英國氣候過渡計畫工作小組(Transition Plan Taskforce, TPT)在2022年11月8日公布其氣候揭露報告框架草案(Disclosure Reporting Framework)、實施指南,以及技術性附錄,用以輔導英國企業擬定氣候過渡計畫,並在技術性附錄中提供與氣候揭露相關的指標與準則等詳細資訊,供企業參考。
氣候過渡計畫是英國淨零政策相當重要的一環。英國財政部長於2021年COP26大會上宣布成立工作小組,研擬氣候過渡計畫的規範,要求英國企業公布清晰且可交付的計畫,英國財政部在2022年4月宣布TPT成立,負責建立一套英國適用、並且可與其它國際準則進行轉換的氣候過渡計畫準則。TPT根據氣候相關財務揭露工作小組(Task Force on Climate-related Financial Disclosures, TFCD)、國際永續準則理事會(International Sustainability Standards Board, ISSB)、及格拉斯哥淨零金融聯盟(the Glasgow Financial Alliance for Net Zero, GFANZ)等現有成果,另增若干細節,在2022年11月提出此一框架草案及指南等文件。
TPT框架建議企業以企圖心、行動力和當責性為原則,分階段設定過渡計畫目標。而企業的氣候揭露應包括五大項目:基礎事項(如企業目標)、執行策略(如企業營運)、擴大參與策略(如與價值鏈的連結)、使用的指標與目標(如財務指標)以及治理(如董事會的監督與報告),這些在實施指南中都有詳細的說明。
TPT框架自公布起即公開徵求各界意見至2023年2月28日,並廣邀各界就其內容進行測試,提供意見反饋,這些都將供作TPT修訂框架之參考,預計2023年完成草案的最終版本。TPT的文件雖不具法律效力,但是其內容將成為英國金融行為管理局(Financial Conduct Authority, FCA)未來修訂上市公司及金融機構相關氣候過渡計畫揭露規則時的依據,其後續發展值得關注。
澳洲新南威爾斯州(New South Wales)議會於2026年2月12日通過《2026年工作健康與安全(數位工作系統)修正法案》(Work Health and Safety Amendment (Digital Work Systems) Bill 2026,以下簡稱本法案),並於同月18日獲御准(Royal Assent),以防範人工智慧在工作場所中對受雇者可能造成的職業安全危害。本次修正為澳洲州政府首次將數位工作系統納入《工作健康與安全法》規範框架之立法,明確要求雇主妥善管理人工智慧及其他數位工作系統對員工所帶來的安全風險;此次修法草案概述如下: 首先,就規範客體之界定而言,本次修法於第4條新增「數位工作系統」(digital work system)之定義,指演算法、人工智慧、自動化系統或線上平台。 其次,本次修法重點之一為主要注意義務之擴張。新南威爾斯州《工作健康與安全法》第19條第一項原即明定,事業單位對勞工之健康與安全,在合理可行的範圍內負有主要注意義務(primary duty of care);同條第19條第3項第c款則進一步規定,事業單位應在合理可行的範圍內,為勞工提供並維持安全的作業系統(safe systems of work)。本次修法於前揭基礎上,於母法第19條第3項新增第c1款,要求事業單位在合理可行的範圍內,確保勞工之健康與安全不因該業務或事業單位「使用數位工作系統」而受到危害。再者,新增之第21A條亦明定,凡經營涉及數位工作系統之事業單位,均需在合理可行的範圍內,確保勞工之健康與安全不因該事業單位透過「數位工作系統」進行「工作分配」(the allocation of work)而面臨風險。此項擴張之核心意義,在於將數位系統所衍生之職場危害明文納入法規框架,將原本僅賴概括性規定涵攝之情形予以類型化,使雇主注意義務之射程更為清晰。傳統作業系統與新興「數位工作系統」(digital work systems)均明確落入規範範疇,部分原本遊走於灰色地帶之邊緣案例,亦得據此獲得更明確之法律保護。 進一步就前述之風險態樣類型化而言,修正後之第21A條第2項明定,營運業務或事業之人必須考量使用數位工作系統分配工作,是否會導致以下風險:(一)對業務或事業中的勞工(workers at work in the business or undertaking)造成過度或不合理的工作負荷;(二)採用過度或不合理的指標,對業務或事業中的勞工進行績效評估與追蹤;(三)對業務或事業中的勞工實施過度或不合理的監控或監視;(四)在業務或事業的經營過程中,做成違法的歧視性行為或決策。上開四項風險類型,實已涵蓋當前AI演算法管理(algorithmic management)所衍生之主要爭議。 最後,本次修法後,依第117條及118條規定,持有「工作健康與安全進入許可證」(work health and safety entry permit)之人員有權進入工作場所,就疑似違規情事檢查相關數位工作系統,而相關事業單位對此負有提供合理協助(reasonable assistance)之義務;主管機關則應就上開合理協助之行使訂定並於官方網站公告相關指引,以資遵循。 綜上,新南威爾斯州本次修法之特色,在於同時就「實體義務」、「執法配套」與「規範動態檢討」三個層次,完整建構數位工作系統之職業安全規範框架。新南威爾斯州之立法經驗,就規範客體之類型化、雇主注意義務之具體化,以及與國際規範接軌之機制設計,均可作為我國未來修法及主管機關訂定相關指引時之重要參酌。
BSI公布個人資料管理系統標準之草案英國國家標準組織(British Standard Institution)於2009年1月8日公布個人資料保護管理系統標準(標準標號為DPC BS 10012)之草案,使組織在個人資料儲存管理工作上符合個人資料保護法(Data Protection Act 1998,DPA)之要求。 有鑑於利用個人資料管理系統(personal information management system,PIMS)管理業務上取得之資料之情形日益增多,而觀諸該資料之性質,通常多為DPA所規範定義的「個人資料」。因此,為使個人資料管理有其標準規範,並得以運用在任何規模之公私部門,使組織內之個人資料管理系統符合DPA之規範且具有一定程度之安全性,BSI試圖提出有關個人資料管理一致性之標準規範,以供組織在個人資料處理程序工作上之遵循。該標準規範如同BS EN ISO 9001:2000之品質管理系統(Quality Management System)及BS ISO/EC 27001:2005之資訊安全管理系統標準,以PDCA週期(Plan-Do-Check-Act)進行規劃,並透過執行所規範之流程落實個人資料之保護。 目前該草案已經公布,BSI於2009年3月31日前將接受各界對於該草案之諮詢及舉辦公聽會,以求標準規範之完善。
愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。 此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。 最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。