速交通運輸部門的脫碳進程，以實現2050年淨零排放目標。修法重點如下： （1）擴大適用範圍：除了現有的卡車外，亦納入市區公車、長途巴士（7.5噸以上）、拖車等車型，如垃圾車等特種車輛也將從2035年起納入管制。而歐盟執委會將於2027年評估是否將5噸以下小型貨車也納入規範。 （2）明確減排目標：要重型車輛的二氧化碳排放量在2030年、2035年和2040年分別較2019年減少45%、65%和90%。求2030年起，90%的新售市區公車必須為零排放車輛，並在2035年達到100%零排放。 （3）技術中立原則：允許製造商選擇電動化、氫燃料電池或氫內燃機等不同技術路線來達成減排目標。 （4）豁免及彈性條款：針對礦業、林業和農業用車，以及軍用、緊急救災和醫療用途車輛等特殊用途車輛，或年產量低於100輛的小型製造商，新法將不強制納管。且為確保產業公正轉型，歐盟也提供相關培訓和資金援助，協助產業轉型和勞工技能提升。 歐盟執委會將於2027年評估這項規範的實施成效，並考慮納入更多車型、制定全生命週期碳排放計算方法，以及評估可再生燃料在交通運輸部門脫碳進程中的作用。

　　美國交通部（U.S. Department of Transportation）於2022年1月27日發布「國家道路安全戰略」（National Roadway Safety Strategy, NRSS），向道路零死亡的長期目標邁出第一步。NRSS採取「安全系統方法」（Safe System approach）作為解決道路安全問題的指導性框架，其內容涵蓋行為干預（behavioral interventions）、道路應對措施（roadway countermeasures）、法律與政策之執行、車輛安全特性與性能，及緊急醫療照護等層面。不同於傳統安全方法，安全系統方法承認人為錯誤與人性脆弱的事實，基於道路死亡應可預防之原則，利用可提前準備的主動工具（Proactive Tools）預先識別並解決交通系統中的問題，並且建立一套能有效解決或降低風險的備援系統（redundant system），以確保某一環節發生故障時，其餘部份仍可正常運作。 　　NRSS將以五大核心目標為主軸，規劃全面性的安全措施，以實現道路零死亡願景。上述五大核心目標包括： （1）更安全的人們（safer people）：鼓勵用路人採取安全、負責之行為，避免酒駕或毒駕等危險行為。 （2）更安全的道路（safer roads）：設計可減少人為錯誤之道路環境，提高脆弱用路人安全移動之可能性。 （3）更安全的車輛（safer vehicles）：透過改進既有技術與設備，並擴大對有效防止碰撞及使影響最小化的車輛技術與功能之使用，提高車輛安全性並降低碰撞頻率，例如：透過先進駕駛輔助系統（Advanced Driver. Assistance Systems, ADAS）預防或減輕碰撞的影響；或是利用偏離車道警示系統對車輛進行監控與紀錄，如檢測到車輛偏離車道，則立即向駕駛發出警報。此外應建立公共資訊資料庫，以便提供資訊幫助車輛安全行駛。 （4）更安全的速度（safer speeds）：透過結合環境的道路設計、教育與推廣活動，以及活用自動測速器、依路段環境進行速限等方式，有效控制車輛行駛速度。 （5）事故後照護（post-crash care）：透過完善緊急醫療照護提高事故存活率，並落實交通事故管理，避免事故再次發生。

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。