加州法院判決刪除公司電腦之個人資訊非屬犯罪行為

　　日本IT綜合戰略本部及官民資料活用推進本部於4月17日公佈「自動駕駛制度整備大綱」。大綱設定2020年至2025年間，日本社會實現自動駕駛下，所需檢討修正之關連法制度。 　　本大綱中，係以2020年實現自動駕駛至等級4為前提（限定場所、速度、時間等一定條件下為前提，系統獨自自動駕駛之情形），以在高速公路及部分地區之道路實現為條件設定。社會實現自動駕駛有以下課題需克服： 道路交通環境的整備：以自駕系統為行駛，一般道路因為環境複雜，常有無法預期狀況發生，導致自駕車的電腦系統無法對應。 確保整體的安全性：依據技術程度，設定一般車也能適用之行駛環境、設定車輛、自動駕駛之行駛環境條件以及人之互相配合，以達成與一般車相同之安全程度為方針下，由關係省廳間為合作，擬定客觀之指標。此一指標，並非全國一致，應就地方之特性，設定符合安全基準及自動駕駛行駛環境條件，建構整體確保安全之體制。 防止過度信賴自駕系統：訂定安全基準，使日本事件最先端自動車技術擴及於世界，訂定包含自駕系統安全性、網路安全等自動駕駛安全性要件指針。 事故發生時之法律責任：自動駕駛其相關人為駕駛人、系統製造商、道路管理者等多方面，其法律責任相對複雜化。現在係以被害人救濟觀點，至等級4為止之自動駕駛，適用自動車損害賠償責任險（強制責任險）方式，但是民法、刑法及行政法等法律全體之對應，仍為今後之課題，必須為早期快速處理。為了強化民事責任求償權行使、明確刑事責任之因果關係、並實現車輛安全性確保、避免所有人過度負擔等，車輛行駛紀錄器之裝置義務化、事故原因究明機制等，關係機關應合作為制度檢討。 　　本大綱最後並提出，在自動駕駛技術快速發展下，就其發展實際狀況應為持續半年1次召開會議檢討檢討。

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

歐盟執委會（European Commission）於2025年9月4日提出對於巴西的適足性認定草案，並且開始啟動相關程序。根據《一般資料保護規則》第45條規定，如歐盟境內之個人資料將傳輸至第三國或國際組織時，須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同，使得為之。該認定即為「適足性認定」，目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中，審酌了巴西《一般資料保護法》（Lei Geral de Proteção de Dados, LGPD）當中的目的限制、必要性、透明性、安全性及問責機制等原則，以及個資監管與執法之獨立機構「巴西資料保護局」（Autoridade Nacional de Proteção de Dados, ANPD）之角色，認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外，ANPD於2024年發布，旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則，ANPS正依照該規則進行對歐盟進行法律評估，認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估，將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案，後續須經由歐洲資料保護委員會（European Data Protection Board, EDPB）審查並提出意見，並經過成員國代表參酌EDPB提出之意見並審查批准後，始得由歐盟執委會通過適足性認定。通過適足性認定後，將促進國際資料流動，並加強巴西與歐盟之間資料保護與監管領域方面的合作。