美國情報體系發布「情報體系運用人工智慧倫理架構」

　　原預計於2017年3月2日生效實行的美國聯邦通訊委員會（Federal Communication Commission，FCC）的寬頻客戶隱私規定（Broadband Consumer Privacy Rules），委員會於2017年3月1日宣布暫停該規範效力，並與聯邦貿易委員會（Federal Trade Commission，FTC）發表共同聲明。 　　為保障資料安全（data security），聯邦通訊委員會於2016年10月27日，以寬頻網路服務提供者（broadband Internet Service Providers，ISPs）及其他電信營運商為規範對象，要求須給予客戶有更多選擇去決定自身資料如何被分享和使用，除將ISP所蒐集得使用及分享的資料分為三類，建立客戶同意要件，尚設立新的提醒要件及保密性違反之通知等。該新的隱私規範試圖與聯邦貿易委員會的規範做區隔，除管制對象不同，管制架構上，聯邦貿易委員會要求業者在蒐集及利用個人資訊時，須符合公平資訊實施原則（Fair Information Practice Principles，FIPPs）之準則（guidelines）：通知（notice）、選擇（choice）、讀取（access）、安全（security）。 　　通過之際產生的爭議，包含聯邦通訊委員會有無管制權限，及實行後可能與聯邦貿易委員會管制架構並行而造成疊床架屋、混淆大眾等的問題；此外，聯邦通訊委員會收到眾多請願，要求重新考慮該規範之實行。請願理由在於該規範之實行將會造成寬頻網路服務提供者及其他電信營運商為了要遵循規範將承受巨大的成本與負擔，並且這些成本與負擔與公眾利益相違背，將會造成不可回復的損害。 　　在接受請願討論後，聯邦貿易委員會做出暫停實施的決定，認為有關保護資料安全的規範要件需要重新思考，其理由在於：（1）消費者若受到兩種不同的隱私管制方式，會破壞消費者對於線上隱私安全一致性的期待；（2）不應使寬頻網路服務提供者及其他電信營運商遭受重大且不必要的遵循成本。 　　聯邦通訊委員會也與聯邦貿易委員會共同發表聲明，其聲明提及：聯邦通訊委員會與聯邦貿易委員會皆有責保護美國消費者的線上隱私，然而最好的管制方法，應該是透過一個全面性且一致性的架構。資訊隱私之保護不應當有因管制對象不同而有差別性，況且其中差異僅有專業人士才能辨別出，就消費者保護來說，並行兩道不同管制只會造成混淆，毫無益處。這也是為何當聯邦通訊委員會片面剝奪聯邦貿易委員會的管制權限而引發批評聲浪。對於寬頻提供者應保護隱私與資料安全之要求，應回歸至聯邦貿易委員會，由於國家對網際網路空間的管制，上網行為應該要適用一樣的規則，並且受到同樣的專責機關管制。除此之外，聯邦通訊委員會與聯邦貿易委員將共同合作致力於協調對寬頻提供者的隱私規範，該規範將會同所有與數位經濟相關的公司遵循的標準。線上世界技術中立（technology-neutral）的隱私框架之一致性，方能對消費者帶來最佳利益。 　　本次聯邦通訊委員會迅速暫停實施的隱私規範，顯現出美國對於保障隱私管制的重視性極高，美國針對網路生態中的不同公司，寬頻網路服務提供者及其他電信營運商，例如Comcast、Verizon、AT&T等；網站或其他邊緣服務商（edge service），例如Google、Facebook、Amazon等，將會有何種一致性的資料安全規範，值得持續關注。

　　歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive，簡稱PSD，Directive 2007/64/EC)修正案，簡稱PSD2。最新消息指出，PSD2將無法在本屆歐洲議會審議完成，需於五月歐洲議會改選後，在新一屆的議會中再行審議。 　　PSD公布施行於2007年，該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度，活絡支付市場的競爭，提供消費者更多的選擇，並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 　　本次歐盟提出修正案，其修正目標包含： 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 　　實際做法，PSD2大致有以下修正重點: 一、因應科技發展及時代變遷，擴大適用範圍： (一)提出「第三方支付服務提供人(third party payment provider，簡稱TPP)」之名詞定義，並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義，第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易，而支付的進行也是透過電信或IT系統或網路營運人，而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞，對照於附件一(Annex I)第七款中，係指： 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務； 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接，從銀行帳戶扣款進行支付；或者是與信用卡界接，進行扣款。 依照PSD2，TPP為支付服務提供者(Payment service providers, 簡稱PSPs)，因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付，如果單筆支付金額超過50歐元，或者是月支付金額超過200歐元，也應適用PSD2。 二、強化資安要求： (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security，簡稱NIS Directive)」，PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority，簡稱EBA)將與歐洲央行(ECB)密切合作，提出資訊安全指導原則(guidelines)，以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護： (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者，PSD2則要求對於涉及第三國以及外幣之交易，只要有任一支付服務提供者是在歐盟境內，都要適用。 (二)只要支付未經授權，應立即退款給付款方。 (三)保障無條件退款權，但是如果商品或服務已經完成消費則不在此限，例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易)，額度從原本的150歐元下調為50歐元。 對於客訴爭議，PSPs應於15個工作日內以書面回覆。

　　日本2011年個人資料外洩事件及事故的件數比前年減少為1551件，但洩漏的個人資料筆數卻超過前年一成以上，約有600萬筆個人資料外洩。從數字來看預估的賠償金額是超過1900億日幣。 　　日本網路資安協會（JNSA）與資訊安全大學研究所的原田研究室及廣松研究室共同針對報紙集網路媒體所報導的個人資料外洩相關事件及事故所進行的調查所做的結論。 　　新力集團旗下的海外公司雖然發生合計超過1億筆的大規模個人資料外洩的意外，但此一事故並無法明確判別是否屬於個人資料保護法的適用範圍，因此從今年的調查對象裡排除。 　　在2011年發生的資料外洩事件有1551件，比起前年的1679件減少128件，大約跟2009年所發生的個人資料外洩差不多水準。外洩的個人資料筆數總計約628萬4363筆，與前年相較約增加70萬筆。平均1件約洩漏4238筆個人資料。 　　將事故原因以件數為基礎來分析，可以發現「操作錯誤」佔全體的34.8％為第一位，其次是「管理過失」佔32％，再接下來是「遺失、忘記帶走」佔13.7％。但以筆數來看，值得注意的是「管理過失」佔37.7％最多，但「操作錯誤」就僅有佔2.3％的少數。 　　再以佔全體事件件數5％的「違法攜出」就佔了全體筆數的26.9％；在佔全體件數僅有1.2％的「違法存取」卻在筆數佔了20.9％，可以看到平均每一件的受害筆數有開始膨脹的傾向。 　　再者從發生外洩原因的儲存媒體來看，紙本佔了以件數計算的68.7％的大多數，以USB記憶體為首的外接式記憶體佔了10.1％；但以筆數計算的話，外接式記憶體佔了59.1％、網路佔了25.5％的不同的發生傾向。 　　從大規模意外來看，金融機關與保險業界是最值得注意，前10件裡佔了7件。從發生原因來看，「違法攜出」及「內部犯罪」所造成的事故10件中有4件，其次是「管理過失」。規模最大的是山陰合同銀行的受委託人將業務所需的165萬7131件個人資料攜出的事故。 　　依據2011年所發生的事件及事故的預估賠償額是1899億7379萬日幣。遠超過前年的1215億7600萬日幣。平均一起事件預估損害賠償金額有1億2810萬日幣，每人平均預估賠償金額是4萬8533日幣。

　　歐盟執委會（European Commission）於2022年5月3日發布「歐洲健康資料空間」（European Health Data Space, EHDS）規則提案，其旨在克服健康資料利用之障礙，以充分發揮數位健康與健康資料之潛力。EHDS為一個專門用於健康之資料共享框架（health-specific data sharing framework），針對患者以及用於研究、創新、政策制定、患者安全、統計或監管目的等電子健康資料之運用，建立明確規則、通用標準與實務、基礎設施與治理框架，無論是個人、醫療人員、健康照護提供者、研究人員、監管人員、產業界皆可由此受益。 　　EHDS之具體內容主要包括九個章節： （1）第一章為一般條款（General provisions），內容包括本規則之主題與範圍，並闡明定義、以及與其他歐盟法規之關係； （2）第二章為電子健康資料之原始利用（Primary use of electronic health data），其針對歐盟一般資料保護規則（GDPR）所載權利，增訂補充性之配套保護機制，並設定醫事人員及其他健康從業人員針對EHD之義務； （3）第三章為EHR系統與福祉應用（EHR systems and wellness applications），其主要重點為EHR系統之強制性自我認證計畫（mandatory self-certification scheme），要求其需符合可互通性與安全性等基本要求，並界定EHR系統中各經濟營運商（economic operator）之義務、EHR系統合規（conformity）要求，並負責EHR系統市場監督機構之義務； （4）第四章為電子健康資料之二次利用（Secondary use of electronic health data），如將資料用於研究、創新、政策制定、患者安全或監管活動。本章定義一組資料類型，規範可利用之既定目的以及受禁止之目的（如商業廣告、增加保險、開發危險產品），並規定會員國必須建立健康資料近用機構（health data access body），以便電子健康資料的二次利用，並確保由資料持有者所產生之電子資料可提供給資料使用者； （5）第五章為其他行動（Additional actions），其旨在提出其他措施以促進會員國之能量建構（capacity building），以配合EHDS之發展，包括數位公共服務之資訊交換、資金，並規範於EHDS下非個人資料之國際近用規定； （6）第六章為歐洲治理與協調（European governance and coordination），其創建「歐洲健康資料空間委員會」（European Health Data Space Board, EHDS Board），促進數位健康當局及健康資料近用機構之間的合作，特別是電子健康資料之原始與二次利用間之關係，並包含歐盟基礎設施聯合管理小組（joint controllership groups for EU infrastructure）相關規定，其任務在於就電子健康資料之原始與二次利用所需之跨境數位基礎建設進行相關決策； （7）第七章為授權與委員會（Delegation and Committee），其允許歐盟執委會通過關於EHDS之授權法案（delegated acts），並希望根據C (2016) 3301號決定成立一個專家小組，以便於準備授權法案、實施本規則時提供建議與協助； （8）第八章為附則（Miscellaneous）規定，其中包含關於合作與處罰之規定，以及要求於本規則實施後進行評估與檢視之條款； （9）第九章為延遲適用與最終條款（Deferred application and final provisions），其規定本規則與個別條款之生效日。