美國證券交易委員會發布指引要求公司進一步揭露加密資產之潛在影響

　　德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件，協助中小企業提升對於組織及特別領域中的資安風險之意識，並進一步採取有效防護檢測，包括基本安全防護措施、組織資安維護、及法規，並同時宣導德國資料保護法中對於資安保護的法定要求。 　　資通訊安全及其法規係為企業進行數位化時，涉及確保法的安定性（Rechtssicherheit）之議題。加強資安保護，除可增進銷售及生產力，並使商業貿易間有更大的透明度和靈活性，和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求，提供相關服務，並使共享資料得到完善的保護。例如：應如何保護處理後的資料？如何執行刪除個人資料權利？各方如何保護營業秘密？如果資料遺失，誰應承擔責任？唯有釐清上述相關等問題時，方能建立必要的信任。而在德國聯邦資料保護法，歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則，係為數位創新企業執行資安基礎工作重要法律框架。但是，由於數位化的發展，新的法律問題不斷出現，目前的法律框架尚未全面解決。例如，機器是否可以處理第三方資料並刪除或保存？或是誰可擁有機器協作所產生的資料？因此，未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備，工業4.0的IT法律問題變得複雜。一方面，需要解決中、大型企業的營業祕密，資料所有權和責任主題之實際問題，以促進相關數位化創新。另一方面，為了能夠推導出現實的法律規範，需要更多具體實施案例討論。 　　據研究顯示，企業家對產品責任問題，人工智慧使用，外包IT解決方案，及雲端計算等核心問題的新法規以顯示出極大的興趣，並進一步列入既有或規劃中研究項目。未來，政府將協助為所有公司在安全框架下展開數位計畫合作的機會，並充分利用網路的潛力，而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。

　　歐盟執委會以（EU）2021/914號執行決定（Implementing Decision）所發布的新版「向第三國傳輸個人資料標準契約條款（New Standard Contractual Clause for the transfer of personal data to third countries，下稱SCC）」已於9月27日起正式取代舊版條款。 　　新SCC發布於2021年6月27日，旨在滿足歐盟法院（the Court of Justice of the European Union, CJEU）以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分（substantially sufficient）」標準。該版SCC為因應不同情境之跨境資料傳輸，而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者（控制者與接收者）依循參採，包括： 規範模組一：從資料控制者（Data Controller）到資料控制者的資訊傳輸（Transfer from controller to controller, C2C） 規範模組二：從資料控制者到資料處理者（Data Processor）的資料傳輸（Transfer from controller to processor, C2P） 規範模組三：從資料處理者到資料處理者的資料傳輸（Transfer from processor to processor, P2P） 規範模組四：從資料處理者到資料控制者的資料傳輸（Transfer from processor to controller, P2C） 　　本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整：雖然舊版已於2021年9月27日廢止不再適用，原已適用舊版SCC之契約，至遲仍得實施至2022年12月27日止。（亦即新版SCC公佈後的18個月內）。 　　在此執行決定下，歐洲資料保護委員會 （European Data Protection Board）亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）」釐清GDPR「傳輸影響評估（Transmission Impact Assessment, TIA）之機制流程 。 　　隨著資通科技之快速崛起跨境個資傳輸已成為企業常態，而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別，其中全球航運和物流公司在全球範圍內傳輸個資，其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態，應儘速因應相關法制之發展，解決全球範圍內快速發展的隱私合規問題。

　　歐盟執委會於2018年6月成立人工智慧高級專家組(The High-Level Expert Group on Artificial Intelligence, AI HLEG)，主要負責兩項工作：(1)人工智慧倫理準則；(2)人工智慧政策與投資建議。並於2019年4月8日提出《可信賴的人工智慧倫理準則》(Ethics Guidelines for Trustworthy AI)，2019年6月公布之《可信賴的AI政策及投資建議》(Policy and Investment Recommendations for Trustworthy Artificial Intelligence)則是人工智慧高級專家組所交付之第二項具體成果。 　　該報告主要分為兩大部分，首先第一部分是要透過可信賴的人工智慧建立對歐洲之正面影響，內容提及人工智慧應保護人類和社會，並促進歐洲公司各部門利用人工智慧及技術移轉，而公部門則扮演人工智慧增長及創新之催化劑，以確保歐洲具有世界一流之研究能力；第二部分則是影響歐洲各成員國建立可信賴之人工智慧，內容則提及將發展人工智慧相關基礎設施、教育措施、政策規範及資金投資，同時合法、有道德的使用各項數據。 　　在本報告中關於法規面的建議則是進一步制定政策和監管框架，確保人工智慧在尊重人權、民主及創新下發展，因此將建立人工智慧政策制定者、開發者及用戶間的對話機制，若是遇到將對社會或是人類產生重大影響之敏感性人工智慧系統，除透過歐洲人工智慧聯盟(The European AI Alliance)進行對話之外，也需要在尊重各成員國之語言及文化多樣性下展開協調機制。另外，報告中也特別提到如果政府以「保護社會」為由建立一個普遍的人工智慧監督系統是非常危險的作法，政府應該承諾不對個人進行大規模監視，並在遵守法律及基本權利下進行人工智慧系統之發展。

　　美國醫療產業使用境內或境外雲端服務（Cloud Services）急速成長，導致「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act，以下簡稱HIPAA）規範下之「適用機構」（Covered Entities）與其「商業夥伴」（Business Associate），對於雲端服務業者如何適用HIPAA感到疑惑。因此，衛生及公共服務部民權辦公室（Department of Health and Human Services, Office for Civil Rights）於10月7日公布相關業者如何適用HIPAA之指引，以釐清爭議。 　　於該指引中，該部指出，雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」（Protected Health Information），則該雲端業者就被視為HIPAA下規範之商業夥伴，原因在於該服務具有儲存與維護醫療資訊功能，非屬該法排除適用之「網路服務業者」（Internet Service Providers）資料傳輸服務類型。 　　該指引有幾大重點：首先，雲端服務業者如將該醫療資訊提供加密儲存服務，仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者，雲端業者皆須與委託方簽署商業夥伴協議（Business Associate Agreements）。此外，使用雲端服務儲存資療資訊時，委託方皆能使用行動設備進入雲端儲存之醫療資料，但應建立合乎HIPPA所要求相關之安全措施。最後，HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者，但使用前應自行評估該資訊遭駭客攻擊之可能性。