KISTEP發布〈強化企業創新活動之研發租稅優惠政策研究〉報告，建議擴大租稅優惠對象

　　加拿大數位隱私法（Digital Privacy Act）於2015年6月18日獲得皇室御准，該法目的係為修訂規範私部門運用個人資料的聯邦個人資料保護及電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）。該法有多個章節於公告時便即刻施行，但仍有部分章節需待日後其他行政機關公告配套之法規後始能正式施行，例如該法的重點章節之一：「安全防護措施之違反」（Breaches of Security Safeguards）。 　　歷經約莫兩年，加拿大創新、科學及經濟發展部（Innovation, Science and Economic Development Canada）於2017年9月2日公告安全防護措施違反之規則草案（Breaches of Security Safeguards Regulations），以及規則衝擊分析聲明（Regulatory Impact Analysis Statement）。草案自公告時起開放30天供相關利益關係人發表意見，未來將和數位隱私法的「安全防護措施之違反」同時生效施行。 　　草案制定目的在於確保加拿大本國人若遇有資料外洩且具有損害風險時，可收到精確的相關資訊。私部門對本人的通知應包含使本人可理解外洩的衝擊和影響的詳細資訊。草案確保加拿大個人資料保護公署（Office of the Privacy Commissioner of Canada）之專員亦能獲得有關資料外洩的確實且對等資訊，並可監督、確認私部門遵守法規並執行。草案詳載私部門於通報個人資料保護公署時應提交的資訊，以及通知本人時應提供的資訊，且不限制私部門額外提供其他資訊。遇有資料外洩情事而故意不即時通報個人資料保護公署或通知本人者，最高將可處十萬美金罰鍰。

　　歐洲數位權利中心（The European Center for Digital Rights，下稱noyb）為提倡網路隱私權、消費者隱私的非營利組織，其於2021年11月12日向奧地利資料保護局（Austrian Data Protection Authority, DSB）投訴Grindr公司，抗議該公司的Grindr應用程式違反歐盟的一般資料保護規範（即General Data Protection Regulation，下稱GDPR）。 　　Grindr是款交友約會軟體，主要的使用者為男同性戀、雙性戀以及跨性別者。使用者註冊帳號時，僅需提供電子郵件信箱帳號及密碼和一些個人基本資料即可。然而，若使用者想了解Grindr公司如何使用其個人資訊時，Grindr公司要求使用者需手持記載其電子郵件的字條，或拿著護照自拍，經該公司確認使用者身分後，才會配合使用者的請求。noyb直言，Grindr公司的認證政策不僅荒謬，更違反了GDPR。 　　 noyb代表一個名為「Hunk_69」的帳號使用者提出投訴，這個帳號因為身分認證失敗而遭到Grindr公司拒絕透露該公司如何使用其個人資料。noyb指出Grindr公司對於使用者提供個人資料的政策前後不一，儘管使用者在使用Grindr交友時可以保持匿名狀態，但在向Grindr公司請求提供個人資料用途時，卻需要提供真實身分。noyb主張Grindr公司已經違反歐盟GDPR第5條（1）©「資料最少化原則」。多數公司多半以「安全理由」要求客戶提供個人資料供其認證，但這樣的要求是不當的，根據奧地利聯邦行政法院、愛爾蘭資料保護委員會（the Irish Data Protection Commissioner, DPC），以及丹麥資料保護局（Danish Data Protection Agency, Datatilsynet）近期裁決見解，認證客戶身分必須個案評估使用者的身分是否有疑慮，而非一概的要求使用者進一步提出個人資料以供公司認證。因此，使用者在Grindr註冊帳號時，既然毋庸提供真實姓名，則Grindr公司於認證使用者身分要求提出真實姓名，實際上是無任何幫助，反而違反了GDPR第5條「資料最少化原則」及第12條（6）規定。 　　noyb創辦人Max Schrems表示，Grindr的設計就是讓使用者保持匿名狀態，因此使用者僅須使用電子郵件信箱和密碼，就可以在Grindr上與人互動，甚至分享最私密的照片，但想要實行GDPR相關權利時，卻須自行揭露身分並提供身分證明。 　　Grindr公司則認為，如果使用者想要實踐GDPR賦予使用者的權利，不願與Grindr分享任何個人資訊，可以刪除Grindr帳號。

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。

　　英國數位、文化、媒體暨體育部於2018年10月14日公布「家用智慧裝置消費者指引」（Consumer guidance for smart devices in the home）。該指引之目的係因應家用之智慧及聯網設備（例如：智慧電視、音樂播放器、聯網玩具或智慧廚房等）日益普及，以及可能發生之侵害消費者個人資料之風險。 本指引提出以下方向，供消費者參考： 　一. 智慧裝置之設定 　　(一) 應閱讀與遵循智慧設備之設定指示。 　　(二) 確認設備指示是否要求使用者須至製造商網站設定帳號。 　　(三) 若所設備預設之密碼過於簡單(例如，0000)，則應更換成較複雜之密碼。 　二. 帳號管理 　　(一) 確保密碼複雜性。 　　(二) 若設備提供雙重驗證功能，消費者應使用之。 　　(三) 特定產品可能提供遠端存取功能，消費者應於不再家時考慮將該功能關閉。 　三. 持續更新應用軟體與Apps 　　(一) 消費者應檢查其設備是否可設定自動更新。 　　(二) 應安裝最新版本的軟體與Apps。 　四. 若接到資安事件之通知，應採取行動 　　(一) 於接到資安事件通知後，應訪問製造商網站以確認其是否提供後續因應措施等資訊。 　　(二) 定時確認國家安全網路中心以及資訊保護委員會辦公室網站是否公布相關網路安全指引。