美國、日本、韓國舉辦「顛覆性技術保護網路高峰會」，簽署技術保護及出口管制合作意向書

　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料，故處以罰款385,000英鎊。 　　ICO調查發現Uber的諸多過失，包含系統存有一系列原可避免的數據安全漏洞，使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統，下載大約270萬筆英國客戶個人資料，例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄，如旅程詳情及支付金額。然而，受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的，Uber反而向攻擊者妥協並支付了10萬美元，以銷毀被盜取的數據。 　　ICO認為，這不僅為Uber資料安全之問題，且當時未採取任何措施通知可能受影響的人，或對其提供任何協助，已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默，亦非對於網路攻擊之適當反應，Uber未完善的數據保護措施，以及隨後的決策與行為，反將可能會加劇受害者權益的受損。 　　因此，ICO認為該事件已嚴重違反了英國1988年資料保護法（Data Protection Act 1998, DPA）第7條的原則，有可能使受影響的客戶和司機面臨更高的詐欺風險，故從嚴判處Uber高達385,000英鎊罰款。

　　數位技術改變人們的生活，為使英國人民、企業及組織接受數位時代的變革，並確保英國做好脫離歐盟（European Union）的準備，英國數位文化媒體及運動部（Department for Digital, Culture Media & Sport）修正1998年的資料保護法（Data Protection Act 1998），於2017年9月14日，提交2017資料保護法草案（Data Protection Bill 2017）（以下簡稱：本草案）予上議院審議，以因應數位時代的來臨。 　　此次本草案修正的方向為： 一般資料處理（§3-26）： 一般資料處理係依歐盟的一般資料保護規則（General Data Protection Regulation，簡稱GDPR）為標準，將歐盟GDPR一般資料處理的相關規範之標準制定於此次修正之資料保護法中，並確保健康、社會安全與教育資料等個人資料之安全維護。另對於個人資料的近用與刪除予以規範以強化公共政策，並維護國家安全。 執法程序（§27-79）： 拜科技進步所賜，網路世界如遠弗屆，透過網路跨境傳輸、分享、蒐集資料，並非難事，因此，更需要一個強而有力且一致性的個人資料保護規範框架。警方、檢方或司法刑事機關為偵查犯罪行為，而蒐集、處理或利用個人資料，須有明確、正當、合法的執法目的，對於國際間個人資料的交流利用須依明確的程序規範並賦與相當之保護措施，確保英國退出歐盟後，仍可繼續與歐盟各成員國間聯手偵辦重大犯罪案件，以維護國際間之資訊安全。 國家安全（§80-111）： 因國家安全事項不在歐盟法（EU Law）規範範圍之列，故GDPR或指令法律（Law Enforcement Directive，LED）之效力不及於各成員國對於國安全之情資蒐集。故英國本次修法參採個人資料保護公約（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，又稱現代化公約108（modernised Convention 108））之精神，將情報單位基於維護國家安全之必要蒐集個人資料之規範，明文納入個人資料保護法之適用，以符合國際間的資訊安全規範標準。 資訊委員與執行（§112-168）： 資訊委員（Information Commissioner）係指保護資訊權之公共利益、促使公務機關公開資訊與維護個人資料隱私權之獨立政府官員，得主動偵查犯罪，並得通知或教育廣泛的資料管理者，以提高資料保護之標準。繼2010年賦與資訊委員針對金融犯罪之執法權限之後，本草案亦增列意圖還原已去識別化之個人資料、禁止不當揭露個人資料兩種犯罪類型，賦與資訊委員更廣的處理權責。違反資料保護法（如不當揭露個人資料），將處以行政罰責（最高可處1,700萬英鎊/2,000萬歐元罰鍰）。 　　本草案除建制一個一般資料處理、執法程序及國家安全的資料保護體系外，更加強對於學術研究、金融服務及兒童保護等領域的資料保護，以因應數位時代之變革。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國商務部工業暨安全局（Bureau of Industry and Security, BIS）於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」（Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles）法規預告（Notice of Proposed Rulemaking, NPRM），旨在透過進口管制措施，保護美國聯網車供應鏈及使用安全，避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公布的法規制定預告（Advanced Notice of Proposed Rulemaking, ANPRM），NPRM明確指出受進口管制的國家為中國及俄國，並將聯網車輛資通訊技術及服務之定義，限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統，排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。NPRM定義三種禁止交易型態：（1）禁止進口商將任何由中國或俄國擁有、控制或指揮的組織（下稱「中俄組織」）設計、開發、生產或供應（下稱「提供」）的車輛互聯系統（vehicle connectivity system, VCS）硬體進口至美國；（2）禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車；（3）禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 NPRM亦提出兩種例外授權的制度：在特定條件下，例如年產量少於1000輛車、每年行駛公共道路少於30天等，廠商無須事前通知BIS，即可進行交易，然而須保存相關合規證明文件；不符前述一般授權資格者，可申請特殊授權，根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外，為提升供應鏈透明度並檢查合規性，BIS預計要求VCS硬體進口商及聯網車製造商，每年針對涉及外國利益的交易，提交符合性聲明，並附軟硬體物料清單（Bill of Materials, BOM）證明。BIS針對此規範是否有效且必要進行意見徵詢，值得我國持續關注。