美國國家標準暨技術研究院規劃建立「人工智慧風險管理框架」，並徵詢公眾對於該框架之意見

　　英國「文化、媒體及體育部」（Department for Culture, Media and Sport，DCMS）於2010年10月14日宣布關於19個公共部門的改革或廢除的政策，目的在增加政府公共服務的透明度與負責度。這些政策也包含針對電信管制機關Ofcom的改革方案。 　　針對Ofcom擬議的改革如下：修訂Ofcom每五年檢討公共廣播服務的責任，改由部長決定檢討的時機與範圍。允許Ofcom能有彈性的改變其機關結構，但須經過部長批准。廢除Ofcom促進訓練發展機會與提供公平機會的責任。改變Ofcom對區域頻道Channel 32網路安排之檢討，由年度檢討轉變為保留由Ofcom評估是否需要檢討。修訂Ofcom每三年審查媒體所有權的責任，回歸由部長決定是否檢討。取消對公共廣播服務者需提供年度節目規劃政策資訊的要求。修訂Ofcom對於Channel 3 與Channel 5的執照控制權變更的自動審查責任。允許Ofcom向ITU收取衛星申請費用。而在政府組織改革中，也計畫將郵政主管機關Postcomm合併至Ofcom，並隨之修訂其義務與權限。由這些改革方案來看，主要的作用在於修正或限制部分Ofcom的責任，以將政策制訂的權限回歸DCMS部長，減少不必要的花費與提高行政效率，後續效應值得觀察。

　　印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟，主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件，而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉，依法各得請求15萬美元罰金，此為印第安那州提起之首件違反通報義務之訴訟。 　　前述法令於2009年7月生效，新法規定個人資料擁有者〈database owners〉負有「通報義務」，其於個資外洩事件發生後，必須在「合理期間」〈within a reasonable period of time〉內，對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉，以及檢察署通報，惟經調查，該公司未於合理時間內通報前述應通報之對象。 　　經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩，卻6月18日始通知客戶，檢察署展開調查後認定其遲延通報無正當理由，故代表印地安那州向其提起民事賠償。 　　前述所指外洩之個人資料包括：提出投保申請者之個人資料內容，諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉，因該保險公司網頁之照管者〈siteminder〉未能實行安全防護，使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。 　　除印第安那州客戶外，該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露，包括：美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州，約有47萬個客戶可能因此受影響。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

　　法國政府基於保護電影、音樂等產業，在2009年3月提出將採取「三振法案」（Three-strikes law），對於不法使用網路下載音樂和檔案者，祭出明確的管制。第一階段違法者將會收到電子郵件警告，第二階段會收到書面之警告，第三階段將切斷該網路連接最長1年。 　　但這個提議在2009年4月遭到法國議會否決，有議員表示這項規定是「危險、無用、無效率且對民眾有相當大之危險。」消費者團體則表示，「無辜的民眾將會受到處罰，而駭客等真正的犯罪者則可以利用入侵他人之帳號規避法規，而且，該架構顯然缺乏配套的監督機制。」 　　無獨有偶的是，歐洲議會（European Parliament）也在同年11月針對歐盟電信信改革（EU Telecoms Reform）之討論，駁回該議案。議會認為，對人民通過網路使用服務和應用而進行的網際網路連接行為，在採取的措施時，應該尊重基本的人權和自由。這些限制權利的手段必須符合民主社會的法規，必須有效、公平和公正，比如通過法院進行審理等。而法國所提之切斷網路連接的三振法案與此原則不符。