英國法律委員會提出75項自駕車修法具體建議，突破框架建構新體系

　　2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定，擴大解釋《資料保護指令》（Directive 95/46/EC）之「資料控制者」範圍，認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》（GDPR）相同，因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 　　本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用，其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利，然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資，當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益，即使未實際擁有任何個資，仍被視為負共同責任（jointly responsible）的資料控制者，應依具體個案評估每個資料控制者責任程度。 　　在原《資料保護指令》並未有「資料控制者需負共同責任」之規定，本案擴大解釋資料控制者範圍，對照現行GDPR屬於第26條「共同控制者」之規範主體，然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者，是否過於嚴格？且未來如何劃分責任與義務，皆有待觀察。

　　美國有線電視新聞網（Cable News Network, CNN）通過美國聯邦航空總署（Federal Aviation Administration, FAA）之審查，允許使用小型無人機（small Unmanned Aerial Vehicle, sUAS）直接穿越人群中（flying directly over a person or people）進行拍攝採訪，為美國目前第一件允許在商業目的中使用小型無人機自由穿梭人群之豁免核准案。 　　美國於2016年8月通過聯邦法規第107篇（14 CFR Part 107）又稱小型無人機規則（small UAS rule），規定關於小型無人機之操作規範。其中該規則列舉7種操作禁止事項，須事前經由美國聯邦航空總署豁免方得進行操作（又稱Part 107 Waiver），分別為：1.夜間飛行、2.直接穿越人群飛行、3.經由行進車輛或飛機進行飛行、4.一人操作多架無人機、5.視距外飛行、6.飛行超過400英呎、7.飛行區域近機場或禁航區附近。 　　CNN本次豁免項目即第107.39條的「直接穿越人群飛行」之規定，該規定除飛越對象為操作者本身，或僅飛越在建築物、車輛上並不受禁止規範外，只要無人機穿越人群皆須經美國聯邦航空總署審查同意方得操作，否則將面臨重罰。此一豁免通過後，改變以往記者與攝影師合作之拍攝手法，改由受訪者直接接受無人機採訪，除節省人力資源外也能突破地勢之空間限制，對於商業營運模式將有重大變革。 　　 然而由於直接穿越人群飛行之風險性極高，因此在本次豁免條件中亦有嚴格限制，除只能使用申請時之特定無人機外，並應該嚴格遵守製造商之使用說明。另外，不得擅自改變無人機之設計或在未經允許下額外加裝配備。同時飛行高度亦不得高於海平面150英呎，並須定期檢測維修。最後每次操作皆須詳細記錄並保存，包含機械故障時須立即回報。

　　美國白宮科學與技術政策辦公室（The White House’s Office of Science and Technology Policy , OSTP）於2020年1月9日發布「人工智慧應用管制指引」（Guidance for Regulation of Artificial Intelligence Application），為美國政府機關起草人工智慧規範並進行管制時提供指引，該指引內要求各機關之規範應遵循以下10項人工智慧原則： 一.公眾對AI之信任：政府對AI之管制或其他措施應促進AI之可靠性、健全性，且於應用上應具備可信性。 二.公共參與：政府應提供機會讓利害關係人參與AI管制規範立法程序。 三.科學實證與資訊品質：科學實證與資訊品質：政府機關發展AI之相關技術資訊，應透過公開且可驗證之方式提供給大眾參考，以提高大眾對AI之信任與協助政策制定。 四.風險分析與管理：應採取以風險為基礎之分析評估方法，確認哪些風險係可接受之風險，或那些風險代表無法接受之損害或所失利易大於預期利益。 五.利益與成本：政府於擬定相關規範時，應小心評估AI對於整體社會之利益，與預期外之效果。 六.彈性：法規應持續滾動檢視與調修以因應AI之創新應用。 七.公平且無歧視：政府應針對AI之應用與決策，考量公平與無歧視相關議題。 八.揭露與透明：透明度與揭露程序之建立可提升公眾對AI應用之信任。 九.安全：政府應特別注意AI系統內所儲存或傳輸資訊之安全與相關安全維護控制措施。 十.跨機關合作：政府各部會或機構間應相互合作與分享經驗，以確保AI相關政策之一致性與可預測性。

歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》（Cyber Resilience Act）草案，後續待歐盟理事會正式同意後，於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品（products with digital elements, PDEs）（下簡稱為「數位產品」）具備對抗資安威脅的韌性，並提高產品安全性之透明度。草案重點摘要如下： 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務，規定產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。 二、數位產品合規評估程序（conformity assessment procedures） 為證明數位產品已符合資安及漏洞處理要求，依數位產品類別，製造商須對產品執行（或委託他人執行）合規評估程序：重要（無論I類或II類）數位產品及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞，並提供「安全更新」（security updates）等方式修補漏洞。安全更新後，應公開已修復漏洞之資訊，惟當製造商認為發布相關資訊之資安風險大於安全利益時，則可推遲揭露。 四、新增開源軟體管理者（open-source software steward）之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策，並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞，或遭受嚴重事故時，應及時透過單一通報平臺（single reporting platform）進行通報，並通知受影響之使用者。