優質網路社會基本法之推動芻議

　　英國自2020年1月31日正式脫離歐盟後，即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸，就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》（General Data Protection Regulation，GDPR）有無認定雙方具有本質上相同的保護程度，又稱為「適足性」（adequacy）的認定。目前，歐盟給予英國跨境傳輸過渡期到2021年7月，在此之後若希望持續不受限制的交流，就須經歐盟執委會（European Commission, EC）通過適足性認定後才得以進行。 　　2021年2月19日，歐盟執委會提出草案，認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」（Law Enforcement Directive，LED）有適足性之適用。又在4月14日，歐盟個資保護委員會（European Data Protection Board, EDPB）針對歐盟執委會於2月19日所做的認定草案提出兩項意見： 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另，肯定英國「2018年資料保護法」（Data Protection Act 2018）中有關GDPR及LED的適用及對「英國資訊委員辦公室」（Information Commissioner’s Office, ICO）所賦予的權利及義務。 　　但同時，EDPB也向歐盟執委會提出以下幾點注意事項： 英國政府若發展獨立的個資保護政策，將可能與歐盟的保護架構分歧，造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策，讓資料控制者在處理移民相關資料時有廣泛的例外，得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時，該「第三國」本身需要具有基本上等同於GDPR的資料保護程度，才得允許傳輸。 針對英國政府出於國家安全目的，將個人資料傳輸到英國境內，而有義務免除或特殊情狀時，歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款（four-year sunset clause）方式，並密切觀察英國資料保護的發展，在必要時得以要求修改或終止LED適足性的決定。 　　針對以上問題，歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時，若通過適足性認定，其效期將延續4年，之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時，歐盟執委會得將其納入定期審查的項目中，以確保歐盟的個資跨境傳輸進入英國後，仍受適當的保護。

日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。 隨著生成式AI的登場，日常生活以及執行業務上，利用AI的機會逐漸增加。另一方面，濫用或誤用AI等行為，可能造成網路攻擊、意外事件與資料外洩事件的發生。然而，利用AI時可能的潛在威脅或風險，尚未有充分的對應與討論。 本調查將AI區分為分辨式AI與生成式AI兩種類型，並對任職於企業、組織中的職員實施問卷調查，以掌握企業、組織於利用兩種類型之AI時，對於資料外洩風險的實際考量，並彙整如下： 1、已導入AI服務或預計導入AI服務的受調查者中，有61%的受調查者認為利用分辨式AI時，可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。 2、已導入AI利用或預計導入AI利用的受調查者中，有57%的受調查者認為錯誤利用生成式AI，或誤將資料輸入生成式AI中，有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。 日本調查報告顯示，在已導入AI利用或預計導入AI利用的受調查者中，過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務，或未來預計導入AI服務之我國企業，如欲強化AI資料的可追溯性、透明性及可驗證性，可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範；如欲避免使用AI時導致營業秘密資料外洩，則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範，以降低AI利用可能導致之營業秘密資料外洩風險。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

新加坡無人車測試之法制配套評析 資策會科技法律研究所 法律研究員 王凱嵐 106年07月25日 壹、前言 　　隨著人工智慧的發展其運用日趨多元，與之結合之「無人車」逐漸成為人們熱門關注的科技名詞。所謂無人車（Autonomous Car），其車輛外觀與一般車輛相似，利用感測器及其他科技裝備，搭配電腦運算或機器學習等技術，辨識車輛周遭環境及狀況。同時根據外部資訊如：道路、交通號誌、車輛位置、障礙物等數據做出分析判斷，由電腦控制車輛方向及速度，實現無人車輛依據自身（電腦）意圖做出擬人駕駛的動作[1]。 　　包括Apple[2]、Google、Uber等非傳統汽車製造產業在內，世界各地串起一場以無人車為首的交通實驗。在無人車發展面向上，美國、新加坡早已有為無人車產業發展，提出修法或補助等政策措施。與我國比鄰的韓國，其政府近來也積極推動自動駕駛技術之發展，不僅核准多家業者上路實測，更計畫打造全球最大無人車車測場地「K-City」[3]。未來我國在台北、高雄[4]等地也即將出現無人車的身影，惟目前我國相關法規仍未針對無人車詳加規範，使得無人車發展上窒礙難行。 　　我國科學工業園區長久以來扮演著台灣科技工業發展之重要角色，參考國際在相關領域的發展，除硬體、軟體技術上配合，尚提供良好且完善的測試場域或法規配套。本文為建構國內無人車發展環境，打造產業聚落及完備有善法制環境，參考新加坡無人車立法例，提供我國未來科學工業園區區內無人車測試及法規配套之建議參考。 貳、新加坡無人車測試之法規調適 　　新加坡作為典型的「城市國家」，城市規劃是亞洲甚至全球的典範，良好的交通規劃、道路狀況及相關的基礎建設，都是無人車駕駛試驗所要求的環境。新加坡政府對於無人駕駛的發展，於2014年成立專門委員會管理無人駕駛車，而新加坡陸路交通管理局（LTA[5]）近年來也積極的和多家發展無人駕駛技術的廠商密切合作[6]。針對無人駕駛技術的創新與應用，未來只會有增無減，而為適應科技成就所帶來之便利及法制之衝擊，新加坡政府於2017年2月[7]通過《公路交通法修正案》（Road Traffic (Amendment) Bill）。該修正案新增針對無人車測試有關之條文（6C、6D、6E），透過法規的修正讓科技與法制間增進一些彈性與空間。以下針對此次新加坡新修《公路交通法修正案》的三項關於無人車測試的條文分別說明: 　　首先在條文6C[8]部分，先做初步適用範圍及相關測試規範說明。考量無人車的測試需保護社會大眾之用路安全，該法案給予主管機關相關的權限，得針對無人車測試予以限制及規範，同時明確規範在何種情況下，主管機關得取消無人車業者之測試申請（如有損公眾利益）。針對測試之限制，新增定之條文規範包含測試時之天氣[9]、測試車輛硬體設備[10]、車輛系統建置的限制（要求能隨時介入車輛之操縱）等皆為評估允許無人車測試之依據。另外，對於車輛測試業者，於測試之前政府得要求保「責任險」（Liability Insurance）或相當金額之保證金[11]。測試業者需公布實驗計畫之內容，如測試地點、時間及所屬負責人，所有的測試資料應跟主管單位陸路交通管理局分享[12]。 　　條文6D則是規範有關於無人車測試時責任豁免（Exemptions）的規定，在有條件或無條件情形下，根據此條文得以免除特定法規或法律[13]。然該免除責任的範圍，仍以此《公路交通法》及其附屬法規為主。新加坡在一般情形下，駕駛人於道路上發生交通事故，根據《公路交通法》將需負擔相關道路責任。不過在最新通過的《公路交通法修正案》無人車測試免責規定中，考量無人車科技無規範「人員過失」之必要，原則上將免除無人車測試相關人員之法律責任（包含駕駛人、參與測試的人員等）。若是無人車業者（測試申請人）違反或不遵守前條6C的規定及條件，則無本條免責之適用。未來無人車真正上路後，若發生故障或交通事故，本次修法並未有說明，其責任歸屬仍待討論。最後在條文6E針對於無人車測試中，有蓄意破壞或是干擾測試者，對其處與相當金額之罰鍰[14]。 　　整體而言，新加坡政府對於無人車態度較為積極且開放，除法規上預留彈性用以降低無人車發展測試與現行法規的衝擊，另一方面也與多間無人車公司合作，在整體產業面上提供多方面的便利。去年新加坡成為全球第一個讓無人計程車(nuTonomy)[15]上路的國家，預計在2018年，亞洲第一輛投入商業化的無人巴士也將在新加坡上路。 參、小結 　　隨著科技的進步，新興科技與生活的結合衝擊著現有的法制規範。調整且負有彈性的法制規範，漸漸在國際上得到重視，諸如英國、澳洲及新加坡皆推出金融業的「監理沙盒」制度或政策，我國金管會也於今年( 2017)初提出《金融科技創新實驗條例》草案，帶動金融領域新的成長與翻轉。無論是金融或非金融，法規侷限新興限科技應用的問題皆存在，從「創新、試驗」的角度，新加坡將未來無人車測試的法律依據植入《公路交通法》，針對單一領域法規進行修法，似已成功將「監理沙盒」機制從目前以金融業為主轉換到非金融領域，此作法值得我國參考。 [1] 數位時代, https://www.bnext.com.tw/search/tag/%E7%84%A1%E4%BA%BA%E8%BB%8A（最後瀏覽日:2017/07/04） [2] TechNews科技新報,＜蘋果自駕車真面目，矽谷街頭試行照曝光＞,2017/04/28,https://technews.tw/2017/04/28/the-lexus-that-apples-using-to-test-self-driving-car-technology/ （最後瀏覽日：2017/06/02） [3] TechNews科技新報,＜加速推動自駕車發展，南韓打造全球最大自駕車測試場地＞,2017/05/10,https://technews.tw/2017/05/10/south-korea-begins-development-of-test-bed-k-city-for-self-driving-cars/ （最後瀏覽日：2017/06/02） [4] TechNews科技新報,＜高雄欲導入的法國EasyMile無人自駕巴士，究竟魅力何在＞,2017/04/05,https://technews.tw/2017/04/05/kaohsiung-city-government-signed-mou-with-easymile-and-7starlake-2017/ （最後瀏覽日：2017/06/02） [5] Land Transport Authority, 簡稱LTA. [6] 數位時代, ＜為什麼新加坡能夠成為無人駕駛「重鎮」？＞,2017/07/04, https://www.bnext.com.tw/article/41716/why-singapore-can-be-automated-pilot-strategic-town（最後瀏覽日：2017/07/04） [7] Parliament of Singapore, https://www.parliament.gov.sg/publications/2017 (最後瀏覽日：2017/07/04) [8] Road Traffic (Amendment)Bill, 6C. [9] 6C(1)(f)Prescribe the weather and any climatic or other circumstances when an approved trial or approved special use may or not be undertaken or carried out, as the case may be; [10] 6C(1)(g)Prescribe the construction, design or use of infrastructure technology, equipment or devices in relation to the autonomous motor vehicle or automated vehicle technology involved in the approved trial or approved special use, including requiring that the vehicle- [11] 6D(1)(b)To have in place liability insurance before the approved trial or approved special use starts, and to ensure that it is in force at all times during the period of the approved trial or approved special use； [12] 6D(1)(i)Require the keeping of records by the specified person, and the giving of information to the Authority or any other person designated by the Authority about the approved trial or approved special use undertaken or carried out, including the automated vehicle technology involved in the trial or special use； [13] 6D(1)(a)Exempt (with or without conditions) from the application of section 5 or other specified provisions of this Act or its subsidiary legislation, or any other written law, any of the following. [14] Road Traffic (Amendment)Bill, 6E [15] Inside，＜第一批無人駕駛計程車新加坡上市，nuTonomy:我們才是第一＞，2016/08/25，https://www.inside.com.tw/2016/08/25/nutonomy （最後瀏覽日：2017/07/18）

　　歐盟執委會以（EU）2021/914號執行決定（Implementing Decision）所發布的新版「向第三國傳輸個人資料標準契約條款（New Standard Contractual Clause for the transfer of personal data to third countries，下稱SCC）」已於9月27日起正式取代舊版條款。 　　新SCC發布於2021年6月27日，旨在滿足歐盟法院（the Court of Justice of the European Union, CJEU）以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分（substantially sufficient）」標準。該版SCC為因應不同情境之跨境資料傳輸，而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者（控制者與接收者）依循參採，包括： 規範模組一：從資料控制者（Data Controller）到資料控制者的資訊傳輸（Transfer from controller to controller, C2C） 規範模組二：從資料控制者到資料處理者（Data Processor）的資料傳輸（Transfer from controller to processor, C2P） 規範模組三：從資料處理者到資料處理者的資料傳輸（Transfer from processor to processor, P2P） 規範模組四：從資料處理者到資料控制者的資料傳輸（Transfer from processor to controller, P2C） 　　本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整：雖然舊版已於2021年9月27日廢止不再適用，原已適用舊版SCC之契約，至遲仍得實施至2022年12月27日止。（亦即新版SCC公佈後的18個月內）。 　　在此執行決定下，歐洲資料保護委員會 （European Data Protection Board）亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）」釐清GDPR「傳輸影響評估（Transmission Impact Assessment, TIA）之機制流程 。 　　隨著資通科技之快速崛起跨境個資傳輸已成為企業常態，而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別，其中全球航運和物流公司在全球範圍內傳輸個資，其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態，應儘速因應相關法制之發展，解決全球範圍內快速發展的隱私合規問題。