網路拍賣之法制趨勢

加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》（California Age-Appropriate Design Code Act AB 2273，以下簡稱該法），2023年4月28日，倡議團體與聯邦政府官員提交一份意見陳述以支持該法，預計於2024年7月1日生效；針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍： 1. 倘若企業提供的線上服務、產品或功能符合以下條件，則受該法所規範： (1) 提供服務的對象為兒童（年齡於13歲以下的孩童）之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站，或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA（California Privacy Rights Act）所規範之「企業」，是位於加州並蒐集加州居民個人資料的營利性組織，其須滿足以下條件之一： (1) 年度總收入超過 25,000,00美元，或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料，或者年收入的50％以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估：企業針對所營事業須完成資料保護評估，且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置：企業對於兒童使用者，須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款：企業必須簡明的提供隱私政策、服務條款和明確標準，並使用與兒童年齡相符的清晰語言，以便兒童理解語意。 　(1) 將兒童依據年紀分為：0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 　(2) 定位服務：要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時，向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護，確保兒童個人資料不會在沒有認知的情況下，因使用服務而被蒐集、處理及利用。該法特殊的地方為，對於未成年人進一步區分不同年齡段，若有明確區分出並針對各年齡段進行不同的告知事項設計，將更易使閱讀之未成年人明確了解個資告知內容，應值贊同。

歐盟於2023年10月11日發布《歐洲綠色債券監管及環境永續債券市場與永續連結債券自願性揭露規則》（Regulation on European Green Bonds and optional disclosures for bonds marketed as environmentally sustainable and for sustainability-linked bonds，下稱《歐洲綠色債券規則》），預計於2023年12月20日生效，針對在歐盟境內發行之綠色債券建立一套監管框架，課予欲使用「歐洲綠色債券」（European Green Bond）或「EuGB」等名稱發行環境永續債券的發行人一定義務，促進綠色債券的一致性和可比性，以保障投資人。綠色債券是發展綠色技術、能源效率和提升資源運用以及其他永續相關基礎設施投融資的主要工具之一，本規則之通過也被視為落實歐盟永續成長融資策略以及向碳中和、循環經濟轉型的一大進展。 《歐洲綠色債券規則》規範重點如下： 1.資金用途限制：《綠色債券規則》所有透過歐盟綠色債券募得的資金，原則上均必須投資於符合《歐盟永續分類標準》（EU Taxonomy）技術篩選標準的永續經濟活動，只有在所欲投資的經濟活動類別尚未被納入該標準時得為例外，且以總額之15%為限； 2.資訊揭露：綠色債券之發行人有義務揭露該債券之概況介紹（Factsheet）、資本支出計畫、資金使用分配報告、衝擊報告，並於債券公開說明書敘明資金用途，並得選擇進一步說明該債券之資金如何與自身企業整體環境永續目標相結合； 3.外部審查：前述資訊均須由已向歐洲證券與市場管理局（European Securities and Markets Authority）註冊之外部機構進行審查，以確保其準確性及可靠性。

　　2016年11月30日，歐盟執委會正式推出了清潔能源轉型（Clean Energy Transition）包裹立法提案。這項又名為「全歐洲人的清潔能源」（Clean Energy for All Europeans）包裹立法提案有三個主要目標，分別為「能源效率優先」（putting energy efficiency first）、「讓歐盟於再生能源取得全球領導地位」，以及「提供消費者公平合理的方案」（providing a fair deal for consumers）。而整個包裹措施的內容，除了再生能源指令（2009/28/EC）的修正案的提出外，並包含能源效率指令（2012/27/EU）以及建築物能源績效指令（2010/31/EU）的修正規劃。 　　在再生能源指令的修正草案方面，根據執委會的說明文件 ，此次的修正大致延續2015年所提出公眾諮詢的架構，分為六個面向，分別為：（1）於電力部門創造可以促成再生能源進一步佈署之架構（2）供冷供熱部門再生能源的主流化（3）運輸部門的減碳與多元化（4）對於消費者之賦權與資訊之提供（5）強化歐盟對於生質能源的永續性門檻（6）確保歐盟層級的具拘束力目標（binding target）能及時並以符合成本效率之方式達成。 　　在「於電力部門創造可以促成再生能源進一步佈署之架構」方面，執委會指出，依照目前規劃，2030年時歐洲將有一半的電力來自再生能源。而因應上述規劃願景，此次的修正草案融入會員國在設計支持再生能源機制時所應遵循的一般原則，亦即除了確保相關支持機制對於投資人具透明性與安定性，系爭機制亦須符合成本效益且為市場導向。 　　在「供冷供熱部門再生能源的主流化」部分，執委會首先說明，供冷供熱佔歐洲能源需求的50%，但此部分再生能源的使用仍然發展遲緩。此次修正規劃的主要重點則首先在於讓會員國有機會以供冷供熱部門為選項來增加其再生能源佔比，以2030年為目標，預計每年增加1%。並在特定條件下，開放再生能源發電業者對於區域型供冷供熱系統的近用權利。 　　我國政府近來為推動能源轉型政策，亦致力提高再生能源配比，並由行政院核定諸如「太陽光電2年推動計畫」等配套方案，近來並將修正再生能源發展條例；歐盟所提出相關規劃內容，或亦有值得我國參酌之處。

馬來西亞個人資料保護委員會（Personal Data Protection commissioner，下稱個資保護委員會）於2023年度收受與個人資料（下稱個資）濫用、外洩相關申訴案件數量達779件，成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步，並加強個資遭洩漏時即時採取應變措施等相關政策，以解決前述憂心狀況，數位部（Ministry of Digital）於2024年7月10日提出《個人資料保護法》（Personal Data Protection Act 2010, PDPA）修正案，並於同年7月16日經下議院（Dewan Rakyat，馬來語直譯）表決通過。 本次PDPA修正重點包含： 1.設立個資保護官（data protection officer, DPO）制度：強制要求蒐集、處理、利用個資之資料控管者（data controller），及受資料控管者委託而實質處理個資之資料處理者（data processor），均需指派個資保護官。 2.擴張對於敏感性個資（sensitive personal data）定義：與個人身體、生理或行為特徵相關之技術處理所生個資（即生物辨識資料），皆屬之。 3.制訂個資外洩通報制度：強制要求發生個資外洩時須通報個資保護委員會，以及可能受到任何重大損害之個資當事人，惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性：在遵守技術可行性（technical feasibility）與資料格式相容性（data format compatibility）之情境下，允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務：舊法僅要求資料控管者須遵守PDPA所規定的安全原則（security principle）；新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則：舊法對於違反個資保護原則者，最高僅得處300,000馬幣和/或2年監禁；新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正：原則允許資料控管者將個資傳輸至馬來西亞以外，惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當；並將跨境白名單制度調整為黑名單制度，不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA，彰顯該國政府對個資保護之重視，惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範，則仍須待修正案通過後，經個資保護委員會發布相關指引再行釐清。