歐盟《企業永續盡職調查指令》草案，將永續治理內化至企業經營

　　美國聯邦審計署（Government Accountability Office, GAO）於2022年5月9日發布「航空轉型：經利害關係人確認之先進空中交通議題」（Transforming Aviation: Stakeholders Identified Issues to Address for 'Advanced Air Mobility'）研究報告。未來，先進空中交通（Advanced Air Mobility, AAM）服務可透過小型或高度自動化（highly-automated）電動垂直起降航空器（eVTOL）翱翔於天際，不僅可提供載人或載物服務、減少交通壅塞，並可應用於救援與醫療運輸等領域。GAO透過訪談36位利害關係人，意識到AAM發展關鍵在於相關法制環境之整備速度。基此，GAO於研究報告中，整理當前各AAM新創業者於開發與落實上面臨之4大問題，分別簡述如下： （1）航空器檢定標準：美國聯邦航空總署（Federal Aviation Administration, FAA）對於航空器之檢定規範，目前尚未涵蓋具備AAM新功能之載具，如電力推進或垂直起降等。 （2）起降場與電力之基礎設施：FAA尚未制定垂直機場降落設施，及航空器電池充電需求之電力基礎設施相關標準。 （3）提高公眾載具安全性接受度：AAM產業須證明此類航空器之安全性、可靠性、低噪音與商用可行性，以支持該產業之發展與成長。 （4）作業人員所需之各種培訓與認證標準：飛行員與維修技術作業人員需接受相關新功能培訓。惟利害關係人指出可能面臨高教育成本、缺乏工作場域多樣性、機會意識（awareness of opportunities）不足，及培訓能力有限等問題。

　　近年隨基因檢測技術成熟及成本下降的影響，基於醫療診斷或照護目的，而對於血液、其他體液、細胞或DNA所進行之基因檢測行為已有逐漸增多的趨勢，惟基因資訊使用本身往往容易觸及倫理、道德或法律層面的爭議，導致專業醫療人員在實際為檢測時容易產生法規遵循上的困難；因此，若能有明確的程序或標準可供依循，將能大幅增進基因檢測技術的商業運用價值。 　　1. 有鑑於此，三個英國醫療團體-英國皇家內科醫學院(Royal College of Physicians)、英國皇家病理科醫學院(Royal College of Pathologists)及英國人類遺傳協會(British Society for Human Genetics)於今(2011)年9月聯合公布了一份『診療性基因使用行為的同意及秘密性：基因檢測及基因資訊的分享指引』報告書(Consent and confidentiality in clinical genetic practice：Guidance on genetic testing and sharing genetic information)。該建議書之主要目的即在於指引醫療人員在使用基因資料及樣本時，應如何遵循相關的法律規範，包括1998年資料保護法(the Data Protection Act of 1998)及人類組織法(the Human Tissue Act)等；內容上則涵蓋病患同意、基因醫療行為、家族史與醫療資訊的秘密性，以及當病患所提供之基因樣本可能作為研究用途時，應如何告知等事項。 　　建議書中特別強調當病患選擇接受基因檢測以獲得更好的診療建議時，基因資訊也開始對病患個人及其家族成員帶來的風險。基此，該報告對基因檢測行為提出三項主要建議：1. 基因檢測所得到的家族史及診斷資訊只有在其他家族成員出現健康照護(healthcare)需求時，才能進行共享，且必須在醫療人員不違反保密義務的前提下進行。2. 醫療人員應當告知病患包括基因調查對其近親屬的潛在好處、部分基因訊息可能會提供給家族親屬、基因檢測可能會得到不確定或非預期的發現、其所提供之樣本及基因資訊將如何被運用，以及該樣本若對於該類型之檢測具有相當重要性時，其檢測結果可能會被收錄於國家資料庫以作為未來醫療研究之用。3. 由於醫療干預行為可能會導致基因診斷(genetic diagnoses)結果的改變，所以應該由病患本人或專業醫師直接告知其親屬，此誤差所可能導致的遺傳風險(例如血友病患者的基因診斷結果發生誤差，可能導致其近親屬生下患有血友病的下一代)。 　　目前基因檢測技術雖已趨向商業化及普及化發展，但由於基因訊息一般被界定為個人隱私資訊，因此在使用、分享及儲存上有相當之限制規範，並造成醫療人員遵循上的難度。而英國皇家內科醫學院等三個醫療團體所公佈的這份指引建議書，在內容上聚焦於告知病患的程序及病患的同意，同時擬定明確的流程圖及同意表格供各醫療人員參考使用，相信對於未來英國基因檢測技術的普及化會有相當正面之幫助。

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）（舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security）於2020年2月4日發布資通安全驗證標準化建議（Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act），以因應2019/881歐盟資通安全局與資通安全驗證規則（簡稱資通安全法）（Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act）所建立之資通安全驗證框架（Cybersecurity Certification Framework）。 　　受到全球化之影響，數位產品和服務供應鏈關係複雜，前端元件製造商難以預見其技術對終端產品的衝擊；而原廠委託製造代工（OEM）亦難知悉所有零件的製造來源。資通安全要求與驗證方案（certification scheme）的標準化，能增進供應鏈中利害關係人間之信賴，降低貿易障礙，促進單一市場下產品和服務之流通。需經標準化的範圍包括：資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 　　ENISA認為標準化發展組織或業界標準化機構，在歐盟資通安全之協調整合上扮演重要角色，彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎： ISO/IEC 15408/18045–共通準則與評估方法：由ISO/IEC第1共同技術委員會（JTC1）及第27小組委員會（SC27）進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分：作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全：由歐洲電信標準協會（ETSI）所建立，並與歐洲標準委員會（CEN）、歐洲電工標準化委員會（CENELEC）協議共同管理。 　　然而，資通訊產品、流程與服務種類繁多，實際需通過哪些標準檢驗才足以證明符合一定程度的安全性，則有賴驗證方案的規劃。為此，ENISA亦提出資通安全驗證方案之核心構成要件（core components）及建構方法論，以幫助創建歐盟境內有效的驗證方案。

　　歐洲數據保護監督組織(European Data Protection Supervipsor,EDPS)發表「關於在歐盟監督金融業之數據保護準則」(Guidelines on Data Protection for Financial Services Regulation)，以作為確保歐盟的數據保護規範，將被整合進正在發展中的金融政策與相關規定之實用工具。該準則為金融市場監督機制的一部分，在金融業對個人資料的處理上，特別是透過監控、記錄保留、回報、以及資訊交換這些存有侵犯個人資料和隱私權風險的措施予以規範。 　　該準則包含10項步驟與建議，旨在協助歐盟後續金融監督政策的制定，其中一些重要的建議如下： (1)應評估資訊之處理是否可能妨礙隱私權。 (2)應為數據的處理建立法律基礎。 (3)評估適當的資訊保留期限並給予正當化依據。 (4)建立個人資料傳輸至歐盟外的正當法律依據。 (5)提供個人資料保護權利的適當保障。 (6)衡量適當的數據安全保護措施。 (7)應為數據處理的監督提供特定之程序。 　　有鑒於2008年金融危機的影響，該準則透過提供一個能確保個人資料被妥善保護的有效方法，期以重建金融市場的信心。Giovani Buttarelli，作為新任歐洲數據保護監督委員，在一份伴隨準則釋出的聲明稿當中表示：「個人資料的價值已經隨著數位經濟的成長不斷增加，確保各行業的個人資料得以受到保護也益顯重要。歐洲數據保護監督組織(EDPS)計畫對不同行業制定相關保護規範，此準則是第一個發佈的。」