資通安全法律案例宣導彙編 第3輯

2025年12月初，澳洲數位轉型局（Digital Transformation Agency，下稱DTA）發布《政府負責任使用AI政策2.0》（Policy for the responsible use of AI in Government 2.0），旨在進一步強化公部門在AI的透明度、問責性與風險管理能力，於2025年12月15日生效，取代 2024年9月實施的過渡版本。 一、適用範圍 政策適用於所有非企業型聯邦實體（Non-corporate Commonwealth entities），即不具獨立法人地位、直接隸屬於政府的機關或單位。企業型聯邦實體則被鼓勵自願遵循。政策定位為「補充與強化既有法制」，非另訂獨立規範，因此在實務中須與公務員行為準則、資安規範及資料治理制度併行適用。 二、政策重點 在政策施行的12個月內，適用機關須完成以下要求，以確保落實AI治理架構： （一）制度建置 1. AI 透明度聲明：機關須在政策生效後 6 個月內發布「AI 透明度聲明」，公開 AI 使用方法與現況。聲明中須說明機關風險管理流程、AI 事件通報機制及內外部申訴管道，確保使用過程透明、可追蹤。 2. 人員指定與培訓： 機關須指定制度問責人員（Accountable officials）以及AI使用案例承辦人（Accountable use case owners）。 所有員工皆須進行關於負責任使用AI的培訓，機關並依員工職務權責提供個別員工進階訓練。 3. 建立內部AI使用案例註冊清單（Internal AI use case register），以供後續追蹤 該清單至少包含： （1）使用案例負責人（Accountable use case owners）：記錄並持續更新範疇內 AI 使用案例的指定負責人。 （2）風險等級（Risk rating）：AI使用案例的風險等級資訊。 （3）異動紀錄：當使用案例的風險評級或負責人變更時，須即時更新清單。 （4）自定義欄位：各機關可根據其需求，自行增加欄位。 （二）AI 使用案例範疇判斷 機關須在評估所有新案例，依以下特徵判斷AI應用是否屬於「範疇內（In-scope）」的應用： 1.對個人、社群、組織或環境造成重大損害。 2.實質影響行政處分或行政決策。 3.在無人工審查的情況下，大眾將直接與AI互動或受其影響。 4.涉及個人、敏感資料等資訊。 （三）進階風險評估 依AI影響評估工具（Impact Assessment Tool）針對公眾近用權；不公平歧視；加重刻板印象；損害人、組織或環境；隱私顧慮；資料敏感之安全顧慮；系統建置之安全顧慮；公眾信任等8類別，加以判斷範疇內AI應用，若有任一類別被評為「高風險」，即判定為「高風險」；若所有類別中最高的分數為「中風險」，則整體判定為中風險。 判定為中、高風險之AI應用，均需進行全面審核。中風險須列出所有中風險項目及其控管措施，主要為內部控管；而高風險則要求向DTA報告，且每年至少進行一次全面審核與風險再評估。 澳洲欲透過發布AI透明度聲明、更新AI使用案例註冊清單、強制執行AI應用之風險評估及人員培訓，確保公部門對AI的負責任使用與問責。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，落實AI資料管理與追蹤。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　在眾多反對聲浪下，英國政府仍然發佈了包含爭議性斷網條款的數位經濟法案，該法案賦予國務大臣要求ISP業者對於疑似非法侵權檔案分享者斷網之權力，在沒有法院介入審查的前提下，得要求ISP業者對於涉嫌侵權的使用者斷網。法案公布後持續引發眾多反彈聲浪。 　　ISP業者如：TALK TALK以及BT等，都對於這項規定持續表達反對的立場。ISP業者認為此一作法不但有違無罪推定的原則，且對於ISP業者而言，也增加了行政與費用上的負擔；但相對的，音樂唱片業者則表現出樂見其成的態度，認為此一規定將有助於英國音樂產業的永續發展。 　　雖然法案內容大多來自於以振興英國數位經濟為目的Digital Britain報告，但斷網的作法並不是該報告所提出的建議。英國商務大臣Mandelson表示，此一條款將保護英國創意社群免於受到網路侵權的威脅，並獲得應有的報酬，同時也提供新的選擇給網路消費者。 　　歐盟希望透過電信產業規範的重整，禁止成員國通過未經法院審查的斷網條款，要求斷網必須要有先行程序，但給予成員國的卻是像設定三振條款作法的彈性，不見得是斷網法院審查前置的程序，因此，歐盟的相關指令對於英國的斷網規定未必會有阻擋的效果。

　　近年來，歐洲市場對傳統草藥的接受程度逐漸上升。傳統草藥銷售市場在歐盟成員國正在快速成長，其中從中國進口的傳統中藥數量更以倍數上升。目前歐洲市場上的天然植物藥約略可分為三大類：第一類是處方藥，用於治療危重病症的植物藥針劑也包括在內；第二類是非處方植物藥；第三類是保健製藥，可在保健食品店購買。歐盟去年通過的傳統草藥品指令（EU Directive on Traditional Herbal Medicinal Products）自2005年10年31日起，已全面生效適用於歐盟地區。該指令為傳統植物來源藥品於歐盟境市場內銷售，開啟了依照簡化查驗程序上市的途徑，但也限制了部分草藥品的上市可能。 　　其中較具衝擊性的是：傳統使用要件之認定嚴格。根據指令第16c（1）條，此一傳統使用歷史必須是30年以上，且其中至少有15年是在歐盟境內的使用歷史，方可考慮其安全性及療效。「傳統使用」仍須有相關文獻及專家證明其：（1）已使用相當年限之客觀事實、（2）具有安全性與療效之可信度，因此，簡化程序並無法適用於”偏方”之傳統草藥。而「必須是在歐盟境內至少有15年的使用歷史紀錄或資料」，更大大限制了在1990年前尚未進入歐盟會員國的草藥品，將可能因此被擠出歐盟市場。 　　該指令規定了七年的緩衝限期，可讓歐盟會員國調整不符合簡化查驗程序申請資格、但在該指令生效前已在各會員國市面上銷售的草藥品。

　　英國《海外犯罪資料提供請求法》（Crime (Overseas Production Orders) Act 2019, COPO Act）於2019年2月12日由英國女王御准（royal assent）生效。 　　過去，英國請求海外證據法源依據僅有〈國際司法互助條約〉（Mutual Legal Assistance Treaties）支撐，且無明確的實施規範可作為依循。隨通訊網路科技日新月異，犯罪及犯罪證據的資料儲存地打破國界。《海外犯罪資料提供請求法》即是給予海外犯罪資料提請求程序一個明確的規範。在與他國簽署條約（designated international co-operation arrangement，指：司法互助條約或英國內閣大臣依法指定的條約）之前提下，《海外犯罪資料提供請求法》授權英國執法機構與相關單位（appropriate officer）可向法院聲請搜索票，並憑藉搜索票請求被搜索自然人或法人，提供儲存於英國境外的電子資料（electronic data）或特種電子資料（excepted electronic data）。本法所稱「電子資料」係指以電子儲存的資料；「特種電子資料」則是指法律專業人士與其客戶的通訊紀錄，或自然人與死者在具有保密義務之情況下所產生的紀錄。 　　在英格蘭、威爾斯和北愛爾蘭，可依《海外犯罪資料提供請求法》向法院聲請搜索令的相關單位包含：員警（constable）、英國稅務海關總署（Revenue and Customs）、英國嚴重詐欺辦公室（Serious Fraud Office, SFO）、特許金融調查人員（accredited financial investigator）、反恐金融調查人員（counter-terrorism financial investigator）、英國金融行為監理總署（Financial Conduct Authority）依法指定的調查人員或其他內閣大臣所公告之規則所指名的人員。在蘇格蘭則是檢察官（procurator fiscal）、員警、英國稅務海關總署、英國金融行為監理總署依法指定的調查人員或其他內閣大臣所公告之規則所指名的人員。海外犯罪資料提供請求之搜索票有效期間，係獲准當日起算三個月。