聯合國人權高級專員辦公室發布《數位時代隱私權》調查報告

　　中國大陸商務部於2020年9月19日發布「不可靠實體清單規定」（商務部令2020年第4號），作為建立對外國實體（包含外國企業、其他組織或個人）與中國大陸貿易或投資等國際經貿相關活動實施限制之依據。即便中國大陸商務部主張「不可靠實體清單規定」係為落實《對外貿易法》與《國家安全法》之要求，並未針對特定國家或特定實體，但在美中貿易對抗局勢下，仍被認為顯係針對美國商務部貿易管制規則「實體清單」的反制作為。 　　依據「不可靠實體清單規定」，中國大陸政府堅持獨立自主的對外政策，互相尊重主權並互不干涉內政，在平等互利的原則下，任何外國實體在國際經貿及相關活動中，凡涉及危害中國大陸國家主權、安全、發展利益，或是違反正常的市場交易原則、中斷與中國大陸企業、其他組織或個人的正常交易，或是對中國大陸企業、其他組織或個人採取歧視性措施，嚴重損害其合法權益，中國大陸即有權透過建立不可靠實體清單制度，對上述外國實體採取相應措施。 　　中國大陸國務院商務主管部門將設置專責組織，負責就經建議或舉報之外國實體進行調查，凡經調查而被公告列入不可靠實體清單者，中國大陸政府可採取的相應措施包含限制或禁止與中國大陸有關之進出口活動、在中國大陸境內投資、限制或禁止其相關人員或交通工具等入境、限制或取消相關人員的工作許可或居留資格、相應數額的罰款或其他必要措施。若中國大陸企業、其他組織或個人因特殊情況須與被限制之外國實體交易，應事前提出申請取得同意。

　　德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件，協助中小企業提升對於組織及特別領域中的資安風險之意識，並進一步採取有效防護檢測，包括基本安全防護措施、組織資安維護、及法規，並同時宣導德國資料保護法中對於資安保護的法定要求。 　　資通訊安全及其法規係為企業進行數位化時，涉及確保法的安定性（Rechtssicherheit）之議題。加強資安保護，除可增進銷售及生產力，並使商業貿易間有更大的透明度和靈活性，和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求，提供相關服務，並使共享資料得到完善的保護。例如：應如何保護處理後的資料？如何執行刪除個人資料權利？各方如何保護營業秘密？如果資料遺失，誰應承擔責任？唯有釐清上述相關等問題時，方能建立必要的信任。而在德國聯邦資料保護法，歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則，係為數位創新企業執行資安基礎工作重要法律框架。但是，由於數位化的發展，新的法律問題不斷出現，目前的法律框架尚未全面解決。例如，機器是否可以處理第三方資料並刪除或保存？或是誰可擁有機器協作所產生的資料？因此，未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備，工業4.0的IT法律問題變得複雜。一方面，需要解決中、大型企業的營業祕密，資料所有權和責任主題之實際問題，以促進相關數位化創新。另一方面，為了能夠推導出現實的法律規範，需要更多具體實施案例討論。 　　據研究顯示，企業家對產品責任問題，人工智慧使用，外包IT解決方案，及雲端計算等核心問題的新法規以顯示出極大的興趣，並進一步列入既有或規劃中研究項目。未來，政府將協助為所有公司在安全框架下展開數位計畫合作的機會，並充分利用網路的潛力，而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。

　　為因應近來智慧聯網（IoT）、巨量資料及雲端運算發展趨勢，為強化線上隱私權利及促進歐盟數位經濟的發展，歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案：「保護個人有關個人資料處理及自由流通規章（一般資料保護規章）」（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)），以取代並廢除（repealed）原有「個人資料保護指令」規範，並修改（amend）「隱私與電子通訊指令」，預計在2013年6月進入歐洲議會、理事會及執委會的三方協商，若順利將在2014年通過，並在2016年生效。 　　「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應，重要規範內容有(1)追蹤（tracking）與特徵分析（profiling）：訂定第20條「特徵分析措施」（Measures based on profiling）規範條文，保障每個當事人皆有主張不被採取特徵分析措施（如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度）而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權（right to be forgotten and to erasure）：訂定第17條，創設新的權利「被遺忘及刪除權」，用以幫助民眾處理線上資料，當其不希望自己的資料被利用且無合法理由保留時，資料將被刪除(3)資料可攜權利（the right to data portability）：訂定第18條，當資料處理是以電子化方法，且使用結構性、通用的格式時，資料當事人有權利可以取得該結構性、通用格式下的個人資料，更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件：第4條第8款明定，不論何種資料處理情況時所需的同意，增列必須是明確（explicitly）同意之要件(5)「設計階段納入隱私考量」（privacy by design）、「預設隱私設定」（privacy by default）：訂定第30條，要求資料控制者及處理者應實行適當的技術性、組織性措施，並考量科技發展水準，制定特定領域及特定資料處理情況的標準及條件，並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。 　　歐盟此次對於「一般資料保護規章」(草案)的修法進程，以及世界各重要國家的立場及反應態度，均值得後續密切觀察研析。