澳洲提出《2023年法定聲明修正法案》，將正式認可數位化法定聲明的效力

　　德國聯邦議院在今年4月27日通過「個人資料保護調整和施行法」（Datenschutzanpassungs- und Umsetzungsgesetz, DSAnpUG），其中包含新的德國聯邦個人資料保護法（Bundesdatenschutzgesetz, BDSG）。在這部新的法案中，已施行40年的 BDSG進行大幅調整以符合歐盟個人資料保護規則（Datenschutzgrundverordnung , DSGVO）的標準。 　　所有歐盟成員國將於2018年5月25日開始適用DSGVO的規定。DSGVO希望能在歐盟成員國內，形成一套具有法律統一性、標準性與高水準的個人資料保護制度。這也意味著侵害個人資料保護的違法行為，如：未使用適當的加密技術以確保個人資料安全，可能受到更嚴重的處罰，最高可達2,000萬歐元或企業全年營業額的4%。 　　DSGVO的目的在確保歐盟成員國間個人資料保護的共同法制標準，但考量到各成員國間的區域差異，DSGVO也提供國家立法者約60條的開放性條款(Öffnungsklauseln)─允許許多地區的成員國在特定條件下可不依循DSVGO標準。德國聯邦政府在新的BDSG，也運用了這些開放性條款。但有批評者認為，部分新的BDSG規範內容已超越DSGVO的條文規範，如：個資保護專員(Datenschutzbeauftragten)的就業保障。因此，新的BDSG與歐盟法律不符的部分，很可能被宣布違反歐盟法律。另一方面，舊的BDSG僅有48條規定，而新的BDSG則超過85條規定，且更為複雜，這都提高了法律適用上的難度。 　　雖然新的BDSG其適法性仍有爭議，且是否能通過司法審查亦屬未知。但盡管如此，隨著DSAnpUG 及新的BDSG法律條文制定，未來德國個人資料處理的基本法律框架已確定。由於企業個人資料處理的基本原則已明訂於DSGVO中，且新的BDSG仍是依照DSGVO的規範而制定，因此企業應盡速審查和調整他們的契約和流程，以符合DSGVO的規範要求。

　　美國國家標準與技術研究院（National Institute of Standards and Technology, NIST）於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準（Core Cybersecurity Feature Baseline for Securable IoT Devices）」指南草案，提出供製造商參考之物聯網設備網路安全基本要素，該指南草案中提出幾項重要核心要素如下： 設備辨識：物聯網設備必須有可供辨識之相關途徑，例如產品序號或是當連接網路時有具獨特性之網路位址。 設備配置：獲得授權之使用者應可改變設備的軟體以及韌體（firmware）之配置，例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。 資料保護：物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用，應清楚可被知悉，例如有些設備利用加密來隱蔽其儲存之資料。 合理近用之介面：設備應限制近用途徑，例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊，例如透過使用者名稱與密碼等。 軟體與韌體更新：設備之軟體應可透過安全且可被調整之機制進行更新，例如有些物聯網設備可自動的自其製造商取得更新資訊，並且幾乎不需要使用者特別之動作。 網路安全事件紀錄：物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得，這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。

　　新加坡通訊及新聞部（Ministry of Communications and Information, MCI）與新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）於西元2020年5月14日至28日間針對其「個人資料保護法修正草案」進行民眾意見諮詢，總共收到87份回覆。綜合民眾回覆之意見後，同年10月5日，於議會提出了「個人資料保護法修正草案」，修正重點如下： 提高外洩個人資料者罰鍰金額，至該公司在新加坡年營業額10%或1000萬美元。MCI / PDPC說明，實際上於裁罰前會綜合考量個案事實與相關因素（如：嚴重性、可歸責性、影響狀況、組織有無採取任何措施減輕個資外洩造成的影響等），作為裁罰金額的判斷依據。此外，新加坡的個人資料保護法也加入了個資外洩通知義務，但與歐盟一般資料保護規範（General Data Protection Regulation, GDPR）仍有不同，例如：其多了評估是否通知的機制。 組織基於商業改善之目的，且遵守法定條件下，得未經同意使用個人資料，此處商業改善目的包含：(1)改善或加強提供之商品或服務，或開發新的商品或服務；(2)改善或發展新的營運方式；(3)瞭解客戶喜好；(4)客製化商品或服務所需。 在公司併購、重組、出售股份以及經營權轉讓等關於公司資產處置情形，得例外無需經當事人同意而蒐集、處理與利用個人資料。 新增資料可攜權相關規定。 處罰未經授權者處理個人資料之行為。針對民眾回覆之疑慮（認為草案內容不明確），MCI / PDPC說明預計在《法規與諮詢指南》中闡明有關授權行為的細節性規定，包含採取的形式。

　　根據美國公共電視台在2016年1月6日的新聞，指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵，諸如：指紋、虹膜等進行支付。採用生物支付技術，未來將無須使用信用卡或行動裝置，僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利，但同時，生物支付的安全性卻也不無疑義。 　　即便生物辨識屬於高層級的資訊安全保護機制，但水能載舟，亦能覆舟。生物辨識利用生物不可變之特性進行身分識別，涉及高度個人隱私，為妥善保護個人資訊安全，需訂立生物辨識相關規範加以管制，否則將衍生許多法律問題。 　　例如：在2015年6月，美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者，也從未同意其生物辨識資訊被該公司蒐集，但其面紋(Face print)卻被上傳至該公司網站，並標註姓名，儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範： 1.第10條： 生物辨識之態樣，包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描，但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a)： 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱，並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1)： 蒐集生物辨識資訊應告知當事人。 　　Shutterfly公司提出要求法院不受理之抗辯，主張BIPA規定之臉部外觀，其文意解釋應為物理上個人親自接受掃描所得之資訊，並非原告所主張以照片辨識之臉部外觀，但法院認為Shutterfly之主張並不合理，因此同意受理此案。 　　觀察該案可發現，儘管生物辨識提高資訊安全之保護，但相關法規範解釋仍待實務完備。另一方面，生物特徵資訊極易被他人蒐集，因此，如何建置蒐集個人辨識資訊及完善相關措施，也是推行生物支付措施所需突破的關口。