簡介日本「u-Japan政策」

　　英國衛生部(Department of Health)於5月21日公布新的國家衛生政策，政策中指出，未來將建立資料庫，透過建設完善醫藥資訊之流通分享機制可改善對於病患之醫療服務以及促進學術研究之發展，當局承諾將採取適當之保護措施以妥善保護當事人之個人資料。然而，該政策同時亦承認對於病患資料匿名化之措施仍可能侵害當事人之隱私權。 　　當局指出，為了保護當事人之權益，將個人資料匿名化實屬必要，然而，對於醫療院所而言，縱使已經將個人資料匿名化，但透過其他相關資訊包含年齡、性別、血型、身高或者體重等，仍可能間接識別出當事人之個人資料。 　　衛生部重申建立資料庫分享當事人之個人醫療資料將可有效促進學術研究之發展，但將會透過當事人同意以及確實匿名化之機制保護當事人之個人資料。另外，衛生部於該政策中指出未來將要求英國之醫療機構必須於內部建立系統，使患者、當事人可有管道查詢其留存於資料庫之資料。 　　英國之隱私保護專員指出，由於此政策涉及敏感性個人資料之蒐集，所以其針對衛生部之政策規畫將持續關注，以確保當事人之隱私權。

　　歐盟電子通訊隱私指令（Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive）第五條(3)中對於cookie（即業者為辨別使用者身份而儲存在用戶端上的資料）設置的規範，將於2011年5月全面施行。惟對於cookie之使用，部分網路業者認為如果網路使用者沒有選擇不要裝置cookie (opt-out)，那麼就等同於同意裝置，而不需另外取得使用者的同意。針對此點，歐盟第29條資料保護工作小組（Article 29 Data Protection Working Party）於2010年06月22日對於網際行為廣告作出一份意見（Opinion 2/2010 on online behavioural advertising）。 　　意見中澄清，網際行為廣告係一種透過cookie的使用，追蹤蒐集網路使用者上網行為的資料，其網路資訊將被使用於日後發放與使用者上網行為相對應的廣告之用。除非是屬於網路使用者明白要求使用cookie，或是使用網路服務所『必要』的cookie（例如，沒有cookie就無法顯示或進行至下一個頁面），則不必先行取得使用者的同意外；其他凡經由cookie所儲存的資料，均應被視為『個人資料』，使用上必需先行取得網路使用者的明示同意，以自行選擇（opt-in）的方式接受cookie的使用，後存於網路使用者的個人電腦中。業者不得以搜尋引擎的cookie設定主張視為網路使用者等同已經明示同意使用cookie進行被追蹤及蒐集資料。 　　該意見受到許多歐盟及國際之網際出版、廣告及商務業者的反彈，業者表示所蒐集的資料並非可辨認性或敏感性資料，此規範的執行將會嚴重衝擊到廣告產業的收益，建議採行自律規範或使用行為守則來取代上述規定。 　　由於這項規範尚未於歐盟中被執行，歐盟第29條資料保護工作小組對於技術上如何遵循該規範也並沒有提出具體的建議。

　　隨著食物過敏與過胖等健康問題愈來愈受重視，美國FDA（Food and Drug Administration， 食品暨藥物管理局）規定從2006年1月1日起，食品製造商必須在食品標示上揭示產品中八種主要過敏原與反式脂肪（trans fat）含量，並且必須加強揭示卡路里含量、說明整個包裝所含的養分。 　　依據此項新規定，廠商必須在食品標籤上以簡易的文字，標示八種容易造成過敏的過敏原，包括核果（杏仁、胡桃、大胡桃）、牛奶、蛋類、魚類、甲殼綱蝦蟹、花生、大豆與小麥。至於反式脂肪，又稱為轉化脂肪或反脂肪，是不飽和脂肪酸的一種，它會刺激人體內低密度脂蛋白（LDL）的增加，進而使低密度蛋白膽固醇（LDL-C）的量增加。LDL-C又被稱為『壞膽固醇』或『不好的膽固醇』，它會間接刺激膽固醇升高，增加罹患心臟血管疾病的風險。過去一直沒有決定每人每天攝取量標準，因此在商品包裝上的營養成分表（Nutrition Facts Table）一直都沒有列出反式脂肪含量，但是新制上路後，在包裝標籤上面也必須列出反式脂肪含量。 　　在消費者越來越重視健康問題之趨勢下，未來如何製造反型脂肪低或零含量的食用加工油脂產品，相信會是相關業者所面臨的新挑戰。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。