美國和歐盟執委會於2022年3月25日宣布將建立新的跨大西洋資料保護框架(Trans-Atlantic Data Privacy Framework),該框架將促進美國與歐洲之間的資料流通,並解決歐盟法院在2020年宣布隱私盾協議(EU-U.S. Privacy Shield framework)無效時所提出的疑慮與問題。
該框架是重新建立美國與歐盟兩地個人資料傳輸的一個重要法律機制。美國承諾將實施新措施,以確保訊號情報活動(signals intelligence activities)是在必要且合法的國家安全目標下進行,並且不得不成比例地影響對個人隱私和公民自由的保護。基此,美國承諾的新措施包含強化美國訊號情報活動的隱私及公民自由保障機制、建立獨立且具約束力的救濟措施,以及強化美國情報機構對現有訊號情報活動的程序且分層監督。對於歐盟公民而言,將有全新且高標準的規範來保護個人資料;而對於美歐間的民眾和企業而言,該框架將可促進資料持續流動,足以鞏固歐美兩地每年高達一兆美元的跨境貿易,並使各種規模的企業能夠在彼此的市場中競爭。
資料流通對於美歐雙方的經濟關係以及所有企業而言都至關重要。事實上,美國和歐洲之間的資料流通所創造的經濟價值高達7.1兆美元,高居世界首位。在此背景下,新的跨大西洋資料隱私框架將強化美國與歐盟雙方對隱私、資料保護、法治和整體國家安全的共同承諾,未來美國與歐盟雙方將依此框架持續推進雙方各自相關的法律規範。
英國技術大臣(U.K. Secretary of State for Science)蜜雪兒·多尼蘭(Michelle Donelan)和美國商務部長(U.S. Secretary of Commerce)吉娜·雷蒙多(Gina Raimondo)於2024年4月1日在華盛頓特區簽署一份合作備忘錄(MOU),雙方將共同開發先進人工智慧(frontier AI)模型及測試,成為首批就測試和評估人工智慧模型風險等進行正式合作之國家。 此備忘錄之簽署,是為履行2023年11月在英國的布萊切利公園(Bletchley Park)所舉行的首屆人工智慧安全峰會(AI Safety Summit)上之承諾,諸如先進AI的急速進步及濫用風險、開發者應負責任地測試和評估應採取之適當措施、重視國際合作和資訊共享之必要性等等,以此為基礎羅列出兩國政府將如何在人工智慧安全方面匯集技術知識、資訊和人才,並開展以下幾項聯合活動: 1.制定模型評估的共用框架(model evaluations),包括基礎方法(underpinning methodologies)、基礎設施(infrastructures)和流程(processes)。 2.對可公開近用模型執行至少一次聯合測試演習(joint testing exercise)。 3.在人工智慧安全技術研究方面進行合作,以推進先進人工智慧模型之國際科學知識,並促進人工智慧安全和技術政策的一致性。 4.讓英、美兩國安全研究所(AI Safety Institute)間的人員互相交流利用其團體知識。 5.在其活動範圍內,依據國家法律、法規和契約規定來相互共享資訊。 換言之,兩國的機構將共同制定人工智慧安全測試之國際標準,以及適用於先進人工智慧模型設計、開發、部署、使用之其他標準。確立一套通用人工智慧安全測試方法,並向其他合作夥伴分享該能力,以確保能夠有效應對這些風險。就如英國技術大臣蜜雪兒·多尼蘭強調的,確保人工智慧的安全發展是全球性問題,只有通過共同努力,我們才能面對技術所帶來的風險,並利用這項技術幫助人類過上更好的生活。
美國提出「個人資料隱私暨安全法案草案」,規範聯網環境商業應用及隱私權利面對層出不窮資料違背或身份竊盜事件,2014年初, FTC於美國國會的例行會議上,就數位時代關於隱私權之保護課題進行作證,會議中,FTC乃呼籲美國國會應立即通過制定一個更強的聯邦資料安全與違背提醒的法律,其也進而提出「個人資料隱私暨安全法案(草案)」 (Personal Data Privacy and Security Act of 2014, S.1897)。該草案主要分成兩大部分: 第一部份,將強化身份竊盜和其他違反資料隱私與安全之懲罰;第二部份,係關於可茲辨識個人資料(PII)之隱私和資訊安全。 法案第202條係關於「個人資料隱私與安全機制」(personal data privacy and security program),目的在強化敏感性可茲辨識個人資料的保護,從行政(administrative)、技術(technical)和實體(physical)三個構面的防衛機制,進行相關標準之制訂與落實。有關適用之範疇,乃就涉及州際貿易之商業實體,而該州際貿易包含蒐集、近取、傳輸、使用、儲存或在電子或數位格式處理可茲辨識個人之敏感性資料,而這些資料總計多達1萬筆以上,然而,將不適用於金融機構(financial institutions)、醫療保險轉移和責任法(HIPPA)所管制者、服務提供者(service provider)和公共紀錄(public records)。 而在機制設計上,也係從「設計」(DESIGN)、「風險驗證」 (RISK ASSESSEMENT)和「風險管理」(RISK MANAGEMENT)三個角度進行切入,也必須確實提供員工教育訓練(TRAINING)、弱點測試(VULNERABILITY TESTING)、定期驗證和個人資料隱私與安全之更新,另外,在與外部與服務提供者(例如ISP)之關係上,公司必須盡到適當勤勉的義務(due diligence),也必須透過契約(contract)方式,約定前述所建置起之資料隱私安全機制,並在安全性遭受到侵害時,以合理方式通知締約他方。 本案目前在聯邦參議院已經二讀通過,已交付參議院司法委員會進行下一階段的審議,該立法草案未來是否會直接或間接影響物聯網環境生態系統之商業運作,有待未來持續關注之。
英國數位、文化、媒體暨體育部公布「家用智慧裝置消費者指引」英國數位、文化、媒體暨體育部於2018年10月14日公布「家用智慧裝置消費者指引」(Consumer guidance for smart devices in the home)。該指引之目的係因應家用之智慧及聯網設備(例如:智慧電視、音樂播放器、聯網玩具或智慧廚房等)日益普及,以及可能發生之侵害消費者個人資料之風險。 本指引提出以下方向,供消費者參考: 一. 智慧裝置之設定 (一) 應閱讀與遵循智慧設備之設定指示。 (二) 確認設備指示是否要求使用者須至製造商網站設定帳號。 (三) 若所設備預設之密碼過於簡單(例如,0000),則應更換成較複雜之密碼。 二. 帳號管理 (一) 確保密碼複雜性。 (二) 若設備提供雙重驗證功能,消費者應使用之。 (三) 特定產品可能提供遠端存取功能,消費者應於不再家時考慮將該功能關閉。 三. 持續更新應用軟體與Apps (一) 消費者應檢查其設備是否可設定自動更新。 (二) 應安裝最新版本的軟體與Apps。 四. 若接到資安事件之通知,應採取行動 (一) 於接到資安事件通知後,應訪問製造商網站以確認其是否提供後續因應措施等資訊。 (二) 定時確認國家安全網路中心以及資訊保護委員會辦公室網站是否公布相關網路安全指引。
加州針對18歲以下兒童通過兒童隱私保護法加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》(California Age-Appropriate Design Code Act AB 2273,以下簡稱該法),2023年4月28日,倡議團體與聯邦政府官員提交一份意見陳述以支持該法,預計於2024年7月1日生效;針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍: 1. 倘若企業提供的線上服務、產品或功能符合以下條件,則受該法所規範: (1) 提供服務的對象為兒童(年齡於13歲以下的孩童)之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站,或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA(California Privacy Rights Act)所規範之「企業」,是位於加州並蒐集加州居民個人資料的營利性組織,其須滿足以下條件之一: (1) 年度總收入超過 25,000,00美元,或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料,或者年收入的50%以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估:企業針對所營事業須完成資料保護評估,且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置:企業對於兒童使用者,須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款:企業必須簡明的提供隱私政策、服務條款和明確標準,並使用與兒童年齡相符的清晰語言,以便兒童理解語意。 (1) 將兒童依據年紀分為:0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 (2) 定位服務:要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時,向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護,確保兒童個人資料不會在沒有認知的情況下,因使用服務而被蒐集、處理及利用。該法特殊的地方為,對於未成年人進一步區分不同年齡段,若有明確區分出並針對各年齡段進行不同的告知事項設計,將更易使閱讀之未成年人明確了解個資告知內容,應值贊同。