在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年8月11日舉辦「通訊傳播事業個資法遵教育訓練(台北場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/08/11（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年8月4日舉辦「通訊傳播事業個資法遵教育訓練(高雄場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/08/04（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年7月28日舉辦「通訊傳播事業個資法遵教育訓練(新北場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/28（一）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年7月23日舉辦「通訊傳播事業個資法遵教育訓練(台中場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/23（三）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論

在數位時代，通訊傳播事業（如電信業者、網際網路服務提供商等）掌握大量個人資料，如用戶姓名、身份證字號、聯絡資訊、通話紀錄、上網瀏覽紀錄等。由於這些資訊涉及個人隱私，甚至可能關聯金融交易與個人行為模式，因此個資保護顯得尤為重要。如何在保護個人隱私與合法利用資料之間取得平衡，成為社會關注的焦點。未來，政府與企業需加強資料治理，確保資料使用的透明度與合法性，保障當事人的隱私權益。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 國家通訊傳播委員會為協助業者瞭解通訊傳播事業適用之個人資料保護法規之內容，特別於114年7月22日舉辦「通訊傳播事業個資法遵教育訓練(台北場)」。藉由通傳產業宣導說明會，協助通傳會轄下業者強化內部個資保護能量，以符合個資保護法遵作為及提升通傳事業形象，並瞭解我國個資法修法趨勢及跨境隱私保護管理機制等相關議題。另一方面，協助通傳會向通傳事業宣導個資法規及通傳會所頒「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，以加強通傳事業落實個資法遵要求，降低個資事故發生風險。 ● 本活動因場地容量有限，如報名人數超出限制，將以國家通訊傳播委員會與通訊傳播事業人員為優先，不便之處，尚請見諒。 主辦單位：國家通訊傳播委員會 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/22（二）14：00 - 17：00 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-14:10 開幕致詞 國家通訊傳播委員會 14:10-15:00 通傳事業個資法令宣導 資策會科技法律研究所講師 15:00-15:40 個資檢查自評表解說 15:40-15:50 休息時間 15:50-16:50 隱私強化技術與應用 資安專家(外聘) 16:50-17:00 交流討論

現今多數零售業者於業務過程中會廣泛蒐集、處理或利用消費者或客戶的個人資料，過去曾發生多起因未採取適當個資保護措施，造成消費者個資外洩之事件。若企業未能妥善管理及保護個人資料，恐將導致當事人遭受財損等侵害，亦會使企業聲譽受損，甚而招致主管機關的裁罰。 經濟部商業發展署於113年11月12日公布施行「零售業個人資料檔案安全維護管理辦法」，該辦法所稱零售業者（以下簡稱業者），指非其他中央目的事業主管機關主管之從事實體店面，或實體店面兼營網際網路方式銷售商品之零售，已辦理公司、有限合夥或商業設立登記，且資本額達新臺幣1,000萬元以上，並有招募會員或可取得交易對象個人資料之業者，均應於發布後6個月內（即114年5月12日前）依本辦法之規定，完成個人資料檔案安全維護計畫之修正或訂定。 經濟部商業發展署為協助業者瞭解新法規之內容，特別於114年7月11日舉辦「零售業個資安全宣導暨安全維護計畫說明會（台中場）」，藉由宣導說明會提升業者對於個資保護之意識與能力，並協助業者規劃安全維護計畫。宣導說明會中將說明：零售業個人資料檔案安全維護管理辦法之規範、如何制定個資安全維護計畫。期望透過本次宣導說明會促進業者於業務蓬勃發展之時，亦能落實保護消費者個人資料之安全。 ● 本活動因場地容量有限，如報名人數超出限制，將以報名優先順序決定，不便之處，尚請見諒。 ● 本活動得登錄公務人員終身學習時數。 ● 本活動得認列TPIPAS PIMS專業證照資格維運點數。 主辦單位：經濟部商業發展署 執行單位：財團法人資訊工業策進會科技法律研究所 時　　間：2025/07/11（五）14：00 - 16：30 議　　程： 時間 議題 講師 13:30-14:00 來賓報到 14:00-15:00 零售業個人資料檔案安全維護管理辦法宣導 資策會 科技法律研究所張維正 法律研究員 觀看簡報 15:00-15:10 休息時間 15:10-16:10 個人資料檔案安全維護計畫說明 資策會 科技法律研究所林允中 法律研究員 16:10-16:30 交流討論 零售業個人資料檔案安全維護管理辦法宣導 ↑回議程表

2025年5月19日美國總統川普簽署《非自願私密影像移除法》（Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act, TAKE IT DOWN Act），該法散播未經同意之親密影像，如深偽色情（deepfake porn）和報復性色情（revenge porn）視為犯罪行為。 長久以來非自願私密影像（Non-Consensual Intimate Image, NCII）所造成的傷害一直無法被有效處理，AI深偽技術出現之後讓問題變得更加複雜。美國目前僅有20個州對深偽影像設有專法，但各州對 NCII 的定義、刑責與處理方式差異甚大，受害者亦難以在第一時間快速將影像移除，導致二次創傷。 為解決前述問題，共和黨與民主黨展現高度共識，眾議院於2025年4月28日以409票同意、2票反對，壓倒性通過《非自願私密影像移除法》，並於同年5月19日獲川普總統簽署生效，此為眾議院首部管理人工智慧引發危害的重大立法。 《非自願私密影像移除法》重點與相關討論整理如下。 一、散布未經同意的私密影像屬刑事犯罪 依據《非自願私密影像移除法》，任何人若透過互動式電腦服務（interactive computer service）故意揭露或威脅散布可辨識個人之親密影像即構成刑事犯罪。親密影像包含真實私密影像（Authentic intimate visual depictions）或數位偽造影像（Digital forgeries）兩種情形，後者係指透過軟體、機器學習、人工智慧，或任何其他電腦產生或技術方式所創建之親密影像，包括改編、修改、操弄或變造真實影像，且從整體上來看，一般人難以與真實影像區分者。 二、受規範平台（covered platforms）應即時協助受害者移除相關影像 受規範平台係指係向公眾提供服務之網站、線上服務或行動應用程式，且該服務主要是提供一個平台，讓用戶得以分享其自行產製之內容（user-generated content），如訊息、影像、音訊、遊戲等；若該服務涉及發布、策劃、託管或提供未經同意的私密影像，亦屬本法所規範之平台。 受規範平台應自《非自願私密影像移除法》頒布日起一年內，建立一套機制供受害者或其代理人申請移除未經同意散布的私密影像。平台在收到移除請求後，應於48小時內移除該影像，並在合理範圍內努力搜尋並刪除所有明顯為該影像之複製品。若平台未能遵守此一規範，會被視為違反《聯邦貿易委員會法》（Federal Trade Commission Act）所定義之「不公平或欺騙性商業行為」，並適用該法的相關處罰機制，例如民事懲罰（civil penalty）等。 三、執法單位是否能有效執行是關鍵 《非自願私密影像移除法》授權聯邦貿易委員會（Federal Trade Commission, FTC）作為執法單位，然而由於川普政府近期大幅刪減聯邦機構的開銷與人力，FTC能否在48小時內移除相關私密影像備受質疑；亦有論者擔憂這項機制被濫用，恐成為政府打壓言論自由的政治工具，川普總統即公開表示他會利用這部法律來審查批評者的言論。此外，《非自願私密影像移除法》未設立反濫用條款，任何人都可要求平台刪除影像內容，加上平台有時間壓力可能會預防性刪除內容而非實質審查，形同變相限縮言論自由的空間。 《非自願私密影像移除法》是一部試圖回應數位性暴力與AI深偽技術新興威脅的里程碑式立法，反映出立法者對於保障隱私與防止科技濫用的高度共識。然而，該法利益良善但仍需面臨現實端的檢驗，能否公正且有效率的執法將成為成敗的關鍵。

於2025年，Parallel Advisors的理財顧問Nicole Amore（下稱Nicole）向其前雇主Falcon Wealth（下稱Falcon）提起訴訟，請求法院停止Falcon提起的仲裁程序。 本案源自於2025年2月，Nicole自Falcon離職後隨即加入Parallel Advisors，而同年4月，Falcon向仲裁機構申請仲裁，主張Nicole違反合約中關於離職後禁止招攬公司現有或者潛在客戶的規定，指稱Nicole除了下載或截圖公司客戶資訊至其個人設備外，更在尚未離職時即與客戶聯繫，通知客戶其即將轉任新公司之事。 對此，Nicole則援引《加州商業與職業法》第16600條和第16600.5條規定，主張該等競業禁止及限制招攬的條款為違法。 此類因為顧問移轉任職所引發之客戶資訊移轉爭議，在顧問產業中時有所聞，惟目前法院尚未對本案作出裁定，後續發展值得持續關注。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊（下稱《手冊》）》，旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」，藉此將資料價值最大化，並將資料風險最小化。 《手冊》指出，資料驅動著社會發展，資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產，並透過制定相應的政策與規則，確保資料的品質與安全性。同時，考量資料具備易於複製、竄改且流通難以控制的特性，建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎，則仰賴適當且有效的資料管理機制，亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而，資料管理本身要能發揮效益，仍須依賴組織具備足夠的資料成熟度，即具備正確處理與應用資料的整體能力，方能系統性的落實管理與治理工作。 根據《手冊》內容，透過資料治理，企業或組織將能確保資料品質、透明度及安全性，並基於可信任的資料進行決策，進而有效提升決策精準度，實現風險管理與法規遵循，進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，作為制度設計與實務推動之參考，以強化資料治理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》（下稱《辦法》）及其配套指引，自2025年5月1日正式實施。《辦法》及指引的發布，旨在落實《個人信息保護法》中的稽核規定，完善個資合規監督架構，為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式：企業可自行或委託專業機構定期進行審計；另當主管機關發現高風險處理活動或發生重大資料外洩事件時，有權要求企業限期完成外部審計，並提交報告。針對處理規模較大的企業，《辦法》特別規定，凡處理超過1,000萬人個資的業者，須至少每兩年完成一次審計。 針對大規模蒐用個資企業，《辦法》亦強化其配合責任，對於處理超過100萬人資料的企業，須設置個資保護負責人；對大型平台服務業者，則須成立主要由外部人員主導的獨立監督機構，以確保審計客觀性。 在審計執行層面，《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求，並禁止將合規審計轉委託，防堵審計品質不一，或個資分享過程增加外洩風險。同時，也規範同一機構或審計負責人不得連續三次審計同一對象，以強化審計公正性。 《合規審計指引》進一步列出具體審查項目，包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等，協助企業全面落實個資合規審查。

一、緣起與目標 「依賴制度（reliance）」指一國有效利用他國的審查結果，而減少重複作業、提升效率，並促進病人更快取得安全、有效產品的政策。為此，國際醫療器材法規管理論壇（International Medical Device Regulators Forum, IMDRF）於2025年3月提出《醫療器材監管依賴計畫操作手冊》（Playbook for Medical Device Regulatory Reliance Programs）草案，協助各國建立與管理依賴制度。惟此制度並非「無條件接受他國決策」或「國際換證」，而須由各國自行決定如何利用依賴制度，並承擔最終監管責任。 二、應用範圍 該手冊適用於所有醫療器材（含體外診斷器材）或輔具，並涵蓋產品生命週期各階段（如技術文件審查或品質管理系統驗證等）。 三、依賴機制的類型 手冊歸納三類依賴機制並舉例說明： 1.工作共享（Work-sharing）：指多國協作進行監管任務，可為聯合評估、聯合檢查，或共同推出監管標準等。如IMDRF推出的「醫療器材單一稽查計畫」，訂定多國之驗證機構對製造商的統一稽核標準，使廠商受稽後所作成的稽查報告可一次性符合數國法規。 2.簡化審查（Abridged Review）：以他國完整的審查成果作為基礎，僅針對當地「特有」及「新增」的風險進行審查。如新加坡健康科學局已實施簡審制度。 3.承認（Recognition）：正式接受他國監管決策結果作為判斷依據，可分為單、雙、多邊的承認。如CE標誌的醫材可在歐盟27個成員國內通行。 四、結語 IMDRF並非藉由該手冊推行「最佳模式」，而是協助各國依需求發展適合的監管依賴策略，加強協作與資源共享，進而促進全球監管上的一致性與產品流通性。近年世界衛生組織及區域組織（如歐盟、東協、非洲聯盟發展署）越加重視各國監管法規的一致性，並將審查資源移向人工智慧或高風險醫材的監管探索中，此監管趨勢值得我國持續關注。

日本政府怎樣對公部門管制DeepSeek？ 資訊工業策進會科技法律研究所 2025年07月07日 2025年2月3日，日本個人情報保護委員會（Personal Information Protection Commission，簡稱PPC）發布新聞稿指出[1]，DeepSeek所蒐集的資料，將會儲存在中國的伺服器裡，且為中國《國家情報法》的適用對象[2]。這可能將導致個人資料遭到中國政府調用或未經授權的存取。作為中國開發的生成式AI，DeepSeek雖以優異的文本能力迅速崛起，卻也引發資安疑慮。 身處地緣政治敏感區的日本對此高度警覺，成為率先提出警告的國家之一。台灣與日本面臨相似風險，因此日本的應對措施值得借鏡。本文將從PPC新聞稿出發，探討日本如何規範公部門使用DeepSeek。 壹、事件摘要 DeepSeek作為中國快速崛起之生成式AI服務，其使用範圍已快速在全球蔓延。然而，日本PPC發現該公司所公布之隱私政策，內容說明其所蒐集之資料將存儲於中國伺服器內，並依據中國《國家情報法》之適用範圍可能遭到中國政府調用或未經授權之存取。 日本PPC因而於2025年2月3日發布新聞稿，隨後日本數位廳於2月6日發函給各中央省廳，強調在尚未完成風險評估與資安審查之前，政府機關不應以任何形式將敏感資訊輸入DeepSeek，並建議所有業務使用應先諮詢內閣資安中心（内閣サイバーセキュリティセンター，NISC）與數位廳（デジタル庁）意見，才能判定可否導入該類工具[3]。數位大臣平將明亦在記者會中強調：「即使不是處理非機密資料，各機關也應充分考量風險，判斷是否可以使用。」（要機密情報を扱わない場合も、各省庁等でリスクを十分踏まえ、利用の可否を判断する）[4]。 本次事件成為日本對於生成式AI工具採取行政限制措施的首次案例，也引發公私部門對資料主權與跨境平台風險的新一輪討論。 貳、重點說明 一、日本對於人工智慧的治理模式 日本在人工智慧治理方面採取的是所謂的「軟法」（soft law）策略，也就是不依賴單一、強制性的法律來規範，而是以彈性、分散的方式，根據AI的實際應用場景與潛在風險，由相關機關分別負責，或透過部門之間協作因應。因此，針對DeepSeek的管理行動也不是由某一個政府部門單獨推動，而是透過跨部會協作完成的綜合性管控，例如： （一）PPC的警示性通知：PPC公開說明DeepSeek儲存架構與中國法規交錯風險，提醒政府機關與公務人員謹慎使用，避免洩漏資料。 （二）數位廳的行政指引：2025年2月6日，日本數位廳針對生成式AI的業務應用發布通知，明列三項原則：禁止涉密資料輸入、限制使用未明確審查之外部生成工具、導入前應諮詢資安機構。 （三）政策溝通與政治聲明：平將明大臣在記者會上多次強調DeepSeek雖未明列於法條中禁用，但其高風險屬性應視同「潛在危害工具」，需列入高敏感度審查項目。 二、日本的漸進式預防原則 對於DeepSeek的管制措施並未升高至法律層級，日本政府亦沒有一概禁止DeepSeek的使用，而是交由各機關獨自判斷[5]。這反映出了日本在AI治理上的「漸進式預防原則」：先以行政指引建構紅線，再視實際風險與民間回饋考慮是否立法禁用。這樣的作法既保留彈性，又讓官僚系統有所依循，避免「先開放、後收緊」所帶來的信任危機。 三、日本跟循國際趨勢 隨著生成式AI技術迅速普及，其影響已不再侷限於產業應用與商業創新，而是逐漸牽動國家資安、個資保護以及國際政治秩序。特別是生成式AI在資料存取、模型訓練來源及跨境資料流通上的高度不透明，使其成為國家安全與數位主權的新興挑戰。在這樣的背景下，各國對生成式AI工具的風險管理，也從原先聚焦於產業自律與技術規範，提升至涉及國安與外交戰略層面。 日本所採取的標準與國際趨勢相仿。例如韓國行政安全部與教育部也在同時宣布限制DeepSeek使用，歐盟、美國、澳洲等國亦有不同程度的封鎖、審查或政策勸導。日本雖然和美國皆採取「軟法」（soft law）的治理策略，然而，相較於美國以技術封鎖為主，日本因其地緣政治的考量，對於中國的生成式AI採取明確防範的態度，這一點與韓國近期禁止政府機構與學校使用中國AI工具、澳洲政府全面禁止政府設備安裝特定中國應用程式類似。 參、事件評析 這次日本政府對於DeepSeek的應對措施，反映出科技治理中的「資料主權問題」（data sovereignty）：即一個國家是否有能力控制、保存與使用其管轄範圍內所生產的資料。尤其在跨境資料傳輸的背景下，一個國家是否能保障其資料不被外國企業或政府擅自使用、存取或監控，是資料主權的核心問題。 生成式AI不同於傳統AI，其運作依賴大規模訓練資料與即時伺服器連接，因此資料在輸入的瞬間可能已被收錄、轉存甚至交付第三方。日本因而對生成式AI建立「安全門檻」，要求跨境工具若未經審核，即不得進入政府資料處理流程。這樣的應對策略預示了未來國際數位政治的發展趨勢：生成式AI不只是科技商品，它已成為跨國治理與地緣競爭的核心工具。 中國通過的《國家情報法》賦予政府調閱私人企業資料的權力，使得中國境內所開發的生成式AI，儼然成為一種資訊戰略利器。若中國政府藉由DeepSeek滲透他國公部門，這將對國家安全構成潛在威脅。在此背景下，日本對公部門使用DeepSeek的管制，可被解讀為一種「數位防衛行為」，象徵著日本在數位主權議題上的前哨部署。 值得注意的是，日本在處理DeepSeek事件時，採取了「不立法限制、但公開警示」的方式來應對科技風險。此舉既避免激烈封鎖引發爭議，又對於資料的運用設下邊界。由於法令規範之制定曠日費時，為避免立法前可能產生之風險，日本先以軟性之限制與推廣手段以防止危害擴大。 台灣雖與日本同處地緣政治的敏感地帶，資料主權議題對社會影響深遠，為使我國可在尚未有立法規範之狀態下，參考日本所採之行政命令內控與公開說明外宣雙向並行之策略，對台灣或許是一種可行的借鏡模式。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]個人情報保護委員会，DeepSeekに関する情報提供，https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/ （最後瀏覽日：2025/05/06）。 [2]《中华人民共和国国家情报法》第7条第1项：「任何组织和公民都应当依法支持、协助和配合国家情报工作，保守所知悉的国家情报工作秘密。」 [3]デジタル社会推進会議幹事会事務局，DeepSeek等の生成AIの業務利用に関する注意喚起（事務連絡），https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/d2a5bbd2-ae8f-450c-adaa-33979181d26a/e7bfeba7/20250206_councils_social-promotion-executive_outline_01.pdf （最後瀏覽日：2025/05/06）。 [4]デジタル庁，平大臣記者会見（令和7年2月7日），https://www.digital.go.jp/speech/minister-250207-01 （最後瀏覽日：2025/05/06）。 [5]Plus Web3 media，日本政府、ディープシークを一律禁止せず　「各機関が可否を判断する」，https://plus-web3.com/media/500ds/?utm_source=chatgpt.com （最後瀏覽日：2025/05/06）。

親愛的讀者 近期立法院已著手審查《人工智慧基本法》草案，朝野立委陸續提出十餘個版本，討論聚焦主管機關、資料治理與開放機制、訓練資料透明與可溯源性等關建議題，為我國AI治理藍圖奠定方向。與此同時，立法院亦同步審議《資通安全管理法》部分條文修正草案，強化資安事件通報義務，並加強資通安全產品使用規範。 面對全球AI法制浪潮與資安威脅挑戰，本期特別規劃專文研析美國近年AI法制政策發展，以及歐盟資通訊產品安全性規範，並收錄多篇近期重要立法趨勢，期能為建立我國AI治理與資安防護體系，提供可資借鏡的他山之石。 編輯部

親愛的讀者 近年來，AI、機器人及資料治理持續受到國際關注。我國於2024年底舉辦第12次全國科學技術會議，聚焦「多功能機器人」、「無人機」等議題，後續國家科學及技術委員會將推動「智慧機器人科技方案」，以促進相關產業發展。在資料治理方面，數位發展部規劃推動《促進資料創新利用發展條例》立法、建置臺灣主權AI訓練語料庫，以支援國內AI技術發展與應用落地。 本期除探討AI、機器人及資料相關法制趨勢外，亦關注線上平臺經營者是否透過資訊共享行為，濫用其市場優勢地位，並安排專文研析加拿大於2023年12月修正施行之《競爭法》及其配套措施，期協助建構完善之數位競爭法制。 編輯部

親愛的讀者 近年個資外洩事件頻傳，引發社會各界對個資保護的高度關注。我國於112年5月修正《個人資料保護法》，設立專責機關，並於年底成立「個資保護委員會籌備處」，積極推動後續修法工作。此外，國家通訊傳播委員會（NCC）於113年10月4日修訂「國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法」，經濟部也於同年11月13日修正「零售業個人資料檔案安全維護管理辦法」，展現各目的事業主管機關對落實個資保護之決心。 本期聚焦個資保護的國際趨勢與實務發展，安排專文解析歐洲法院FTv.DW案及歐盟法院Case C-659/22判決，探討其對個資保護的影響與啟示，期能為我國未來強化個資保護提供有益參考。 編輯部

親愛的讀者 近年詐騙手法不斷翻陳出新，根據報導指出，2023年有多達3.5萬名被害人報案，財損破79億元。隨著詐騙金額和案件數量逐年升高，「打詐」成為民眾最關切的議題之一。為建立民眾安全免遭詐騙之社會，立法院於今年7月三讀通過打詐專法，以及《洗錢防制法》、《詐欺犯罪危害防制條例》及《通訊保障及監察法》部份條文修正案。因應打詐專法通過，本期特安排專文析介歐盟《數位服務法》關於「超大型線上平臺」（very large online platforms, VLOPs），以及「超大型線上搜尋引擎」（very large online search engines,VLOSEs）之透明度報告義務及實務觀察，期能作為我國打詐專法透明度報告之借鏡。 編輯部

親愛的讀者 今年6大半導體公司執行長齊聚COMPUTEX，聚焦AI伺服器、AI PC、AI機器人等未來應用，正式宣告AI黃金時代來臨。法律該如何面對這波AI浪潮，以在監管和創新間取得平衡，誠為近期國際上最重要的議題之一。美國於2023年10月發布總統行政命令，提出公私部門使用及研發AI之路徑；歐盟於今年5月更通過全球首部《人工智慧法》，依風險高低分級規範AI產品之法規認證。我國除了「行政院及所屬機關使用生成式AI參考指引」、「金融業運用人工智慧(AI)之核心原則與相關推動政策」、「金融業運用AI指引」草案及「人工智慧(AI)產品與系統評測參考指引」草案外，國科會亦刻正研議《人工智慧基本法》草案，預計今年10月底提出。因應此波AI浪潮，本期特安排專文析介美日韓AI法制及判例，供各界即時掌握AI法制動向。 編輯部

親愛的讀者 科技法律透析自1989年4月創刊以來已歷35個寒暑，承蒙產官學研各界讀者之愛護，於2016年榮獲國家圖書館人氣期刊第9名，一本法律期刊能從一眾刊物中脫穎而出，實屬不易。本刊並與國內五家資料庫業者及ITIS合作，共授權3,893篇文章，科技法制要聞更累計達5,561,442次網路閱覽。以上成果不但顯示產業科技法制的重要性與日俱增，也讓大家對於法制的角色――亦即扮演推動產業發展的油門與催化劑，有著更高的期待。資策會科法所肩負著這樣的期待及國家級智庫的使命，於今年起重新規劃本刊，改為每季發行，並將單元分為定期的國際瞭望及焦點掃描，以及不定期的焦點透視及科法觀點，期能以更貼近產業脈動的形式，呈現科技法制日新月異且變化萬千的臉龐。新的一年，敬祝大家吉龍舞春，龍瑞盈門，也敬請不吝持續給予支持、鼓勵及指教。 編輯部

今（20）日於集思交通部國際會議廳，由國家發展委員會及財團法人資訊工業策進會共同舉辦「數位經濟時代的隱私保護與商機－CBPR跨境隱私規則體系解析」說明會。 本次說明會由國發會法制協調處林豐文處長開場，特別邀請美國在臺協會（AIT）商務官柯思遠（Christian Koschil）致詞。由國發會、資策會科技法律研究所介紹CBPR機制及驗證實務操作，並邀請於去（2024）年甫通過CBPR認證，也是臺灣第一個取得該認證的組織－臺灣集中保管結算所分享相關實務經驗及取得國際認證的隱私保護標章帶來的商機。 圖一：開場嘉賓合影，左至右分別為資策會林冠宇主任、國發會法制協調處林豐文處長及美國在臺協會柯思遠（Christian Koschil）商務官。 開場致詞中，美國在臺協會的商務官柯思遠（Christian Koschil）對於臺灣加入國際隱私保護體系，在數位經濟時代致力於隱私保護的努力表達支持。國發會在演講中展現政府對於CBPR堅定支持的態度，表示跨境傳輸的資料保護是數位經濟時代企業競爭力的關鍵，並提及隨著AI科技快速發展及個資獨立專責機關的成立，導入CBPR可使企業有效掌握資料合法利用的認知，並能適時調整以符合法規要求；資策會作為CBPR當責機構，從推動、導入、驗證到後續維運一手包辦，在說明會中，科法所提出「個資管理是資料治理的基石，CBPR是通往世界的鑰匙」，取得國際認可的隱私保護標章是企業競爭力的展現；而臺灣集中保管結算所作為臺灣第一個通過CBPR驗證的企業，從企業角度分享取得國際認證的隱私保護標章所帶來的商機，集保公司認為取得國際認證的隱私保護標章即代表公司之個資管理能力已接軌國際標準，有效使外資對企業的個人資料管理及隱私保護更放心，促進國際資料傳輸合作。 本次說明會，展現臺灣在數位經濟時代下對隱私保護的重視與決心。隨著全球數位化進程加速，跨境資料傳輸已成為企業營運不可或缺的一環，CBPR驗證機制不僅提供了國際認可的隱私保護標準，更為企業開啟了跨境傳輸的大門。期盼透過政府部門、驗證機構與企業三方的通力合作，共同打造一個兼顧隱私保護與商業發展的數位環境。

圖一：能源轉型示意圖 (圖片來源：https://www.pexels.com/zh-tw/photo/1108572/)。 近年人工智慧與資料中心迅速發展，不僅成為產業布局策略的一環，也為全球電力供需與能源轉型帶來新的挑戰與契機。國際能源總署於今（2025）年4月10日發布《能源與人工智慧》(Energy and AI)報告，指出去（2024） 年資料中心用電量，約占全球總用電量的1.5%(4150億度)，預估至2030年將成長至9450億度，增幅逾2倍，相當於日本目前的用電量。資策會科技法律研究所將持續關注人工智慧與能源相關法制框架的發展，期以促成新興科技與能源轉型的加乘效果（synergy）。 報告進一步指出，資料中心目前主要仰賴再生能源與天然氣滿足用電需求，全球已有近120 GW的再生能源容量透過企業電力購售合約（Corporate Power Purchase Agrement, CPPA）取得，約供應當前資料中心20%的用電量。預計至2035年，新增電力需求約有50%由建設期較短、具競爭力的再生能源及儲能設備滿足，以支援快速成長的科技發展；其餘則由具備彈性調度能力的天然氣，以及新興核能技術、地熱能等作為供電來源。 面對急遽攀升的電力需求，國際能源總署建議借鑒各國政策框架，如澳洲、法國、日本及加州等地，皆已實施強制的能源效率標準，要求資料中心電力使用效率（power usage effectiveness, PUE）必須低於一定門檻。此外，資料中心應選址於電力裕度較高的地區，並提高伺服器與備用能源的電力彈性(flexibility)，如南韓對首爾市外新建的資料中心，提供電力設施費用5折優惠等；監管機構可藉由提供政策誘因，鼓勵業者靈活調度備用伺服器容量、備用發電及儲能設備。 另一方面，人工智慧本身亦可成為提升能源效率的技術，目前能源產業正廣泛運用人工智慧，提升能源與礦產供應效率、改進電力系統運作並降低能源消耗。如人工智慧有助於預測再生能源發電量，減少風電與光電的棄電(curtailment)現象，以及透過遠端監測與智慧管理，進行故障檢測以縮短停電時間。 然而，能源基礎設施的建設仍面臨挑戰，包括電力併網程序冗長、變壓器與電纜等關鍵設備生產延宕、天然氣機組建設滯後等課題。未來須加速能源基礎建設，避免資料中心與其他重要的電力需求如電氣化、工業成長及電價穩定之間必須做出取捨。 總體而言，資策會科技法律研究所副法律研究員鄭泰鈞認為，臺灣目前正積極布建資料中心的基礎設施，面對產業創新與淨零排放的雙重課題，國際能源總署詳盡的報告可資作為借鏡。人工智慧發展雖帶來淨零排放的嚴峻挑戰，但若能透過前瞻技術作為能源轉型的領航者，用電需求將化為帶動綠電市場蓬勃發展的墊腳石，如何進一步促成人工智慧與能源轉型的相互合作而非相互制肘，其發展趨勢值得持續觀望及探討。

近來資安威脅持續升溫，企業遭駭、個資外洩等事故頻傳，「個人資料」保護的重要性日漸提升，國內法規與實務對於企業蒐集、處理與利用個資的相關要求，也日益嚴格。個資保護已不再是企業經營的附加選項，而是不容忽視的治理責任。 資策會科技法律研究所長年協助企業導入個資管理制度，以期企業實務符合法律規範，甚至通過國際驗證；同時，透過協助企業導入管理制度之多年實務經驗，團隊也觀察到實務執行上的多重挑戰。 從規範到實務：輔導現場揭示四大挑戰 企業主要依循我國「個人資料保護法施行細則(以下簡稱施行細則)」第8條、第12條所列建立管理機制，團隊歸納出四個實務常見議題，彰顯個資保護從意識到具體落實仍有相當挑戰。 一、內部認知不足，制度運作與實際脫節 部分企業雖已建構個資管理制度，惟實務上常見企業因「對個資定義不明確」或「內部人員對個資法令與內部規範熟悉度不足」，導致在新產品或服務上線時，誤認其並未蒐集個資而未及時調整個資告知事項。另亦有同仁因意識不足，導致遭遇個資外洩事故時，未察覺洩漏之資料屬於個資，進而延誤對主管機關踐行通報義務、錯失危機處理良機，增加違規與裁罰風險。 二、個資盤點落實度不足 「個資盤點」即施行細則第12條第2項第2款所稱「界定個人資料之範圍」，係指系統性盤點組織所蒐集、處理、利用之個資檔案，識別個資類別、法令、儲存位置等資訊，也因此個資盤點可謂是推動個資管理制度的基石，定期落實執行更是利於後續風險評估與安全維護措施推展的關鍵。惟實務上常見企業因資源有限、系統功能受限、人員認知不足等情，導致盤點流於形式、與實際作業不符，不僅影響個資管理制度運行，更有違反法令之虞。 三、需建構個資檔案保存期限思維 個資法第11條第3項本文規範企業於個資蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用之。然而，實務常見企業基於消費者行為分析、行銷、憂慮未來訴訟可能等事由，難以明確界定個資之保存年限、逾期刪除情況屢見不鮮。惟為落實法令遵循，企業應調整思維，於進行個資盤點時同步設定保存期限及反思銷毀與刪除機制，建立涵蓋個資檔案「蒐集、處理、利用、刪除」的完整生命週期，避免造成合規缺口。 四、委外監督力道尚待強化 施行細則第8條規定企業應對委託辦理業務而涉及個資之廠商，如資訊服務廠商、行銷公司、商品服務支援廠商等，負起監督管理之責。近期供應鏈資安事件頻傳，若企業疏於監督委外廠商，最終仍需連帶承擔相應的法律責任。然而，實務上除特定產業外，多數企業常因法規認知不足、不願投入監管成本、監管能力不足、高層忽視或公司市場地位落差等因素，造成難以實際監管廠商，亦或未能獲取足夠監管資訊之情形，同樣面臨合規挑戰。 規範制度變革在即，建立個資管理制度只是起點 今（2025）年3月27日，行政院公告「個人資料保護委員會組織法」及個資法部分條文修正草案，昭示獨立、專責的個資保護監理機關將正式成立，亦可預見未來的監理密度將顯著提升、合規標準將趨於一致。當合規標準逐漸提高，法令遵循已成為企業經營的基本要素，具備韌性與反應能力，才是企業真正需要具備的關鍵能力。尤其對企業而言，建立個資管理制度只是起點，唯有持續落實、內部檢核且滾動式調整制度與安全管理措施，將「個資保護」的核心精神昇華為企業文化，才能有效面對與管控市場上不可預知之風險。

軟體開發過程中，除自行研發外，借助第三方或開源元件亦為常見手段。然而隨著軟體內容及組成元件來源愈加複雜，對軟體資安的控管難度也隨之愈加提升。為應對此類情境，確保軟體供應鏈安全性（Supply Chain Security），軟體物料清單（Software Bill of Materials，SBOM）遂成為備受關注的規範主題。對應一般製造業記載原物料、加工流程、半成品與成品數量之物料清單（Bill of Materials, BOM），SBOM之主軸則在揭露軟體之組成元件及其版本、供應鏈關係，確保軟體的透明度與可信度，俾利採購單位易於預先檢核其風險、漏洞，及增強資安事件發生時之應對能力。 資策會科技法律研究所觀察，針對SBOM，各國近年已有相當數量的相關政策、規範，如美國前總統拜登曾於2021年5月簽署總統行政命令14028號（Executive Order on Improving the Nation’s Cybersecurity，EO14028）中裁示商務部應與國家電信暨資訊管理局（National Telecommunications and Information Administration，NTIA）協調並公布SBOM 最低所需元素（The Minimum Elements For a Software Bill of Materials （SBOM））；歐盟執委會（European Commission）公布於2024年12月10日起生效之《網路韌性法》（Cyber Resilience Act，CRA），該法案針對數位產品製造商，規定其應識別並記錄數位產品中所包含的元件及漏洞，並以SBOM等形式加以文件化，從而協助製造商與使用者追蹤已知的新漏洞與網路安全風險，製造商並應確保其數位產品未包含第三方所開發且易受攻擊之元件；日本經濟產業省亦於2023年的7月發佈SBOM導入指引，提供日本企業導入SBOM之益處、導入步驟及應注意事項，以利相關措施推行。 我國政府政策方面，行政院公共工程委員會已於2023年9月25日公布《各類資訊（服務）採購之共通性資通安全基本要求參考一覽表》規定，機關辦理資訊服務採購若涉及「應用軟體或系統開發」、「既有系統功能後續擴充」及「應用軟體或系統維運」等類型，且資通系統防護需求分級為高或中級，採購機關宜透過契約要求廠商於更新程式時及各季度均應提供SBOM及安全測試報告，以促進應用程式及程式碼安全性；另衛生福利部食品藥物管理署之《適用於製造業者之醫療器材網路安全指引》、《醫療器材網路安全之業者揭露聲明書》及《醫療器材網路安全評估分析參考範本》等文件中，亦已明列醫療器材製造業者應建立並提交SBOM供上市前審查之用。 資訊技術日益進步，伴隨網路惡意攻擊頻繁，如2021年11月受到關注的「Apache Log4j日誌框架系統」漏洞事件，即因該軟體工具於網路應用程式中廣泛利用，而造成重大影響；而自2025年2月起，駭客陸續駭入醫療院所等引發一連串資安事故，更經立委於質詢中呼籲推動SBOM制度，喚醒大眾對資安防護的警覺。倘能利用SBOM迅速辨識出相關元件，即有助於及時修補，降低因漏洞遭到利用而受到攻擊的風險，免除個人或組織資產的損失，從而凸顯出利用SBOM協助公、私部門快速找出軟體第三方元件與漏洞，並予以即時修補的重要性。歐盟、美、日等皆已陸續透過法規或政策推動SBOM機制以協助管控軟體風險，相關機制之運作及推行方式，值得持續加以追蹤。