日本監理沙盒制度推動趨勢—簡介生產性向上特別措施法草案與產業競爭力強化法修法內容

　　隨著越來越多學校使用線上教育技術產品發展教學課程，並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊，資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日，加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案，其中最引人關注的便是編號SB1177號法案，又稱學生線上個人資料保護法案（the Student Online Personal Information Protection Act，簡稱SOPIPA）。 　　SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為，包括：(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的，運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定，禁止披露涵蓋資訊（covered information）。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information)，或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。 　　此外，SOPIPA線上教育服務經營者應採取適當安全的維護措施，以確保持有之涵蓋資訊的安全。同時，線上教育服務經營者應在有關教育機構的要求下，刪除學生之涵蓋資訊。 　　SOPIPA預計於2016年1月1日生效，將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者，同時也將適用於未與K-12學校簽署契約，但為該學校所使用之小型K-12技術網站、服務或APP等等。

　　許多天然或人造的成分被奈米化之後，物理和化學性質可能都會改變，今年三月底，在德國即出現一起疑似因為使用奈米科技製造的廁所清潔噴霧劑「魔術奈米」，陸續出現嚴重呼吸問題，被送往醫院診治，其中六人還因肺水腫住院的案例，可見奈米級產品的安全性應有更為審慎之把關。 　　在各式奈米級產品中，「添加顏料、金屬和化學藥劑，是奈米化妝品與保養品對人體健康的最大變數！」美國 FDA 規定， 1 到 100 奈米（ nm ）微粒的保養品、化妝品都算是奈米產品，用來防曬的二氧化鈦是最常被添加的金屬成分，傳統粗顆粒的防曬用品，利用二氧化鈦擋住紫外線傷害皮膚，但鈦成分變成超細微粒，進入皮膚底層後會不會沈澱、累積，衍生皮膚癌、中毒或過敏病變？或經由血液沈積在內臟？目前都沒有具公信力驗證單位可以說明。各式化妝品調色的顏料，以及美白等用途的化學藥劑也被奈米化，對塑造時下流行的「裸妝」效果，確實很有幫助，不過，一旦這些化學製成的奈米微粒粒徑小於 50 到 80 奈米，也就是小於角質細胞的間隙，就會對皮膚造成傷害。至於奈米化的蜜粉和粉餅，可能因為撲粉過程把奈米微粒吸入肺部，產生呼吸道病變，甚至有致命危機。因此，許多學者均強烈主張，化妝品、保養品要上市販售之前，必須完成醫學上的病理實驗，不要把人當白老鼠。 　　生活中已經有多種產品以奈米化之形式推出，例如：保養品、化妝品奈米化的速度很快，許多製造商推出的新保養品均號稱含有奈米微粒，可深入肌膚，達到防皺、除皺功效。但是，英國皇家學會和美國食品藥物管理局（ FDA ）相繼表示，醫學界對奈米微粒與肌膚相互作用的知識還相當貧乏，除了深入肌膚的功效有待驗證外，更要注意這些奈米微粒是否會對血液產生長期的影響。 　　奈米科技是否會步上基因改造食品的後塵，成為消費者對新科技存疑之另一項技術，值得注意。奈米科技在風險未被證實前，業者腳步走太快，而政府完全放手不管，一旦出現意外事故，就可能把這項新科技給毀了。故要求主管機關要有所作為呼聲已經陸續出現，繼英國皇家學會最早投入相關之健康風險研究後，美國消費者團體亦透過 petition 機制，要求 FDA 加強對奈米級產品之管理。

加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》（California Age-Appropriate Design Code Act AB 2273，以下簡稱該法），2023年4月28日，倡議團體與聯邦政府官員提交一份意見陳述以支持該法，預計於2024年7月1日生效；針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍： 1. 倘若企業提供的線上服務、產品或功能符合以下條件，則受該法所規範： (1) 提供服務的對象為兒童（年齡於13歲以下的孩童）之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站，或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA（California Privacy Rights Act）所規範之「企業」，是位於加州並蒐集加州居民個人資料的營利性組織，其須滿足以下條件之一： (1) 年度總收入超過 25,000,00美元，或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料，或者年收入的50％以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估：企業針對所營事業須完成資料保護評估，且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置：企業對於兒童使用者，須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款：企業必須簡明的提供隱私政策、服務條款和明確標準，並使用與兒童年齡相符的清晰語言，以便兒童理解語意。 　(1) 將兒童依據年紀分為：0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 　(2) 定位服務：要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時，向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護，確保兒童個人資料不會在沒有認知的情況下，因使用服務而被蒐集、處理及利用。該法特殊的地方為，對於未成年人進一步區分不同年齡段，若有明確區分出並針對各年齡段進行不同的告知事項設計，將更易使閱讀之未成年人明確了解個資告知內容，應值贊同。

　　歐盟執委會（EU Commission）於2019年6月20日發布「氣候相關資訊報告準則」（Guidelines on reporting climate-related Information），該準則為歐盟執委會2018年3月通過的「永續金融行動計畫」（Action plan on sustainable finance ）之一部分，旨在促使企業更完整的揭露其活動對氣候之影響，以及氣候變化對其業務之風險，讓投資人與融資機構獲有更全面的企業資訊以進行決策，同時引導市場資金轉向友善氣候之企業或商業模式。 　　關於企業氣候相關資訊之揭露，歐盟早在2014年11月15日通過的「非財務資訊報告指令」（Non-Financial Reporting Directive, 2014/95/EU）中要求擁有500名以上員工的大型企業必須揭露其經營與氣候保護間之關聯；為讓所有歐盟企業均有一致可資遵循的揭露標準，執委會嗣於2017年5月7日發布「非財務資訊報告準則」（Guidelines on Non-Financial Reporting）；而本次發布之「氣候相關資訊報告準則」則是在2017年的「非財務資訊報告準則」基礎上所進行的補充，其特別之處在於整合了金融穩定委員會（Financial stability board）轄下「氣候相關財務揭露工作組」(Taskforce on climate-related financial disclosures, TCFD)所擬定之氣候資訊揭露建議，該建議詳細的說明了企業編制非財務類報告以揭露企業所面臨的氣候風險與機遇作法。 　　本準則建議企業分別在（1）商業模式、（2）企業政策、（3）政策成果、（4）風險管理、（5）關鍵績效指標五方面進行氣候相關資訊之揭露：在商業模式方面，例如描述公司對自然資源的依賴性、說明公司商業模式在應對氣候風險時的彈性及可能的變化；在企業政策方面，例如解釋公司如何將氣候相關問題納入運營決策流程、揭露公司在其能源政策中所設之能源相關目標；在政策成果方面，例如參考財務KPI做法描述公司在氣候方面的表現如何影響其財務績效；在風險管理方面，例如根據地理位置、業務活動詳細列出與氣候相關的主要風險、描述進行風險識別、評估的方法與頻率；在關鍵績效指標方面，例如描述主要氣候相關風險與財務關鍵績效指標之間的聯繫。