歐盟發布第三版支付服務指令（PSD3）草案，強化消費者保護與改善產業環境

　　2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效，該指令允許警察機關使用私人通聯記錄，但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止，起因於不合乎比例原則及沒有充分的保護措施，該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄，不過在歐盟法院廢止指令之前，德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。 　　惟在2015年1月，伊斯蘭激進主義份子的恐怖攻擊事件，共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說，雖因美國的史諾登事件，揭露美國政府大量監聽私人通訊和監視網路流量的行動，而引起了德國人對隱私權保護的關注，但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪，但應該由法律規範資料保留的期間限制，她敦促各界向歐盟委員會施加壓力，重新訂定資料保留指令，使各歐盟成員國能修正國內法律。 　　歐盟委員會正在評估此法制議題，並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話，決定是否有需要訂定新指令；但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法，認為這是過於倉促的行動，而且除了資訊記錄留存外，德國政府也儲存所有媒體資料並限制媒體自由，他認為這並不合適。 　　目前英國國內保守黨和自由黨現正為新修訂的通訊資料法，為人民隱私權的保護範圍爭論不休，而美國由於近年受到不少駭客攻擊，故美國總統歐巴馬採取與梅克爾相似的立場，希望能擴張執法機關的權力，公開提倡強化美國網路安全相關法規。

　　智慧電網是歐洲未來低碳能源政策的核心議題，但要更新整個電力系統所費不貲，根據國際能源署（International Energy Agency, IEA）研究指出，從2007年至2030年，若要從生產、輸電到配電全部更新，需要花費1.5兆歐元（EUR 1.5 trillion），故基於投資的考量，有必要依據電網示範計畫所獲得的實際數據，來評估智慧電網發展的成本效益。因此，歐盟聯合研究中心（Joint Research Centre, JRC）分析了歐洲過去及現在正在進行的智慧電網示範計畫的成果，提出全面性的成本效益分析（cost-benefit analysis, CBA）評估架構，並選定葡萄牙InovGrid計畫作為參考實例以調整相關內容，於2012年初公布「智慧電網計畫的成本效益分析指導原則（Guidelines for conduction a cost-benefit analysis of Smart Grid projects，以下簡稱「智慧電網CBA指導原則」）」。 　　這是第一次具體的將CBA使用在智慧電網的實際案例評估之上，「智慧電網CBA指導原則」是為協助使用者分析不同地區的考量因素，以瞭解利益與成本，並分析關鍵要素，包括計畫的規模大小（例如每年接受服務的消費者、能源消費等）、工程特色（例如所採用的技術、主要設備的功能性）、電網當地特色、利益關係者（哪些人的成本及利益應納入考慮）、計畫的明確目的及預期對社會經濟的衝擊，以瞭解像分散式能源整合的可能性、電價及租稅的衝擊、環境成本等。「智慧電網CBA指導原則」是在提供建議，依據電力研究機構（Electric Power Research Institute, EPRI）的研究框架，逐步地提供了評估架構，作為分析考量時的核對清單。由於納入了地區性因素的考量，因此分析的結果最終將取決於各計畫的開發者及相關決策者的專業判斷。 　　此外，JRC亦公布「智慧電表部署的成本效益分析指導原則（Guidelines for conduction a cost-benefit analysis of Smart Metering Deployment，以下簡稱「智慧電表CBA指導原則」）」。「智慧電表CBA指導原則」之內容主要提供會員國在評估智慧電表的部署時，有一套分析的標準。如同「智慧電網CBA指導原則」一般，「智慧電表CBA指導原則」亦考量計畫規模、工程特色、電網當地特色、利益關係者、計畫的明確目的及預期對社會經濟的衝擊等因素，但非針對不同地區提供細節性的指示，因此仍須仰賴各計畫的開發者及相關決策者的專業判斷，以評估智慧電表部署的可行性。

　 歐洲議會民眾權益委員會（ the European Parliament's civil liberties committee）於2005年11月25日以33票對8票通過新的指令草案，要求電話與網路的通聯紀錄（但不包含內容紀錄）均需被保留6個月到12個月。目前此草案已送交部長理事會（Council of Ministers）審議中。 　　為避免保留之通聯紀錄遭到濫用，民眾權益委員會要求僅法官可以調閱通聯紀錄，且僅限於調查重大犯罪（例如恐怖份子或是組織犯罪）時始可調閱。但創作及媒體企業協會（ the Creative and Meida Business Alliance, CMBA）則希望歐盟能放寬通聯紀錄調閱之限制，允許進行所有犯罪之調查時，特別是在查緝盜版犯罪之情形，能調閱通聯紀錄。 　　對於業者因配合保留通聯紀錄而增加的額外負擔，則可能透過轉嫁給消費者或是透過整府補貼的方式解決。

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。