美國航空公司控告Google銷售不當的關鍵字廣告

　　卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則（Datenschutzgrundverordnung，DSGVO）的判決。在本案中，原告是一間負責處個人信用資料的民間公司，其依據現行BDSG（Bundesdatenschutzgesetz，聯邦個人資料保護法）的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下，向原告發出一份行政處分（Verfügung），要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為，其只需要在2018年5月24號之後，就相關作業流程符合DSGVO的規範即可。 　　本案的關鍵在於，主管機關是否已經可以用DSGVO的規定來規範民間企業？因為依據DSGVO第99條的規定，DSGVO現雖已生效，但必須到2018年5月25日才開始適用。 　　根據BDSG第38條第5項規定，監督機構可以採取必要措施，確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定；且本案中，原告在2018年5月24號後可能會出現的違法情形也已顯而易見，但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效，但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下，預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守，在DSGVO未開始適用的情況下，目前行政機關仍只能依據BDSG及DSAnpUG（Datenschutzanpassungs- und Umsetzungsgesetz，個人資料保護調整和施行法）的規定，來處理相關的行政措施。

美國聯邦貿易委員會（Federal Trade Commission）主席Andrew N. Ferguson於2025年8月21日發信給13家科技公司，其中包含Alphabet、Amazon、Apple、Microsoft、Meta、X等國際知名科技公司，警告他們有義務保護美國消費者隱私與資料安全，若在外國政府施壓下審查美國公民的資料，將有違反《聯邦貿易委員會法》（Federal Trade Commission Act, FTC Act）之虞。 信中指出，科技公司可能為遵循外國法規或迫於外國政府壓力，削弱對美國公民的隱私及資料安全保護。如歐盟《數位服務法》（Digital Services Act）、英國《網路安全法》（Online Safety Act）期望科技公司審查用戶言論內容；而英國《調查權力法》（Investigatory Powers Act）則為滿足英國政府取得用戶儲存資料之目的，要求科技公司削弱原本對用戶採行之點對點加密措施。Ferguson主席更表示：「外國勢力審查及削弱加密措施等行動，將侵害美國公民的自由或使美國公民遭受各種危害，例如受外國政府監視、增加身分盜用與詐騙風險」。 信中亦提及，科技公司在遵守外國法律及相關要求的同時，仍須遵守FTC Act第5條規定，亦即禁止企業在市場中進行不公平或欺騙性行為的規定。同時也表示，過去20年來，FTC已對未能履行消費者資料安全或隱私承諾之公司提起數十起訴訟，並將持續要求蒐集、使用、分享或傳輸消費者個人資料的公司，應採取合理的安全措施，藉此確保消費者權益。

英國政府於2025年1月31日發布「人工智慧網路資安實務守則」（Code of Practice for the Cyber Security of AI，以下簡稱「實務守則」），目的是提供人工智慧（AI）系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引，以期降低人工智慧所面臨的網路資安風險，並促使人工智慧系統開發者與供應商落實基本的資安措施，以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同，因此產生新的資安風險，主要包含以下： 1. 資料投毒（Data Poisoning）：在AI系統的訓練資料中蓄意加入有害或錯誤的資料，影響模型訓練結果，導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆（Model Obfuscation）：攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為，以增加系統漏洞、引發混亂或防礙資安管理，可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令（Indirect Prompt Injection）：藉由輸入經精心設計的指令，使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性，實務守則涵蓋了人工智慧生命週期的各階段，並針對相關角色提出指導。角色界定如下： 1. 人工智慧系統開發者（Developers）：負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈（Supply chain）：涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則，以確保人工智慧系統的安全性與可靠性： 1. 風險評估（Risk Assessment）：識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理（Data management）：確保AI系統整個資料生命週期中的資料安全及有效利用，並採取完善管理措施。 3. 模型安全（Model Security）：在模型訓練、部署和使用階段，均應符合當時的技術安全標準。 4. 供應鏈安全（Supply chain security）：確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針，期望各角色能有效落實AI系統安全管控，促進人工智慧技術在網路環境中的安全性與穩健發展。

　　為促進電信市場競爭與服務之普及，在2012年12月28日美國公佈FCC12-161命令，而透過該項命令，預計未來不論機組人員、亦或是旅客於商業客機、自用客機內，使用網路服務的比例將會提升。FCC認為此舉不僅可滿足消費者對無所不在(Ubiquitous)網路的需求外，亦可促後使經濟成長與創造就業機會。 　　其實，早於2001年，美國政府就透過同步軌道的方式(Geostationary-Orbit)開放網路服務，但在設置上必須設置多個地球站(earth station)，而FCC所命名的Earth Stations Aboard Aircraft(ESAA)，則延續過去設置於車輛、船舶之技術，在飛機外部安裝接收器，以和衛星固定業務(fixed satellite service)作為骨幹，使乘客手機透過例如Wifi技術取得網路服務；至於，在頻段的使用上，相較過去以非有害干擾為前提，ESAA則有明確之規定：下傳(downlink)頻率之選擇是依循車輛、船舶執行相同服務的規定、並考量將經過不同國域與領海，故選擇該10.95-11.2 GHz、11.45-11.7 GHz與11.7-12.2 GHz，以符合美國、國際頻譜配置；上傳(uplink)的頻率則是基於不受雙向干擾之情況下，選擇14.0-14.5 GHz頻段。 　　現階段，FCC為積極促進該業務發展，不僅允許航空公司與寬頻業者皆可提供服務外，亦建立一套管制架構，以保護飛航網路不受干擾、確保地面無線電服務能正常運作，並且，為減少行政資源與促進服務普及，FCC簡化業者申請流程，最多僅需原來時間的一半。雖然， FCC針對技術、執照的發放有詳細的規範，但尚未對旅客使用VOIP服務(Eg:Line、Skype)做任何規範，而這是FCC未來推廣該服務之隱憂。儘管如此，該服務推展確實可便利遊走各國間之旅客，但對於想在飛機上享受片刻寧靜的人而言，能普及使用Wifi可真是喜憂參半的消息。