Airbnb針對紐約新短期租賃法規進行訴訟

　　新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）於2019年7月17日發布資料保護專員之職能與培訓準則。基於新加坡個人資料保護法（Personal Data Protection Act 2012, PDPA）明文規範非公務機關必須設立至少一名資料保護長（Data Protection Officer, DPO），負責個資保護政策之制定落實、風險評鑑及個資事故處理等工作。為了使資料保護專業人員增強能力並於企業組織有效履行其職責，新加坡個人資料保護委員會就此特別發布此準則，將資料保護專員分為三種工作職能，九項專業能力，進而規劃相關培訓課程。 　　此準則使企業組織能就工作職能聘僱合適之資料保護專員，亦使相關專業人員能掌握清晰之職業生涯，確定自我能力與培訓課程之落差，進而調整有效實施組織之個人資料保護管理政策與流程。其分為資料保護專員、資料保護長、區域資料保護長，依據工作職能與職責區分如下： 一、 資料保護專員 需監視與評估組織之個人資料保護管理政策與程序，並確保其遵循新加坡個人資料保護法。 識別個人資料之風險，並提出風險管控之措施。 提供組織個人資料保護政策之實施與實踐證據。 定期檢視審核，分析現況並矯正改善。 識別並規劃利害關係人之需求與利益。 二、 資料保護長 制定並審查個人資料管理計劃。 根據組織職能，視需求與流程，執行個人資料保護與風險評鑑，並解決相關業務風險。 制定培訓計劃，舉辦個人資料保護政策與流程之教育訓練。 確保組織內部個人資料保護之意識。 根據業務營運與個資法遵要求之落差評估，並建立合規性流程。 透過客戶對隱私與個人資料保護之要求，做為日後促進資料創新之實施。 三、 區域資料保護長 監督資料傳輸活動，並提供個人資料保護法之領導指南。 建立區域創新之資料保護策略。 減少區域內之個資事故。 於資料創新之運用提供戰略性，為組織創造業務價值。 評估新興趨勢與科技，如隱私增強技術、雲端運算、區塊鏈、網絡安全之風險與可行性。 　　針對上述工作職能與職責，結合所需之專業能力，包括個人資料管理、風險評鑑管理、個資事故緊急應變、利害關係人管理、個人資料稽核認證、個人資料治理、個人資料保護之倫理、資料共享與創新思維，規劃基礎個人資料保護相關課程與進階資料創新課程，使其個人資料保護制度更專業具有規模。目前我國對於資料保護專員並無相關立法規範，若未來修法新加坡個人資料保護委員會之做法亦值參酌。

　　新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年7月27日發布資料共享指引(GUIDE TO DATA SHARING)，該指引協助組織遵守新加坡2012年個人資料保護法(Personal Data Protection Act 2012, PDPA)，並提供組織內部和組織之間的個資共享指引，例如得否共享個資，與如何應用，以確保符合PDPA共享個資之適當方法；並得將特定資料共享而豁免PDPA規範。該指引共分為三部分，並有附件A、B。 　　指引的第一部分為引言，關於資料共享區分為三種類型探討： 在同一組織內或關係組織間共享 與資料中介機構共享(依契約約定資料留存與保護義務) 與一個或多個組織共享(在不同私部門間、公私部門間) 　　共享包含向一或多組織為利用、揭露或後續蒐集個資；而在組織內共享個人已同意利用之個資，組織還應制定內部政策，防止濫用，並避免未經授權的處理、利用與揭露；還應考慮共享的預期目的，以及共享可能產生的潛在利益與風險。若組織在未經同意的情況下共享個資，必須確保根據PDPA的相關例外或豁免之規定。 　　指引的第二部分則在決定共享資料前應考慮的因素： 共享目的為何？是否適當？ 共享的個資類型為何？是否與預期目的相關？ 在該預期目的下，匿名資料是否足以代替個資？ 共享是否需要得同意？是否有例外? 即使無須同意，是否需通知共享目的？ 共享是否涉及個資跨境傳輸? 　　上述因素還能更細緻對應到附件A所列應思考問題，附件B則有相關作業流程範例。 　　指引的第三部分，具體說明如何共享個資，與資料共享應注意規範，並提供具體案例參考，值得作為組織遵守新加坡個人資料保護規範與資料共享之參考依據。

美國聯邦貿易委員會（Federal Trade Commission，FTC）根據《健康違規通知規則》（Health Breach Notification Rule，HBNR），於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令（Proposed order）。擬議命令指經由行政機關調查案件後提出的改善建議，且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息；而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明，將妥善保護所蒐集之個資，然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司，用來進行目標式廣告的投放。 FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料，並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外，更要求BetterHelp, Inc.向網站的使用者進行退款，退款總額上限高達780萬美元。FTC在擬議命令中建議：涉及敏感性健康資料的事業負責人，除了需要重新檢視目前持有資料的隱私和安全性外，最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」，這兩個案例中的業者都是違反了自己當初對使用者的承諾，最終才導致被處罰的結果。

英國工黨政府在2024年7月17日的議會開幕致詞上宣布，將於2025年提出「網路安全與韌性法案」（Cyber Security and Resilience Bill），用以更新現有的網路與資訊系統規則（The Network and Information Systems Regulations 2018）。現有的法規涵蓋5大行業領域：交通運輸、能源、飲水、健康衛生，以及數位基礎設施和部分數位服務（含網路市集、網路搜尋引擎、雲端運算服務等），分別由12個主管機關負責在各自領域落實該法規。 根據英國國家網路安全中心的評估，英國正面臨著來自敵意國家（或受其資助的行為人）日益增加的威脅。而英國的基礎設施在運作時不應該忽視這些威脅。工黨政府希望加強英國的網路防禦和面臨惡意攻擊時的網路韌性，從而確保英國社會所依賴的基礎設施和關鍵服務能夠持續運作，並確保數位經濟能夠持續增長。 根據目前公布的資訊，該法案將會在既有框架下面針對三個方向進行強化： 1. 擴大法規的職權範圍，將更多的數位服務和供應鏈納入保護範圍，保護英國的必要公共服務，避免受到網路攻擊。 2. 提供監管機關採取必要性網路安全措施的法源依據，從法律層面賦予監管機關採取更多安全措施的權利。 3. 強制要求納管對象網路安全事件通報，讓政府確實掌握網路攻擊的次數與相關資訊，以提升整體英國社會對於此類事件的理解與掌握。 該法案預計於2025年提交給英國議會審議，其對於網路安全、數位基礎設施和關鍵設施的安全保護框架，可以作為我國未來提升數位基礎建設及關鍵設施資訊網路安全的重要參考對象。