美國加州州長於2021年10月6日正式簽署《基因資訊隱私法》(Genetic Information Privacy Act, GIPA), 將於2022 年 1 月 1 日生效。GIPA在聯邦法和州隱私法的框架下,補充建立基因資訊保護機制,規範無醫護人員參與的「直接面對消費者基因檢測公司」(Direct-to-consumer genetic testing company,下稱DTC公司)之個資保護義務,並要求DTC公司執行下列消費者基因資料(去識別化資料除外)之蒐集、利用、揭露,須獲消費者明示同意:
上開同意之取得,不可使用黑暗模式(dark patterns)誤導消費者,並必須針對資料或樣本採取合理安全維護措施。
GIPA也新增消費者權利,保障消費者近用權和刪除權,DTC公司須制定政策,使消費者易於近用基因資料、刪除帳戶與基因資料、銷毀生物樣本等,並須於消費者依法撤回同意後30日內銷毀之,不得因行使權利而有差別待遇。DTC公司若GIPA違反規定,消費者擁有私人訴訟權。
2019年9月英國資訊委員辦公室(Information Commissioner's Office, ICO)啟動沙盒計畫(ICO Sandbox)測試階段(beta phase),由ICO所選10個測試專案,透過解決當今社會問題,例如如何減少暴力犯罪、大學如何促進學生的心理健康、新技術如何改善醫療保健等,期能促進公眾利益。 各專案在滿足創新性和可行性前提下,同時也面臨著複雜的資料保護議題,因此ICO持續與各專案溝通,提供其應用現有個資保護指引之建議,如歐盟一般資料保護規則之資料保護影響評估指導文件(Guide to the GDPR - Data protection impact assessment)、資料保護自我評估工具包(Data protection self-assessment toolkit)等。自2019年3月底開始(受理申請)迄今,ICO沙盒執行過程中所觀察到的關鍵議題如下: 公部門資料應用效益:部份參與者正在克服與公部門進行歷史資料共享,或是如何整合應用大數據等。個人資料與新技術應用,必須與資料主體的權利和自由進行權衡。 同意:確保各方對於「同意」(Consent)之理解,以弭平差異,同時向公眾提供透明資訊。 新技術的挑戰:應用語音生物辨識(voice biometrics)、臉部辨識技術(facial recognition technology, FRT)等,需要在適當基礎上處理特殊類別資料。 資料分析(Data analytics):以符合資料保護的方式進行資料分析,處理特殊類別資料的適法性,評估處理過程中的風險,並檢查可能用於資料分析的資料來源,確保符合目的之應用。 未來的6個月,ICO將持續與各專案合作,使其為有效的解決方案,為公眾提供創新合規之產品與服務,並成為未來結合資料保護和創新應用之規劃藍圖,以奠定隱私保護的基石。
奈米產品蘊藏健康風險,其管理應更慎重許多天然或人造的成分被奈米化之後,物理和化學性質可能都會改變,今年三月底,在德國即出現一起疑似因為使用奈米科技製造的廁所清潔噴霧劑「魔術奈米」,陸續出現嚴重呼吸問題,被送往醫院診治,其中六人還因肺水腫住院的案例,可見奈米級產品的安全性應有更為審慎之把關。 在各式奈米級產品中,「添加顏料、金屬和化學藥劑,是奈米化妝品與保養品對人體健康的最大變數!」美國 FDA 規定, 1 到 100 奈米( nm )微粒的保養品、化妝品都算是奈米產品,用來防曬的二氧化鈦是最常被添加的金屬成分,傳統粗顆粒的防曬用品,利用二氧化鈦擋住紫外線傷害皮膚,但鈦成分變成超細微粒,進入皮膚底層後會不會沈澱、累積,衍生皮膚癌、中毒或過敏病變?或經由血液沈積在內臟?目前都沒有具公信力驗證單位可以說明。各式化妝品調色的顏料,以及美白等用途的化學藥劑也被奈米化,對塑造時下流行的「裸妝」效果,確實很有幫助,不過,一旦這些化學製成的奈米微粒粒徑小於 50 到 80 奈米,也就是小於角質細胞的間隙,就會對皮膚造成傷害。至於奈米化的蜜粉和粉餅,可能因為撲粉過程把奈米微粒吸入肺部,產生呼吸道病變,甚至有致命危機。因此,許多學者均強烈主張,化妝品、保養品要上市販售之前,必須完成醫學上的病理實驗,不要把人當白老鼠。 生活中已經有多種產品以奈米化之形式推出,例如:保養品、化妝品奈米化的速度很快,許多製造商推出的新保養品均號稱含有奈米微粒,可深入肌膚,達到防皺、除皺功效。但是,英國皇家學會和美國食品藥物管理局( FDA )相繼表示,醫學界對奈米微粒與肌膚相互作用的知識還相當貧乏,除了深入肌膚的功效有待驗證外,更要注意這些奈米微粒是否會對血液產生長期的影響。 奈米科技是否會步上基因改造食品的後塵,成為消費者對新科技存疑之另一項技術,值得注意。奈米科技在風險未被證實前,業者腳步走太快,而政府完全放手不管,一旦出現意外事故,就可能把這項新科技給毀了。故要求主管機關要有所作為呼聲已經陸續出現,繼英國皇家學會最早投入相關之健康風險研究後,美國消費者團體亦透過 petition 機制,要求 FDA 加強對奈米級產品之管理。
英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。 下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明: 一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。 二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。 三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。 四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。 就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。 該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。 OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。