美國財政部制裁向俄羅斯運送伊朗製無人機之空運業者及製造商

　　美國總統歐巴馬日前表示其將訂立「學生數位隱私法」（The Student Digital Privacy Act）以確保因教育目的而被蒐集之學生個人資料將不會被用於無關之用途。換言之，該法將禁止，例如，利用所蒐集資料對學生進行精準行銷的行為，但仍會許可蒐集者利用所蒐集資料改善其所提供之軟硬體教育設備或用以幫助學生之學習品質。 　　針對學生之隱私保護，目前於聯邦層級至少已有家庭教育權利與隱私法（Family Educational Rights and Privacy Act，FERPA），該法及其授權法令雖賦予學生及其家長對學校所保有之教育紀錄（educational record）之蒐集、使用有知情同意權及其他如修正教育紀錄之權利。但FERPA也列了相當多的例外情形，例如，醫療資料、受雇紀錄等均不在教育紀錄之列；此外，學校亦可不經同意即公布學生的姓名、電子郵件、出生地、主修、預計畢業日期等資料。 　　學生數位隱私法未來如能獲國會通過成為法律，該法與FERPA的異同，及其內容與施行實務是否確有助於學生隱私之改善，仍有待觀察。

一、緣起與目標 「依賴制度（reliance）」指一國有效利用他國的審查結果，而減少重複作業、提升效率，並促進病人更快取得安全、有效產品的政策。為此，國際醫療器材法規管理論壇（International Medical Device Regulators Forum, IMDRF）於2025年3月提出《醫療器材監管依賴計畫操作手冊》（Playbook for Medical Device Regulatory Reliance Programs）草案，協助各國建立與管理依賴制度。惟此制度並非「無條件接受他國決策」或「國際換證」，而須由各國自行決定如何利用依賴制度，並承擔最終監管責任。 二、應用範圍 該手冊適用於所有醫療器材（含體外診斷器材）或輔具，並涵蓋產品生命週期各階段（如技術文件審查或品質管理系統驗證等）。 三、依賴機制的類型 手冊歸納三類依賴機制並舉例說明： 1.工作共享（Work-sharing）：指多國協作進行監管任務，可為聯合評估、聯合檢查，或共同推出監管標準等。如IMDRF推出的「醫療器材單一稽查計畫」，訂定多國之驗證機構對製造商的統一稽核標準，使廠商受稽後所作成的稽查報告可一次性符合數國法規。 2.簡化審查（Abridged Review）：以他國完整的審查成果作為基礎，僅針對當地「特有」及「新增」的風險進行審查。如新加坡健康科學局已實施簡審制度。 3.承認（Recognition）：正式接受他國監管決策結果作為判斷依據，可分為單、雙、多邊的承認。如CE標誌的醫材可在歐盟27個成員國內通行。 四、結語 IMDRF並非藉由該手冊推行「最佳模式」，而是協助各國依需求發展適合的監管依賴策略，加強協作與資源共享，進而促進全球監管上的一致性與產品流通性。近年世界衛生組織及區域組織（如歐盟、東協、非洲聯盟發展署）越加重視各國監管法規的一致性，並將審查資源移向人工智慧或高風險醫材的監管探索中，此監管趨勢值得我國持續關注。

　　日本於2021年5月19日公布新修正之《個人資料保護法》（個人情報の保護に関する法律），並預計於2022年4月正式施行。修法重點如下： 一、法律形式及法律管轄一元化：現行日本個人資料保護法制依適用對象分為《個人資料保護法》、《行政機關個人資料保護法》（法律行政機関の保有する個人情報の保護に関する法律）、《獨立行政法人等個人資料保護法》（独立行政法人等の保有する個人情報の保護に関する法律）及各地方政府個人資料保護條例等不同規範，修法後將統一適用《個人資料保護法》，並受到個人資料保護委員會之監督管理。 二、整合醫療及學術領域之規範：目前醫療及學術機構因隸屬於公部門或私部門適用不同規範，修法後無論公私立醫院、大學等原則上均適用相同規範。 三、調整學術研究之豁免規定：基於學術研究自由為憲法保障之基本權，現行《個人資料保護法》明文規定學術研究一律排除適用本法規定，惟2019年日本取得《歐盟一般資料保護規則》（GDPR）適足性認定之範圍未包含學術研究，故修法調整豁免規定為例外情形排除適用，如變更利用目的、取得敏感性個人資料及提供予第三者之情形。 四、整合個人資料及匿名化資料之定義：修法將公部門與私部門對個人資料之定義，整合為包含「易於」與其他資料比對後得以識別特定個人之要件。而《行政機關個人資料保護法》所稱「去識別化資料」（非識別加工情報），與《個人資料保護法》所稱「匿名化資料」（匿名加工情報），修法後將統一稱為「匿名化資料」。 　　為銜接上述修法內容，日本個人資料保護委員會自2021年8月起陸續針對《個人資料保護法施行令》、《個人資料保護法施行規則》及個人資料保護法相關指引公開徵求意見，後續值得持續觀察日本個人資料保護法制發展。

　　2016年1月， 隸屬英國商業、創新和技術部 (Department for Business, Innovation and Skills，BIS)的科學辦公室(Government Office for Science)發布「分佈式分類帳技術：區塊鏈以外(Distributed Ledger Technology：beyond block chain)」研究報告。本篇報告由產官學界合作完成，主要在評估分佈式分類帳技術可以運用在哪一些公私領域，並決定政府以及私人應該採取哪些行動以促進分佈式分類帳技術可被有益運用，並避免可能帶來的傷害。 　　該份研究報告認為，分佈式分類帳技術可在多個領域協助政府機構，包含徵稅、提供福利、發行護照、土地登記、確保商品供應鏈並且確保政府記錄與服務的完整性。相較於其他網路系統，分佈式分類帳技術較不易受駭客攻擊，而且由於每個参與者都有一份帳簿副本，如果有惡意竄改的狀況，也可以輕易被發現，但這不表示分佈式分類帳技術就不會被駭客攻擊。 　　數位五國(Digital 5，D5)之一的愛沙尼亞，已多年實驗運用分佈式分類帳技術於公領域服務多年。愛沙尼亞政府透過私人公司運用分佈式分類帳技術建制「免金鑰簽名設施(Keyless Signature Infrastructure，KSI)」，KSI允許愛沙尼亞公民驗證其在政府資料庫資訊的完整性，並避免內部人透過政府網路從事非法活動。KSI確保公民資訊安全以及準確，因而可協助愛沙尼亞政府提供數位化的公司登記以及稅務服務，減少政府以及社會大眾的行政作業負擔。 　　除此之外，分佈式分類帳技術也有助於確保商品以及智慧財產權的所有以及出處。例如Everledger此一系統可用於確保鑽石的身分，從礦產、切割到銷售，可減少並避免欺詐以及「血鑽石」進入市場。 　　簡而言之，分佈式分類帳技術提供政府可減少詐欺、腐敗、錯誤以及紙上作業成本的框架，並透過資訊分享、公開透明以及信任，具有可重新定義政府與公民關係的潛力。對於私領域而言也具有同樣可能性，報告特別提出可透過分佈式分類帳技術發展「智慧契約」，可增加信任度並提高效率。據此，本報告針對政府部門提出八大建議： (1) 應成立專責部門，並與產業、學界緊密合作，並應考慮成立臨時性的專家諮詢團隊。 (2) 英國的研究社群應該要投入研究確保分佈式分類帳技術具備可即性、安全性以及內容準確性。 (3) 政府應支持為地方政府成立分佈式分類帳技術實地教學者，匯聚所有測試技術以及其運用的所需元素。 (4) 政府需要思考如何為分佈式分類帳技術建立妥適的法制框架。法規需要配合新科技應用技術的發展而進步。 (5) 政府應該與產學合作確保相關標準可以符合分佈式分類帳技術及其內容完整性、安全性以及隱私的需求。 (6) 政府應與產學合作確保最有效率以及最可用的身分認證網路協議可為個人及組織所使用，這項工作應與國際標準的發展與執行緊密連結。 (7) 政府應對分佈式分類帳技術進行試驗，以評估該項技術在公領域的可行性。 (8) 建議成立跨部門的利益群體，結合分析以及政策群體，以生成並發展潛在使用案例，並且在公民服務中提供具備知識的專家人員。 　　除了八大建議，管理與法制上，本報告指出分佈式分類帳技術具有兩種管理規範：法律規範以及技術規範。法律規範是「外部」規範，法律規範可能會被違反，緊接著面臨違法處罰的問題。技術規範是「內部」規範，假如違反技術規範，「錯誤(error)」產生無法運作，因此「規範」本身就可以確保會被遵循。換句話說，技術規範可以節省法律規範的執法成本。另外一方面，分佈式分類帳技術為去中心化技術，如果要以法制管理，也只能在参與者身上施加法律義務，例如Bitcoin，只能對於提供Bitcoin交易服務的平台施加法律義務。美國紐約州金融服務部所發行的比特幣交易執照BitLicnese即為一例。因此，基於去中心化的特性，報告建議政府單位應該要儘量参與技術標準的制定，並且配合技術標準制定相關法律，法律規範與技術規範兩者應該要交互影響。