愛看Meme的網友們注意了！歐盟新著作權指令「迷因禁令」（Meme Ban）

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

日本經濟產業省（下稱經產省）於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引（IoT機器を開発する中小企業向け製品セキュリティ対策ガイド），本指引彙整企業應該優先推動IoT機器資安對策，經產省提出具體資安對策如下： 1.制定產品資安政策（セキュリティポリシー）並廣為宣導：由企業經營者率先制定資安政策，進行教育宣導，並依實際需求修正調整。 2.建立適當的資安政策體制：確立實施資安政策必要之人員及組織，明確其職務及責任。 3.指定IoT機器應遵守之資安事項，並預測風險：決定IoT機器的預設使用者及使用案例，並於釐清使用者需求後，指定IoT機器應遵守之資安事項，預測衍生風險。 4.考量IoT機器應遵守之資安事項及預測風險，進行設計與開發：以預設IoT機器應遵守之資安事項衍生風險為基礎，從設計與開發階段開始採取風險對策。 5.檢測是否符合資安相關要件：從設計與開發階段開始制定檢測計畫，檢測是否符合資安要件，並依據檢測結果進行改善。 6.於產品出貨後蒐集風險資訊，與相關人員溝通並適時提供支援：蒐集全球資安事故與漏洞資訊，並設置可適時與委外廠商以及用戶溝通之窗口。

　　歐盟布魯塞爾會議規劃組織（QED）在2016年12月針對第四次工業革命法制議題提出討論，呼應2016年4月歐盟執委會提出之歐洲產業數位化政策，加速標準建立，並且預計調整現行法律規制，著重於資料所有權、責任、安全、防護方面等支規定，討論重點如下： 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用，雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同，其間如何調合朝向資料自由發展之方向進行 　　我國2016年7月由行政院通過「智慧機械產業推動方案」，期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行，未來，相關法制配套規範，如個人資料保護、巨量資料應用、以及標準化等議題，皆有待進一步探討之必要。