美國《保護美國人免受外國對手應用程式侵害法案》生效，延長受規範主體出售持股之期限

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　歐洲五大電信公司──德國電信（Deutsche Telekom）、法國Orange電信、義大利電信（Telecom Italia）、西班牙電信（Telefonica）與英國沃達豐電信（Vodafone）於2021年11月18日聯合發表聲明，呼籲歐盟執委會與成員國加速開放「開放式無線存取網路」（Open Radio Access Network, Open RAN）的技術應用，並提出「為歐洲建立Open RAN生態系統」（Building an Open RAN Ecosystem for Europe）研究報告。 　　本報告對Open RAN價值鏈和當前供應商進行分析，發現許多歐洲供應商正處於發展初期，未獲得Open RAN商業契約，且在Open RAN關鍵服務的部分類別（如雲端軟體）中，尚未有歐洲供應商。甚至綜觀Open RAN的各項關鍵服務分布，歐洲供應商僅有少數等。因此，本報告強調歐洲需迫切將Open RAN作為戰略重點，並提出以下五點建議： （一）歐盟的政策制定者應積極推動發展創新、開放及可互通之電信生態系統，並期望歐盟執委會、成員國與產業利害關係人，透過對話與討論，促使全歐洲對Open RAN生態系統之建立產生共識。 （二）執委會應成立下世代通訊基礎設施聯盟，如同過去其為雲端與半導體設立聯盟，作為推動該產業的關鍵力量。此外，為迎接Open RAN新興技術，應提倡如歐盟共同利益重要計畫（Important Projects of Common European Interest, IPCEI）的微電子和通訊技術、5G產業協會與共同承諾推動智慧網路服務多國計畫。 （三）政策制定者應降低歐盟供應商和新創企業之投資風險，並對歐洲未來具有戰略意義的技術領域，以資金與租稅等激勵措施，支持歐洲供應商合作。如由歐盟執委會和各國政府為財團提供資金，使歐洲公司建立穩固的合作關係，並成為Open RAN價值鏈中茁壯成長的供應商。 （四）O-RAN聯盟（O-RAN ALLIANCE）與第三代合作夥伴計劃（3rd Generation Partnership Project, 3GPP）及歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）正式合作，支持採用O-RAN規範作為ETSI的自願性標準，可透過快速程序對現有3GPP規範進行補充。透過促進全球統一的Open RAN標準，確保開放性網路設備的互通性，如：全歐認證的品質與互通性，建立生態系統部署者的信心。 （五）歐盟應與國際合作，促進安全、多樣化及可持續的資訊與通訊技術供應鏈，如：利用七大工業國組織（Group of Seven, G7）、美歐貿易和技術委員會（EU-US Trade and Technology Council）與日歐資通訊技術對話（Japan-EU ICT Dialogue）促進發展和部署開放且可互通的網路架構。

　　歐盟執委會於2021年12月8日宣布「軟體開源授權及複用」決定（COMMISSION DECISION on the open source licensing and reuse of Commission software）。本決定規範執委會軟體之開源授權條件與複用方式，其軟體開源授權流程如下： 一、執委會依本決定（下同）第5條授予其軟體的開源授權證應為歐盟公共授權（the European Union Public Licence, EUPL），除因（1）適用第三方軟體的互惠條款，而強制使用其他開源授權證，或替代開源授權證比EUPL更便於人民使用該軟體；（2）適用第三方軟體之授權條款，存在多個開源授權標準（不含EUPL），則應優先選擇授予最廣泛權利的開源授權。 二、透過第8條對智慧財產權進行核實，包括：（1）軟體識別（2）對軟體的智慧財產權進行驗證；及（3）安全驗證。 三、依第6條規定將所有開源軟體置於資料庫，供公民、公司或其他公共服務有潛在利益者取得。 　　另外，依第四條規定，本規則不適用於以下情形：（1）因第三方智慧財產權問題，無法允許複用的軟體；（2）該原始碼之發布或共享，對執委會、其他歐洲機構或團體的資訊系統或資料庫安全構成實質或潛在風險；（3）因法律規定、契約義務或性質，其內容須被視為機密之軟體；（4）依（EC）1049/2001第4條所列之情形，包含但不限於：因公共利益、國家安全、隱私保護、商業利益、訴訟或審計之利益等，該軟體須被排除，或只能由特定之一方取得或管理；（5）委託由執委會進行研究產生之軟體，若公開將干擾臨時研究結果之驗證或構成拒絕註冊有利於執委會之智慧財產權的理由。