新加坡正式推動金融服務與市場法案，加強對新型態金融服務產業之監管力度

　　沙盒（Sandbox）是一個讓小孩可以安全遊玩與發揮創意的場所，在電腦科學領域，沙盒則是用來代稱一個封閉而安全的軟體測試環境。而監理沙盒（Regulatory Sandbox），則是在數位經濟時代，為因應各種新興科技與新商業模式的出現，解決現行法規與新興科技的落差，故透過設計一個風險可控管的實驗場域，提供給各種新興科技的新創業者測試其產品、服務以及商業模式的環境。 　　在監理沙盒當中，業者將暫時享有法規與相關責任的豁免，減低法規遵循風險，以使業者能夠盡可能地測試其技術、服務或商業模式。透過在測試過程中與監管者（通常為政府主管機關）的密切互動合作，針對在測試過程中所發現或產生的技術、監管或法規問題，一同找出可行的解決方案，並作為未來主管機關與立法者，修改或制定新興科技監管法規的方向跟參考。 　　監理沙盒一詞源自英國在2014年因應Fintech浪潮所推動的金融科技創新計畫，而類似的概念也出現在日本2014年修正產業競爭力強化法當中的灰色地帶消除制度與企業實證特例制度。我國則於2017年通過金融科技發展與創新實驗條例，為我國監理沙盒的首例，2018年我國持續推動世界首創的無人載具科技創新實驗條例立法，為我國建構更有利於產業創新的法制環境。

　　歐洲數位權利中心（The European Center for Digital Rights，下稱noyb）為提倡網路隱私權、消費者隱私的非營利組織，其於2021年11月12日向奧地利資料保護局（Austrian Data Protection Authority, DSB）投訴Grindr公司，抗議該公司的Grindr應用程式違反歐盟的一般資料保護規範（即General Data Protection Regulation，下稱GDPR）。 　　Grindr是款交友約會軟體，主要的使用者為男同性戀、雙性戀以及跨性別者。使用者註冊帳號時，僅需提供電子郵件信箱帳號及密碼和一些個人基本資料即可。然而，若使用者想了解Grindr公司如何使用其個人資訊時，Grindr公司要求使用者需手持記載其電子郵件的字條，或拿著護照自拍，經該公司確認使用者身分後，才會配合使用者的請求。noyb直言，Grindr公司的認證政策不僅荒謬，更違反了GDPR。 　　 noyb代表一個名為「Hunk_69」的帳號使用者提出投訴，這個帳號因為身分認證失敗而遭到Grindr公司拒絕透露該公司如何使用其個人資料。noyb指出Grindr公司對於使用者提供個人資料的政策前後不一，儘管使用者在使用Grindr交友時可以保持匿名狀態，但在向Grindr公司請求提供個人資料用途時，卻需要提供真實身分。noyb主張Grindr公司已經違反歐盟GDPR第5條（1）©「資料最少化原則」。多數公司多半以「安全理由」要求客戶提供個人資料供其認證，但這樣的要求是不當的，根據奧地利聯邦行政法院、愛爾蘭資料保護委員會（the Irish Data Protection Commissioner, DPC），以及丹麥資料保護局（Danish Data Protection Agency, Datatilsynet）近期裁決見解，認證客戶身分必須個案評估使用者的身分是否有疑慮，而非一概的要求使用者進一步提出個人資料以供公司認證。因此，使用者在Grindr註冊帳號時，既然毋庸提供真實姓名，則Grindr公司於認證使用者身分要求提出真實姓名，實際上是無任何幫助，反而違反了GDPR第5條「資料最少化原則」及第12條（6）規定。 　　noyb創辦人Max Schrems表示，Grindr的設計就是讓使用者保持匿名狀態，因此使用者僅須使用電子郵件信箱和密碼，就可以在Grindr上與人互動，甚至分享最私密的照片，但想要實行GDPR相關權利時，卻須自行揭露身分並提供身分證明。 　　Grindr公司則認為，如果使用者想要實踐GDPR賦予使用者的權利，不願與Grindr分享任何個人資訊，可以刪除Grindr帳號。

　　英國政府於2014年7月17日公告施行「2014年資料保存和調查法」（Data Retention and Investigation Powers Act 2014）(下稱新法)。新法係為因應歐盟法院2014年4月8日判決，由於全面資料保存不合比例地干預隱私權和「歐盟基本權利憲章」（EU Charter of Fundamental Rights）對個人資料的保護，歐盟2006/24/EC資料保存指令(Data Retention Directive 2006/24/EC)應予廢棄。該指令要求歐盟各國電話及網際網路公司搜集使用者電話及電子郵件通聯紀錄，包括時間、地點及受話人或收件人，並儲存至多兩年。 　　新法規範重點摘要如下： 1.相關通訊資料保存： (1)通訊相關資料保存權力受到管制保障： 新法除規範資料蒐集與保存制度，並規定英國政府得要求國內外電話及網際網路業者搜集其客戶通訊資訊，最長可保存12個月。 (2)於第二節補充前一節用語定義。 2.調查權： (1)新法授權政府得基於國家安全和預防或偵查重大犯罪而監聽取得國內外通訊相關資訊。 (2)修正「2000年調查權規範」(Regulation of Investigatory Powers Act of 2000)第一編之域外規範。 (3)擴大「電信服務」定義，納入提供接取、促進使用、促進傳播通訊之創建、管理、儲存或透過相類似系統之傳播者。 (4)通訊監聽委員(the Interception of Communications Commissioner)每半年提出報告。 (5)調查權力及規範之複審。 3.開始、持續期間、範圍和簡稱：新法落日條款之規範，2016年12月31日將失其效力。

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。