英國因劍橋分析個資外洩事件開罰臉書

　　美國交通部（U.S. Department of Transportation）於2022年1月27日發布「國家道路安全戰略」（National Roadway Safety Strategy, NRSS），向道路零死亡的長期目標邁出第一步。NRSS採取「安全系統方法」（Safe System approach）作為解決道路安全問題的指導性框架，其內容涵蓋行為干預（behavioral interventions）、道路應對措施（roadway countermeasures）、法律與政策之執行、車輛安全特性與性能，及緊急醫療照護等層面。不同於傳統安全方法，安全系統方法承認人為錯誤與人性脆弱的事實，基於道路死亡應可預防之原則，利用可提前準備的主動工具（Proactive Tools）預先識別並解決交通系統中的問題，並且建立一套能有效解決或降低風險的備援系統（redundant system），以確保某一環節發生故障時，其餘部份仍可正常運作。 　　NRSS將以五大核心目標為主軸，規劃全面性的安全措施，以實現道路零死亡願景。上述五大核心目標包括： （1）更安全的人們（safer people）：鼓勵用路人採取安全、負責之行為，避免酒駕或毒駕等危險行為。 （2）更安全的道路（safer roads）：設計可減少人為錯誤之道路環境，提高脆弱用路人安全移動之可能性。 （3）更安全的車輛（safer vehicles）：透過改進既有技術與設備，並擴大對有效防止碰撞及使影響最小化的車輛技術與功能之使用，提高車輛安全性並降低碰撞頻率，例如：透過先進駕駛輔助系統（Advanced Driver. Assistance Systems, ADAS）預防或減輕碰撞的影響；或是利用偏離車道警示系統對車輛進行監控與紀錄，如檢測到車輛偏離車道，則立即向駕駛發出警報。此外應建立公共資訊資料庫，以便提供資訊幫助車輛安全行駛。 （4）更安全的速度（safer speeds）：透過結合環境的道路設計、教育與推廣活動，以及活用自動測速器、依路段環境進行速限等方式，有效控制車輛行駛速度。 （5）事故後照護（post-crash care）：透過完善緊急醫療照護提高事故存活率，並落實交通事故管理，避免事故再次發生。

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。