在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年8月11日舉辦「通訊傳播事業個資法遵教育訓練(台北場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/08/11（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 觀看簡報 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論 通傳事業個資法令宣導 ↑回議程表

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年8月4日舉辦「通訊傳播事業個資法遵教育訓練(高雄場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/08/04（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 觀看簡報 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論 通傳事業個資法令宣導 ↑回議程表

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年7月28日舉辦「通訊傳播事業個資法遵教育訓練(新北場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/28（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 觀看簡報 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論 通傳事業個資法令宣導 ↑回議程表

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年7月23日舉辦「通訊傳播事業個資法遵教育訓練(台中場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/23（三）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 觀看簡報 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論 通傳事業個資法令宣導 ↑回議程表

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年7月22日舉辦「通訊傳播事業個資法遵教育訓練(台北場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/22（二）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 觀看簡報 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論 通傳事業個資法令宣導 ↑回議程表

現今多數零售業者於業務過程中會廣泛蒐集、處理或利用消費者或客戶的個人資料，過去曾發生多起因未採取適當個資保護措施，造成消費者個資外洩之事件。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 經濟部商業發展署於113年11月12日公布施行「零售業個人資料檔案安全維護管理辦法」，該辦法所稱零售業者（以下簡稱業者），指非其他中央目的事業主管機關主管之從事實體店面，或實體店面兼營網際網路方式銷售商品之零售，已辦理公司、有限合夥或商業設立登記，且資本額達新臺幣1,000萬元以上，並有招募會員或可取得交易對象個人資料之業者，均應於發布後6個月內（即114年5月12日前）依本辦法之規定，完成個人資料檔案安全維護計畫之修正或訂定。 經濟部商業發展署為協助業者瞭解新法規之內容，特別於114年7月11日舉辦「零售業個資安全宣導暨安全維護計畫說明會（台中場）」，藉由宣導說明會提升業者對於個資保護之意識與能力，並協助業者規劃安全維護計畫。宣導說明會中將說明：零售業個人資料檔案安全維護管理辦法之規範、如何制定個資安全維護計畫。期望透過本次宣導說明會促進業者於業務蓬勃發展之時，亦能落實保護消費者個人資料之安全。 ● 本活動因場地容量有限，如報名人數超出限制，將以報名優先順序決定，不便之處，尚請見諒。 ● 本活動得登錄公務人員終身學習時數。 ● 本活動得認列TPIPAS PIMS專業證照資格維運點數。 主辦單位：經濟部商業發展署 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/11（五）14：00 - 16：30 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-15:00 零售業個人資料檔案安全維護管理辦法宣導 資策會 科技法律研究所張維正 法律研究員 觀看簡報 15:00-15:10 休息時間 15:10-16:10 個人資料檔案安全維護計畫說明 資策會 科技法律研究所林允中 法律研究員 16:10-16:30 交流討論 零售業個人資料檔案安全維護管理辦法宣導 ↑回議程表

美國司法部於2025年6月9日公布，一名中國非法移民（Sheng Hua Wen，下稱被告）就其違反聯邦刑事法律，非法將槍械、彈藥及其他軍事物資出口至北韓之行為，以及擔任外國政府非法代理人等罪名認罪。 被告犯罪行為係在北韓政府官員指示下進行，後者並匯款200萬美元給被告作為採購費用。被告於2023年期間，透過提交虛假報告，陸續將槍械彈藥等軍用品藏匿於自美國加州長堤港（Port of Long Beach）出口的貨櫃內，並透過中國中轉至北韓；被告亦被發現取得約6萬發9毫米子彈以及含敏感技術之產品，計畫輸出至北韓。本案宣判日期已訂於2025年8月18日，最終量刑將由聯邦地方法院法官依據《美國聯邦量刑指南》（The U.S. Sentencing Guidelines）及其他法定因素決定。 依據《國際緊急經濟權力法》（International Emergency Economic Powers Act，以下簡稱IEEPA），凡故意從事、故意企圖從事、故意共謀從事，或協助、教唆他人從事違反依IEEPA所頒布之任何許可、命令、法規或禁止事項者，均屬違法，最高可處20年有期徒刑。另依據18 U.S. Code § 951，任何人，除外交或領事官員或隨員外，於美國境內充任外國政府代理人，且未依規定向司法部長事先通報者，即屬違法，最高可處10年有期徒刑。

英國政府於2025年1月31日發布「人工智慧網路資安實務守則」（Code of Practice for the Cyber Security of AI，以下簡稱「實務守則」），目的是提供人工智慧（AI）系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引，以期降低人工智慧所面臨的網路資安風險，並促使人工智慧系統開發者與供應商落實基本的資安措施，以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同，因此產生新的資安風險，主要包含以下： 1. 資料投毒（Data Poisoning）：在AI系統的訓練資料中蓄意加入有害或錯誤的資料，影響模型訓練結果，導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆（Model Obfuscation）：攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為，以增加系統漏洞、引發混亂或防礙資安管理，可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令（Indirect Prompt Injection）：藉由輸入經精心設計的指令，使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性，實務守則涵蓋了人工智慧生命週期的各階段，並針對相關角色提出指導。角色界定如下： 1. 人工智慧系統開發者（Developers）：負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈（Supply chain）：涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則，以確保人工智慧系統的安全性與可靠性： 1. 風險評估（Risk Assessment）：識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理（Data management）：確保AI系統整個資料生命週期中的資料安全及有效利用，並採取完善管理措施。 3. 模型安全（Model Security）：在模型訓練、部署和使用階段，均應符合當時的技術安全標準。 4. 供應鏈安全（Supply chain security）：確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針，期望各角色能有效落實AI系統安全管控，促進人工智慧技術在網路環境中的安全性與穩健發展。

2025年5月19日美國總統川普簽署《非自願私密影像移除法》（Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act, TAKE IT DOWN Act），該法散播未經同意之親密影像，如深偽色情（deepfake porn）和報復性色情（revenge porn）視為犯罪行為。 長久以來非自願私密影像（Non-Consensual Intimate Image, NCII）所造成的傷害一直無法被有效處理，AI深偽技術出現之後讓問題變得更加複雜。美國目前僅有20個州對深偽影像設有專法，但各州對 NCII 的定義、刑責與處理方式差異甚大，受害者亦難以在第一時間快速將影像移除，導致二次創傷。 為解決前述問題，共和黨與民主黨展現高度共識，眾議院於2025年4月28日以409票同意、2票反對，壓倒性通過《非自願私密影像移除法》，並於同年5月19日獲川普總統簽署生效，此為眾議院首部管理人工智慧引發危害的重大立法。 《非自願私密影像移除法》重點與相關討論整理如下。 一、散布未經同意的私密影像屬刑事犯罪 依據《非自願私密影像移除法》，任何人若透過互動式電腦服務（interactive computer service）故意揭露或威脅散布可辨識個人之親密影像即構成刑事犯罪。親密影像包含真實私密影像（Authentic intimate visual depictions）或數位偽造影像（Digital forgeries）兩種情形，後者係指透過軟體、機器學習、人工智慧，或任何其他電腦產生或技術方式所創建之親密影像，包括改編、修改、操弄或變造真實影像，且從整體上來看，一般人難以與真實影像區分者。 二、受規範平台（covered platforms）應即時協助受害者移除相關影像 受規範平台係指係向公眾提供服務之網站、線上服務或行動應用程式，且該服務主要是提供一個平台，讓用戶得以分享其自行產製之內容（user-generated content），如訊息、影像、音訊、遊戲等；若該服務涉及發布、策劃、託管或提供未經同意的私密影像，亦屬本法所規範之平台。 受規範平台應自《非自願私密影像移除法》頒布日起一年內，建立一套機制供受害者或其代理人申請移除未經同意散布的私密影像。平台在收到移除請求後，應於48小時內移除該影像，並在合理範圍內努力搜尋並刪除所有明顯為該影像之複製品。若平台未能遵守此一規範，會被視為違反《聯邦貿易委員會法》（Federal Trade Commission Act）所定義之「不公平或欺騙性商業行為」，並適用該法的相關處罰機制，例如民事懲罰（civil penalty）等。 三、執法單位是否能有效執行是關鍵 《非自願私密影像移除法》授權聯邦貿易委員會（Federal Trade Commission, FTC）作為執法單位，然而由於川普政府近期大幅刪減聯邦機構的開銷與人力，FTC能否在48小時內移除相關私密影像備受質疑；亦有論者擔憂這項機制被濫用，恐成為政府打壓言論自由的政治工具，川普總統即公開表示他會利用這部法律來審查批評者的言論。此外，《非自願私密影像移除法》未設立反濫用條款，任何人都可要求平台刪除影像內容，加上平台有時間壓力可能會預防性刪除內容而非實質審查，形同變相限縮言論自由的空間。 《非自願私密影像移除法》是一部試圖回應數位性暴力與AI深偽技術新興威脅的里程碑式立法，反映出立法者對於保障隱私與防止科技濫用的高度共識。然而，該法利益良善但仍需面臨現實端的檢驗，能否公正且有效率的執法將成為成敗的關鍵。

於2025年，Parallel Advisors的理財顧問Nicole Amore（下稱Nicole）向其前雇主Falcon Wealth（下稱Falcon）提起訴訟，請求法院停止Falcon提起的仲裁程序。 本案源自於2025年2月，Nicole自Falcon離職後隨即加入Parallel Advisors，而同年4月，Falcon向仲裁機構申請仲裁，主張Nicole違反合約中關於離職後禁止招攬公司現有或者潛在客戶的規定，指稱Nicole除了下載或截圖公司客戶資訊至其個人設備外，更在尚未離職時即與客戶聯繫，通知客戶其即將轉任新公司之事。 對此，Nicole則援引《加州商業與職業法》第16600條和第16600.5條規定，主張該等競業禁止及限制招攬的條款為違法。 此類因為顧問移轉任職所引發之客戶資訊移轉爭議，在顧問產業中時有所聞，惟目前法院尚未對本案作出裁定，後續發展值得持續關注。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊（下稱《手冊》）》，旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」，藉此將資料價值最大化，並將資料風險最小化。 《手冊》指出，資料驅動著社會發展，資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產，並透過制定相應的政策與規則，確保資料的品質與安全性。同時，考量資料具備易於複製、竄改且流通難以控制的特性，建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎，則仰賴適當且有效的資料管理機制，亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而，資料管理本身要能發揮效益，仍須依賴組織具備足夠的資料成熟度，即具備正確處理與應用資料的整體能力，方能系統性的落實管理與治理工作。 根據《手冊》內容，透過資料治理，企業或組織將能確保資料品質、透明度及安全性，並基於可信任的資料進行決策，進而有效提升決策精準度，實現風險管理與法規遵循，進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，作為制度設計與實務推動之參考，以強化資料治理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》（下稱《辦法》）及其配套指引，自2025年5月1日正式實施。《辦法》及指引的發布，旨在落實《個人信息保護法》中的稽核規定，完善個資合規監督架構，為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式：企業可自行或委託專業機構定期進行審計；另當主管機關發現高風險處理活動或發生重大資料外洩事件時，有權要求企業限期完成外部審計，並提交報告。針對處理規模較大的企業，《辦法》特別規定，凡處理超過1,000萬人個資的業者，須至少每兩年完成一次審計。 針對大規模蒐用個資企業，《辦法》亦強化其配合責任，對於處理超過100萬人資料的企業，須設置個資保護負責人；對大型平台服務業者，則須成立主要由外部人員主導的獨立監督機構，以確保審計客觀性。 在審計執行層面，《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求，並禁止將合規審計轉委託，防堵審計品質不一，或個資分享過程增加外洩風險。同時，也規範同一機構或審計負責人不得連續三次審計同一對象，以強化審計公正性。 《合規審計指引》進一步列出具體審查項目，包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等，協助企業全面落實個資合規審查。

親愛的讀者 近期立法院已著手審查《人工智慧基本法》草案，朝野立委陸續提出十餘個版本，討論聚焦主管機關、資料治理與開放機制、訓練資料透明與可溯源性等關建議題，為我國AI治理藍圖奠定方向。與此同時，立法院亦同步審議《資通安全管理法》部分條文修正草案，強化資安事件通報義務，並加強資通安全產品使用規範。 面對全球AI法制浪潮與資安威脅挑戰，本期特別規劃專文研析美國近年AI法制政策發展，以及歐盟資通訊產品安全性規範，並收錄多篇近期重要立法趨勢，期能為建立我國AI治理與資安防護體系，提供可資借鏡的他山之石。 編輯部

親愛的讀者 近年來，AI、機器人及資料治理持續受到國際關注。我國於2024年底舉辦第12次全國科學技術會議，聚焦「多功能機器人」、「無人機」等議題，後續國家科學及技術委員會將推動「智慧機器人科技方案」，以促進相關產業發展。在資料治理方面，數位發展部規劃推動《促進資料創新利用發展條例》立法、建置臺灣主權AI訓練語料庫，以支援國內AI技術發展與應用落地。 本期除探討AI、機器人及資料相關法制趨勢外，亦關注線上平臺經營者是否透過資訊共享行為，濫用其市場優勢地位，並安排專文研析加拿大於2023年12月修正施行之《競爭法》及其配套措施，期協助建構完善之數位競爭法制。 編輯部

親愛的讀者 近年個資外洩事件頻傳，引發社會各界對個資保護的高度關注。我國於112年5月修正《個人資料保護法》，設立專責機關，並於年底成立「個資保護委員會籌備處」，積極推動後續修法工作。此外，國家通訊傳播委員會（NCC）於113年10月4日修訂「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，經濟部也於同年11月13日修正「零售業個人資料檔案安全維護管理辦法」，展現各目的事業主管機關對落實個資保護之決心。 本期聚焦個資保護的國際趨勢與實務發展，安排專文解析歐洲法院FTv.DW案及歐盟法院Case C-659/22判決，探討其對個資保護的影響與啟示，期能為我國未來強化個資保護提供有益參考。 編輯部

親愛的讀者 近年詐騙手法不斷翻陳出新，根據報導指出，2023年有多達3.5萬名被害人報案，財損破79億元。隨著詐騙金額和案件數量逐年升高，「打詐」成為民眾最關切的議題之一。為建立民眾安全免遭詐騙之社會，立法院於今年7月三讀通過打詐專法，以及《洗錢防制法》、《詐欺犯罪危害防制條例》及《通訊保障及監察法》部份條文修正案。因應打詐專法通過，本期特安排專文析介歐盟《數位服務法》關於「超大型線上平臺」（very large online platforms, VLOPs），以及「超大型線上搜尋引擎」（very large online search engines,VLOSEs）之透明度報告義務及實務觀察，期能作為我國打詐專法透明度報告之借鏡。 編輯部

親愛的讀者 今年6大半導體公司執行長齊聚COMPUTEX，聚焦AI伺服器、AI PC、AI機器人等未來應用，正式宣告AI黃金時代來臨。法律該如何面對這波AI浪潮，以在監管和創新間取得平衡，誠為近期國際上最重要的議題之一。美國於2023年10月發布總統行政命令，提出公私部門使用及研發AI之路徑；歐盟於今年5月更通過全球首部《人工智慧法》，依風險高低分級規範AI產品之法規認證。我國除了「行政院及所屬機關使用生成式AI參考指引」、「金融業運用人工智慧(AI)之核心原則與相關推動政策」、「金融業運用AI指引」草案及「人工智慧(AI)產品與系統評測參考指引」草案外，國科會亦刻正研議《人工智慧基本法》草案，預計今年10月底提出。因應此波AI浪潮，本期特安排專文析介美日韓AI法制及判例，供各界即時掌握AI法制動向。 編輯部

親愛的讀者 科技法律透析自1989年4月創刊以來已歷35個寒暑，承蒙產官學研各界讀者之愛護，於2016年榮獲國家圖書館人氣期刊第9名，一本法律期刊能從一眾刊物中脫穎而出，實屬不易。本刊並與國內五家資料庫業者及ITIS合作，共授權3,893篇文章，科技法制要聞更累計達5,561,442次網路閱覽。以上成果不但顯示產業科技法制的重要性與日俱增，也讓大家對於法制的角色――亦即扮演推動產業發展的油門與催化劑，有著更高的期待。資策會科法所肩負著這樣的期待及國家級智庫的使命，於今年起重新規劃本刊，改為每季發行，並將單元分為定期的國際瞭望及焦點掃描，以及不定期的焦點透視及科法觀點，期能以更貼近產業脈動的形式，呈現科技法制日新月異且變化萬千的臉龐。新的一年，敬祝大家吉龍舞春，龍瑞盈門，也敬請不吝持續給予支持、鼓勵及指教。 編輯部

今（20）日於集思交通部國際會議廳，由國家發展委員會及財團法人資訊工業策進會共同舉辦「數位經濟時代的隱私保護與商機－CBPR跨境隱私規則體系解析」說明會。 本次說明會由國發會法制協調處林豐文處長開場，特別邀請美國在臺協會（AIT）商務官柯思遠（Christian Koschil）致詞。由國發會、資策會科技法律研究所介紹CBPR機制及驗證實務操作，並邀請於去（2024）年甫通過CBPR認證，也是臺灣第一個取得該認證的組織－臺灣集中保管結算所分享相關實務經驗及取得國際認證的隱私保護標章帶來的商機。 圖一：開場嘉賓合影，左至右分別為資策會林冠宇主任、國發會法制協調處林豐文處長及美國在臺協會柯思遠（Christian Koschil）商務官。 開場致詞中，美國在臺協會的商務官柯思遠（Christian Koschil）對於臺灣加入國際隱私保護體系，在數位經濟時代致力於隱私保護的努力表達支持。國發會在演講中展現政府對於CBPR堅定支持的態度，表示跨境傳輸的資料保護是數位經濟時代企業競爭力的關鍵，並提及隨著AI科技快速發展及個資獨立專責機關的成立，導入CBPR可使企業有效掌握資料合法利用的認知，並能適時調整以符合法規要求；資策會作為CBPR當責機構，從推動、導入、驗證到後續維運一手包辦，在說明會中，科法所提出「個資管理是資料治理的基石，CBPR是通往世界的鑰匙」，取得國際認可的隱私保護標章是企業競爭力的展現；而臺灣集中保管結算所作為臺灣第一個通過CBPR驗證的企業，從企業角度分享取得國際認證的隱私保護標章所帶來的商機，集保公司認為取得國際認證的隱私保護標章即代表公司之個資管理能力已接軌國際標準，有效使外資對企業的個人資料管理及隱私保護更放心，促進國際資料傳輸合作。 本次說明會，展現臺灣在數位經濟時代下對隱私保護的重視與決心。隨著全球數位化進程加速，跨境資料傳輸已成為企業營運不可或缺的一環，CBPR驗證機制不僅提供了國際認可的隱私保護標準，更為企業開啟了跨境傳輸的大門。期盼透過政府部門、驗證機構與企業三方的通力合作，共同打造一個兼顧隱私保護與商業發展的數位環境。

圖一：能源轉型示意圖 (圖片來源：https://www.pexels.com/zh-tw/photo/1108572/)。 近年人工智慧與資料中心迅速發展，不僅成為產業布局策略的一環，也為全球電力供需與能源轉型帶來新的挑戰與契機。國際能源總署於今（2025）年4月10日發布《能源與人工智慧》(Energy and AI)報告，指出去（2024） 年資料中心用電量，約占全球總用電量的1.5%(4150億度)，預估至2030年將成長至9450億度，增幅逾2倍，相當於日本目前的用電量。資策會科技法律研究所將持續關注人工智慧與能源相關法制框架的發展，期以促成新興科技與能源轉型的加乘效果（synergy）。 報告進一步指出，資料中心目前主要仰賴再生能源與天然氣滿足用電需求，全球已有近120 GW的再生能源容量透過企業電力購售合約（Corporate Power Purchase Agrement, CPPA）取得，約供應當前資料中心20%的用電量。預計至2035年，新增電力需求約有50%由建設期較短、具競爭力的再生能源及儲能設備滿足，以支援快速成長的科技發展；其餘則由具備彈性調度能力的天然氣，以及新興核能技術、地熱能等作為供電來源。 面對急遽攀升的電力需求，國際能源總署建議借鑒各國政策框架，如澳洲、法國、日本及加州等地，皆已實施強制的能源效率標準，要求資料中心電力使用效率（power usage effectiveness, PUE）必須低於一定門檻。此外，資料中心應選址於電力裕度較高的地區，並提高伺服器與備用能源的電力彈性(flexibility)，如南韓對首爾市外新建的資料中心，提供電力設施費用5折優惠等；監管機構可藉由提供政策誘因，鼓勵業者靈活調度備用伺服器容量、備用發電及儲能設備。 另一方面，人工智慧本身亦可成為提升能源效率的技術，目前能源產業正廣泛運用人工智慧，提升能源與礦產供應效率、改進電力系統運作並降低能源消耗。如人工智慧有助於預測再生能源發電量，減少風電與光電的棄電(curtailment)現象，以及透過遠端監測與智慧管理，進行故障檢測以縮短停電時間。 然而，能源基礎設施的建設仍面臨挑戰，包括電力併網程序冗長、變壓器與電纜等關鍵設備生產延宕、天然氣機組建設滯後等課題。未來須加速能源基礎建設，避免資料中心與其他重要的電力需求如電氣化、工業成長及電價穩定之間必須做出取捨。 總體而言，資策會科技法律研究所副法律研究員鄭泰鈞認為，臺灣目前正積極布建資料中心的基礎設施，面對產業創新與淨零排放的雙重課題，國際能源總署詳盡的報告可資作為借鏡。人工智慧發展雖帶來淨零排放的嚴峻挑戰，但若能透過前瞻技術作為能源轉型的領航者，用電需求將化為帶動綠電市場蓬勃發展的墊腳石，如何進一步促成人工智慧與能源轉型的相互合作而非相互制肘，其發展趨勢值得持續觀望及探討。

近來資安威脅持續升溫，企業遭駭、個資外洩等事故頻傳，「個人資料」保護的重要性日漸提升，國內法規與實務對於企業蒐集、處理與利用個資的相關要求，也日益嚴格。個資保護已不再是企業經營的附加選項，而是不容忽視的治理責任。 資策會科技法律研究所長年協助企業導入個資管理制度，以期企業實務符合法律規範，甚至通過國際驗證；同時，透過協助企業導入管理制度之多年實務經驗，團隊也觀察到實務執行上的多重挑戰。 從規範到實務：輔導現場揭示四大挑戰 企業主要依循我國「個人資料保護法施行細則(以下簡稱施行細則)」第8條、第12條所列建立管理機制，團隊歸納出四個實務常見議題，彰顯個資保護從意識到具體落實仍有相當挑戰。 一、內部認知不足，制度運作與實際脫節 部分企業雖已建構個資管理制度，惟實務上常見企業因「對個資定義不明確」或「內部人員對個資法令與內部規範熟悉度不足」，導致在新產品或服務上線時，誤認其並未蒐集個資而未及時調整個資告知事項。另亦有同仁因意識不足，導致遭遇個資外洩事故時，未察覺洩漏之資料屬於個資，進而延誤對主管機關踐行通報義務、錯失危機處理良機，增加違規與裁罰風險。 二、個資盤點落實度不足 「個資盤點」即施行細則第12條第2項第2款所稱「界定個人資料之範圍」，係指系統性盤點組織所蒐集、處理、利用之個資檔案，識別個資類別、法令、儲存位置等資訊，也因此個資盤點可謂是推動個資管理制度的基石，定期落實執行更是利於後續風險評估與安全維護措施推展的關鍵。惟實務上常見企業因資源有限、系統功能受限、人員認知不足等情，導致盤點流於形式、與實際作業不符，不僅影響個資管理制度運行，更有違反法令之虞。 三、需建構個資檔案保存期限思維 個資法第11條第3項本文規範企業於個資蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用之。然而，實務常見企業基於消費者行為分析、行銷、憂慮未來訴訟可能等事由，難以明確界定個資之保存年限、逾期刪除情況屢見不鮮。惟為落實法令遵循，企業應調整思維，於進行個資盤點時同步設定保存期限及反思銷毀與刪除機制，建立涵蓋個資檔案「蒐集、處理、利用、刪除」的完整生命週期，避免造成合規缺口。 四、委外監督力道尚待強化 施行細則第8條規定企業應對委託辦理業務而涉及個資之廠商，如資訊服務廠商、行銷公司、商品服務支援廠商等，負起監督管理之責。近期供應鏈資安事件頻傳，若企業疏於監督委外廠商，最終仍需連帶承擔相應的法律責任。然而，實務上除特定產業外，多數企業常因法規認知不足、不願投入監管成本、監管能力不足、高層忽視或公司市場地位落差等因素，造成難以實際監管廠商，亦或未能獲取足夠監管資訊之情形，同樣面臨合規挑戰。 規範制度變革在即，建立個資管理制度只是起點 今（2025）年3月27日，行政院公告「個人資料保護委員會組織法」及個資法部分條文修正草案，昭示獨立、專責的個資保護監理機關將正式成立，亦可預見未來的監理密度將顯著提升、合規標準將趨於一致。當合規標準逐漸提高，法令遵循已成為企業經營的基本要素，具備韌性與反應能力，才是企業真正需要具備的關鍵能力。尤其對企業而言，建立個資管理制度只是起點，唯有持續落實、內部檢核且滾動式調整制度與安全管理措施，將「個資保護」的核心精神昇華為企業文化，才能有效面對與管控市場上不可預知之風險。

軟體開發過程中，除自行研發外，借助第三方或開源元件亦為常見手段。然而隨著軟體內容及組成元件來源愈加複雜，對軟體資安的控管難度也隨之愈加提升。為應對此類情境，確保軟體供應鏈安全性（Supply Chain Security），軟體物料清單（Software Bill of Materials，SBOM）遂成為備受關注的規範主題。對應一般製造業記載原物料、加工流程、半成品與成品數量之物料清單（Bill of Materials, BOM），SBOM之主軸則在揭露軟體之組成元件及其版本、供應鏈關係，確保軟體的透明度與可信度，俾利採購單位易於預先檢核其風險、漏洞，及增強資安事件發生時之應對能力。 資策會科技法律研究所觀察，針對SBOM，各國近年已有相當數量的相關政策、規範，如美國前總統拜登曾於2021年5月簽署總統行政命令14028號（Executive Order on Improving the Nation’s Cybersecurity，EO14028）中裁示商務部應與國家電信暨資訊管理局（National Telecommunications and Information Administration，NTIA）協調並公布SBOM 最低所需元素（The Minimum Elements For a Software Bill of Materials （SBOM））；歐盟執委會（European Commission）公布於2024年12月10日起生效之《網路韌性法》（Cyber Resilience Act，CRA），該法案針對數位產品製造商，規定其應識別並記錄數位產品中所包含的元件及漏洞，並以SBOM等形式加以文件化，從而協助製造商與使用者追蹤已知的新漏洞與網路安全風險，製造商並應確保其數位產品未包含第三方所開發且易受攻擊之元件；日本經濟產業省亦於2023年的7月發佈SBOM導入指引，提供日本企業導入SBOM之益處、導入步驟及應注意事項，以利相關措施推行。 我國政府政策方面，行政院公共工程委員會已於2023年9月25日公布《各類資訊（服務）採購之共通性資通安全基本要求參考一覽表》規定，機關辦理資訊服務採購若涉及「應用軟體或系統開發」、「既有系統功能後續擴充」及「應用軟體或系統維運」等類型，且資通系統防護需求分級為高或中級，採購機關宜透過契約要求廠商於更新程式時及各季度均應提供SBOM及安全測試報告，以促進應用程式及程式碼安全性；另衛生福利部食品藥物管理署之《適用於製造業者之醫療器材網路安全指引》、《醫療器材網路安全之業者揭露聲明書》及《醫療器材網路安全評估分析參考範本》等文件中，亦已明列醫療器材製造業者應建立並提交SBOM供上市前審查之用。 資訊技術日益進步，伴隨網路惡意攻擊頻繁，如2021年11月受到關注的「Apache Log4j日誌框架系統」漏洞事件，即因該軟體工具於網路應用程式中廣泛利用，而造成重大影響；而自2025年2月起，駭客陸續駭入醫療院所等引發一連串資安事故，更經立委於質詢中呼籲推動SBOM制度，喚醒大眾對資安防護的警覺。倘能利用SBOM迅速辨識出相關元件，即有助於及時修補，降低因漏洞遭到利用而受到攻擊的風險，免除個人或組織資產的損失，從而凸顯出利用SBOM協助公、私部門快速找出軟體第三方元件與漏洞，並予以即時修補的重要性。歐盟、美、日等皆已陸續透過法規或政策推動SBOM機制以協助管控軟體風險，相關機制之運作及推行方式，值得持續加以追蹤。