資通安全法律案例宣導彙編 第4輯

澳洲工業、科學及資源部（Department of Industry, Science and Resources）於2025年12月2日發布「國家AI計畫」（National AI Plan），擘劃了澳洲至2030年的AI發展藍圖，將「掌握機遇」、「普及效益」與「確保人民安全」列為三大發展方向。該計畫將透過基礎建設投資、人才培育、產業支持，以及強化監管能力等途徑，打造一個更具競爭力、包容性與安全性的 AI 生態系統。 國家AI計畫的另一個重點在於，澳洲政府打算透過現有的法律監管架構治理AI，而不另立AI專法。此舉是回應澳洲生產力委員會（Productivity Commission）於8月提出之建言：政府在推動創新與訂定規範時必須取得平衡，應暫緩推動「高風險 AI 的強制護欄（mandatory guardrails）」，僅有在現行制度無法處理AI衍生之危害時，才有必要考慮制定 AI 專法。 據此，國家AI計畫指出，面對AI可能造成的危害，現有制度已有辦法進行處理。例如面對使用AI產品或服務的爭議，可依循《消費者保護法》（Australian Consumer Law）取得權利保障；AI產品或服務的風險危害，亦可透過《線上安全法》（Online Safety Act 2021）授權，制定可強制執行的產業守則（enforceable industry codes）來應對。澳洲政府未來也將推動《隱私法》（Privacy Act 1988）修法，意欲在「保護個人資訊」與「允許資訊被使用及分享」之間取得適當平衡。 同時，由於採用分散式立法的關係，澳洲特別成立「AI 安全研究院」（Australian AI Safety Institute, AISI），以強化政府因應 AI 相關風險與危害的能力。AISI將協助政府部門內部進行監測、分析並共享資訊，使部門間能採取即時且一致的治理政策。 澳洲政府曾在2024年9月研議針對高風險AI進行專門的監管，但因擔心過度立法恐扼殺AI發展轉而採用「科技中立」的監管方式，以既有法律架構為基礎推動AI治理。此與歐盟的AI治理邏輯大相逕庭，未來是否會出現現行制度無法處理之AI危害，抑或採用現行法制並進行微調的方式即可因應，值得持續觀察。

　　線上拍賣網站eBay以澳洲為實驗對象，實行強制澳洲消費者使用PayPal線上支付服務之政策，預估於2008年6月l7日開始，直接存款、個人支票與匯票將被排除於支付工具之外。此為eBay第一次採用限制支付的方式，預估未來也可能推行於其他的市場。消費者可使用PayPal、現金提貨或Visa與MasterCard金融卡之方式來付款，但均須藉由PayPal的系統來完成支付。PayPal允許消費者指定他們的信用卡、金融卡或銀行帳號為付款，而PayPal將向賣家收取每筆交易額度的1.1%與2.4%的費用。 　　澳大利亞競爭與消費者委員會（Australian Competition and Consumer Commission, ACCC）與新南威爾斯州公平貿易署(NSW Office of Fair Trading)，對於eBay限制消費者的支付工具選擇權，均持反對意見。eBay面對外界的批評表示，若採銀行轉帳交易的型態，其引發爭議的可能性，係為PayPal交易的四倍，強制使用PayPal，將促使消費者至網站購物的動力，且保護消費者網路購物的安全。而且，eBay在澳洲實施的政策規定，將擴大對消費者的補償數額，即若消費者未收到商品，或是商品未符合於網站上的描述情況，則eBay將補償消費3仟至2萬澳元，此舉亦是保護消費者的權益。 　　目前，澳大利亞競爭與消費者委員會（ACCC）開始調查eBay的新政策，若有違法行為，將請eBay取消強制澳洲消費者使用PayPal線上支付服務的新政策。

　　英國為了 減少受到恐怖威脅和犯罪攻擊，於去年底在一讀通過 英國身分證法，預計2008年實施。該法案最具爭議之處是記載資料，包含一些生物辨識 (biometrics) 資料，如指紋、容貌辨識和虹膜掃描等，這些資料將會儲存在國家身分辨識註冊資料庫中。反對身分證法案者認為，儲存這些資料已侵犯個人隱私權。保守黨議員表示，除非內閣能「確實證明」有其必要性，否則將反對身分證法案到底。 　　現行持有英國護照並不需要更新，但在2008年後想要申請更新或換發護照時，就必須遵守新的規定，也引發另一爭議問題～費用過高。倫敦政經學院的報告認為，每個人的新版身分證所需的技術成本，實際需要約 300英鎊；而登錄生物辨識資訊所需要的掃描器，就需要花4000英鎊；另外，所登錄的資訊判讀性會隨著時間而降低，至少得每五年重新掃描換發。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於今（2019）年4月15日發布「合適年齡設計：網路服務行為準則」（Age appropriate design: a code of practice for online services）諮詢報告，針對18歲以下孩童使用網路服務所涉及個人資料之相關議題提出遵循標準，要求網路服務提供商應受遵循以保障孩童隱私資訊。 　　本次諮詢報告主要針對網路服務如何適當確保孩童個人資料，同時符合歐盟《一般資料保護規則》（General Data Protection Regulation, GDPR）以及《隱私及電子通訊規則》（Privacy and Electronic Communications Regulations, PECR），若網路服務提供商未依循該行為準則，將很難證明符合GDPR、PECR規定，ICO亦採取監管措施（regulatory action），包含警告、譴責、執行通知、罰款等。於諮詢報告中，臚列涉及個人資料事項，包括資料共享、地理定位（geolocation）、家長監控（parental controls）、輕推技術（nudge techniques）、默認裝置（default settings）、側寫（profiling）等多達16項遵循標準，其中輕推技術引發抑制網路科技發展、過度監管爭議。 　　所謂「輕推技術」是指專為引導用戶或鼓勵用戶決策時可以點選之程式以表示用戶想法，簡而言之Facebook、Instagram按「讚」功能、社群軟體Snapchat「Streaks」互動功能，或是新聞網頁常見「是」或「不是」選擇性問題視窗等即是輕推技術應用。由於輕推技術之設計會蒐集用戶瀏覽網頁習慣，甚至透露其個人性格、生活狀態給廣告商或社群媒體等。 　　諮詢報告指出，依據GDPR前言第38點規定，因孩童對於其個人資料處理之可能風險、結果及相關保護措施及其權利認知較低，同時依GDPR第5條規定個人資料之蒐集處理與利用，對資料主體者應為合法、公正及透明（lawfulness, fairness and transparency）。但輕推技術的運用將會促使資料主體者更容易地提供其個人資料，同時，尤其會誘導兒童去選擇隱私保護較低的選項設定或花費更多時間在這些服務上，而此一技術之運用正是利用資料主體者之心理偏差(psychological bias)，而違反了公平與透明原則。因此諮詢報告書要求網路服務提供商應主動限制孩童使用輕推功能。ICO於諮詢文件更詳細依0-5歲、6-9歲、10-12歲、13-15歲、16-17歲不同年齡層限制輕推技術應用之程度，或在何種情況須有家長陪同，以保障孩童隱私。 　　此項標準引來正反兩派意見，主張自由市場（free market）人士批評，認為有過度監管之嫌並阻礙科技發展，輕推技術本身不是問題，而是在於蒐集個人資料後要做那些運用，同時要如何執行限制技術之應用亦將是問題所在。而贊成者認為廠商如提供網路服務給所有年齡層時，應有特別措施以保護不同年齡層之人，因此對於孩童與成人間之監管程度應有區別。該諮詢報告於今（2019）年5月31日截止公眾諮詢階段，並預計2020年初施行該行為準則。