歐盟網路和資訊系統安全局（ENISA）

　　日本經濟產業省於2020年7月13日發布「創新治理：實現Society5.0的法規與結構設計（GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン）」報告書。其作成背景係依據日本在去（2019）年G20峰會時，基於大阪框架（大阪トラック、Osaka Track）下的「可資信任的資料自由流通機制（Data Free Flow with Trust（DFFT））願景，所提出的創新治理目標。該目標指出，過往的治理模式主要依靠法律規範，但明顯已追趕不及數位化與創新的快速步伐，致生新型態風險無法獲得有效控管、法律可能阻礙創新等問題，因而有必要革新治理模式，以掃除創新活動的障礙。基此，就上述創新治理模式的必要性與方式，日本召集國內外法律、經濟、科技、經濟等各界專家徵求意見進行討論，彙整後作成本報告書。 　　本報告書主張，應擺脫法規範的設計、法遵與執行，均由國家主導的傳統模式，建立提高企業參與規範擬定與實施程度的治理型態。具體主要包含以下作法： （1）法規範制定層面：規範之制定方向，改以作成價值決定的目的導向為主。至於細節性的行為義務，包含企業如何在數位化的虛擬場域內，透過程式語言等途徑落實上述法目的，則應由該些企業、以及在虛擬場域活動的社群或個人等利害關係人共同參與擬定相關的指引或標準。 （2）法遵層面：如上（1）所述，未來法規範制定將轉為形塑價值與目的為主，不會明確訂定企業的行為義務，而交由企業來擬訂。企業所制定之行為規範能否達成法規範目的，則須仰賴企業主動揭露其法遵方法，供外界檢視。因此，除企業應採用創新手法達成法目的、並對內落實法遵事項的說明外，應運用各種內外部查核機制來控管風險。同時，應著手研發相關技術或措施，讓利害關係人得取用企業之即時資料，以隨時確認企業所採取方法有無達成法遵，實現有效監督。 （3）執法層面：政府應以企業之行為對社會產生影響的程度，作為執法標準。若遭遇AI參與決策而衍生的事故，不應歸責於個人，而應建立獎勵機制，鼓勵企業積極協助究明事故原因。另一方面，亦應推動訴訟與訴訟外紛爭解決機制的線上化（Online Dispute Resolution, ODR），例如共享經濟平台服務的認證機制與標準、就電商平台上發生的小額消費糾紛由平台透過公告罰則等方式抑止與處理糾紛。

　　華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉，其旨趣，在於統一美國各州不同個資外洩通報法，並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 　　Pryor法案曾於2007年提出，惟當時未能通過，其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容，在要求處理及儲存消費者私人資訊，諸如「社會安全碼」〈social security numbers〉之企業，一旦發生資料外洩事件，需對國家提出通報，如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險，則應於發現個資外洩六十日內通知受影響之消費者。 　　Pryor法案之適用對象甚廣，故有認為，該法一旦通過，其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act，簡稱GLBA〉後的模範法典，其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉，但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 　　惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度，因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報，但對「損害門檻」並無明確定義。此外，受影響之企業似無實行適當風險評估之誘因，除需耗費大量成本評估外洩事件是否超過損害門檻外，尚需面臨企業名譽受損與客戶不滿之損失，在個資外洩要素風險指導原則付之闕如之情形下，企業恐無法客觀地評估自身個資外洩之風險。故有建議，解決之道，應明定損害門檻，並聘請外部專家或使用市場新工具，訂定客觀的指導原則，使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 　　就資訊安全部分，此法案揭櫫於其通過一年內，美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定，要求擁有或處理含有個人資料或契約之企業，必須建立並執行蒐集、使用、出售，及其他傳播、維持個人資訊之資訊安全政策，以達保護個人資料之目的。