美國國會通過《2022年保護美國智慧財產法》，加強營業秘密保護力道

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

　　美國拜杜法雖下放政府補助研發成果給予執行單位，但基於針對受補助者行使研發成果時若未能妥適授權運用，政府得行使「介入權」（march-in rights）。所謂的介入權，是指補助機關事後可以因為執行單位授權或運用不當，而選擇強制介入調整其授權內容。但補助機關採用介入權是有前提要件的，35 U.S.C. § 203規定：「受補助者在適當的合理期間內，未能採取有效的措施以達到該創新的實際應用或使用…」或者強制授權是「其他聯邦法律規定的保護公共健康、安全需要或公共使用」所必要者。相對我國則有經濟部於「經濟部科學技術研究發展成果歸屬及運用辦法」第21條規定政府介入權發動之要件，其與美國法制有異曲同工之妙。

　　跨國農業生技公司Monsanto研發的MON810品系抗蟲基因改造玉米，於今（2009）年4月中旬遭到德國農業生技的主管機關－聯邦營養、農業與消費者保護局（Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz, BMELV）援引歐盟基因改造生物環境釋出指令（EU-Freisetzungsrichtlinie）中的防衛條款，加以禁種。 　　雖然Monsanto隨即對BMELV此項決定提出行政訴訟，但Braunschweig行政法院在5月初作出的暫時性裁定，支持了BMELV此項決定。法院基於兩大理由，裁定BMELV之禁種決定並非無據：（1）只要有新的或進一步的資訊出現，支持基因改造作物可能會對人體或動物健康造成損害，即可支持主管機關作出禁止種植已經取得歐盟上市許可的基因改造作物之決定之論據，不需要存在有必然會有風險的科學知識。（2）據此論據進行風險調查及風險評估，乃主管機關之執掌，主管機關對此有裁量權（Beurteilungsspielraum），從而，法院介入審查該行政決定的重點，在於主管機關是否已為充分的風險調查、有無恣意論斷風險。本案目前尚非終局之決定，Monsanto仍可對於此項裁定提出抗告。 　　在歐盟，基因改造生物的上市需透過歐盟程序為之，一旦歐盟執委會允許某一基因改造生物的上市，該基因改造生物原則上即可在全體歐盟會員國推廣銷售，包括種植。唯歐盟環境釋出指令例外容許會員國得於一定條件下，援引防衛條款主張已通過歐盟審查的基因改造生物，對於其境內環境或人體與動植物健康有負面影響，從而禁止特定已取得歐盟上市許可的基因改造生物於其境內流通。防衛條款的動用屬例外情形，且須定期接受歐盟層級的審查。

隨著網路蓬勃發展，個人資料之蒐集、處理及利用越來越普遍，同時也造成資料洩漏和濫用的問題日益嚴重，進而對隱私和個人資料構成侵害與威脅，為保障人民隱私和增強資料透明度，羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》（Rhode Island Data Transparency and Privacy Protection Act）。其核心內容包括以下幾個方面： 一、 適用對象：於羅德島州州內經營商業之營利組織（下簡稱企業），或主要生產製造商品、提供服務予該州居民之企業，且： 1. 在前一年度控制或處理超過三萬五千筆個人資料（personally identifiable information）者，但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料，且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務： 1. 選擇同意與退出權：前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理，行使選擇同意權（opt in）與退出權（opt out）。 2. 資料蒐集與利用透明度：要求企業蒐集個資前，須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象，並取得其同意。 3. 控制權：資料當事人有權向企業請求查詢、修改及刪除自己的資料，企業在接到請求後，必須即時處理該請求，並於45天之法定期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 4. 安全維護措施：企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施，包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估：企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄，包括： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料，且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇，或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任，並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。