Google的下一步：行動廣告市場

　　歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則（GDPR）第22條規定發布「自動化個人決策和分析指引」（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，2018年2月6日進一步修正，下稱指引），處理對個人資料自動化決策（automated decision-making）和個人檔案剖析（Profiling）的建立。 　　指引分為五個部分與最佳實踐建議，旨在幫助資料控制者（controller）合乎GDPR對個人資料自動化決策和分析的要求，內容包括下幾點：1.定義自動化決策和分析，以及GDPR對這些概念的處理方法；2.對GDPR第22條中關於自動化決策的具體規定；3.對自動決策和分析的一般規定；4.兒童和個人檔案剖析（Profiling）的建立；5.資料保護影響評估。 　　指引的主要內容包括： 　　個人檔案剖析（Profiling），意謂收集關於個人（或一群個人）的資料，並分析他們的特徵或行為模式，加以分類或分群，放入特定的類別或組中，和/或進行預測或評估（例如，他們執行任務的能力，興趣或可能的行為）。 　　禁止對個人資料完全自動化決策，包括有法律上法或相類重大影響的檔案剖析，但規則也有例外。應有措施保障資料主體的權利，自由和合法利益。 　　GDPR第22條第二項a之例外規定，（履行契約所必需的），自動化個人決策時，應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性，同時考慮是否可以採取侵害隱私較少之方法。 　　工作小組澄清，關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時，控制者應以簡單的方法，告訴資料主體其背後的理由或依據的標準，而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。 　　對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料，其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如，在信用評等的情況下，應有權知道其資料處理的基礎，資料主體並能對其作出正確與否的決定，而不僅僅是關於決策本身的資料。 　　「法律效果」是指對某人的法律權利有影響，或者影響到個人法律關係或者其契約上權利。 　　工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定，指出僅在某些情況下才有其適用（例如，保護兒童的福利）。 　　在基於自動化處理（包括分析）以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下，進行資料保護影響評估並不局限於「單獨」自動化處理/決定。

　　美國疾病控制和預防中心（Centers for Disease Control and Prevention, CDC）（下稱中心）於2021年3月5日公布長照機構（下稱機構）居民施打新型冠狀病毒（COVID-19）（下稱病毒）疫苗之重要措施。由於機構內人口密集、居民本身已患有疾病，其所面臨死亡的風險比一般人高，因此應重視此類族群的疫苗接種情形。 　　中心期望透過施打疫苗來降低機構居民可能死於病毒之風險。目前此疫苗已經過多次的臨床試驗，參與臨床試驗之族群也包含65歲以上之長者，多方面確保符合各族群的施打疫苗之安全性，而目前試驗過程中也並未出現嚴重的安全問題，即使出現副作用也多是較輕微症狀，例如施打部位之疼痛、發燒、發冷等症狀，中心認為施打的好處優於副作用，因此中心與美國疫苗接種諮詢委員會（Advisory Committee on Immunization Practices，ACIP）同意對機構居民進行疫苗施打。 　　由於機構之居住者多為無法獨立自理生活之失能者，需透過機構來提供失能者醫療服務，而居民大多本身就有一些疾病，受感染病毒而造成死亡的機率較大，雖然法律並沒有特別要求應徵得當事人同意才能施打疫苗，但中心認為徵得居民同意，或徵得代表居民做出醫療措施決定之人的同意施打疫苗會比較謹慎，並且在施打前必須說明與解釋疫苗施打的風險，以及依照作業程序將施打紀錄製作於文件中。 　　中心也正在與多家藥局合作，協助機構對於施打疫苗之居民與家屬進行風險告知與解釋說明施打疫苗之相關知識，除了取得居民之同意並採取紀錄程序外，每位接受施打疫苗之居民或居民之照顧者將會取得疫苗接種紀錄卡，因為某些疫苗需要注射兩次以上才能達到最佳保護，紀錄卡能顯示完整的疫苗施打過程。除此之外，措施規定居民在施打疫苗後必須遵守幾點注意事項： 施打疫苗後必須配戴口罩。 與他人保持至約183公分之距離。 避開人群和通風不良的地方。 勤洗手與消毒。 遵循中心發布之旅行指南。 遵循隔離指導。 　　有此可知中心期望能透過施打疫苗的方式來降低居民因病毒而受感染死亡之風險，也透過徵得居民書面同意文件的方式，以確保中心與居民之醫療程序保障。

　　近年來，關於「競業禁止條款」之合法性及有效性等，一直是被廣泛討論的議題，在2023年1月5日，美國聯邦貿易委員會（Federal Trade Commission, FTC）發布禁止「競業禁止條款」之提案，並指出依調查結果顯示，其造成勞工薪資降低及壓抑流動性等負面影響，故企業未來可能須透過主張《統一營業秘密法》(Uniform Trade Secrets Act)或《防衛營業秘密法》(Defend Trade Secrets Act)等，以保護營業秘密。同時應值注意者為，有論者提出未來解決方案為企業應推動自動化營業秘密管理系統，而其中一個必要元素是應採取「資料存證」措施，以證明營業秘密存在及擁有。 　　所謂自動化營業秘密管理系統，即透過工具，對於營業秘密進行「識別」與「評估」，並應對於不具有經濟價值的資訊進行解密。惟為避免增加營業秘密外洩風險，故相關系統應僅留存後設資料。與此同時，為取得盜用營業秘密相關的勝訴裁判，除應留存及保護任何時點的後設資料外，更應採取能夠證明營業秘密存在及擁有之措施，如透過雜湊值或區塊鏈等技術進行「資料存證」，以確保能夠在訴訟上提供必要證據。 　　最後，近期司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同規劃與建置「司法聯盟鏈」機制，藉由區塊鏈技術，並結合已通過經濟部智慧財產局審查核准之b-JADE證明標章，明定嚴謹之數位資料管理要求，以期強化數位證據同一性及建立簡便驗真程序。因此，未來企業若落實b-JADE證明標章所定之管理要求，將幫助營業秘密數位資料通過驗真程序。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）

因應生成式AI（Generative AI）快速發展，日本經產省和總務省彙整及更新自2017年起陸續發布之各項AI指引，於2024年1月19日共同公布「AI業者指引草案」（AI事業者ガイドライン案，以下簡稱指引），公開向民眾徵集意見。上述草案除提出AI業者應遵守以人為本、安全性、公平性、隱私保護、透明性、問責性、公平競爭、創新等共通性原則外，並進一步針對AI開發者（AI Developer）、AI提供者（AI Provider）及AI利用者（AI Business User）提出具體注意事項，簡述如下： （1）AI開發者：研發AI系統之業者。由於在開發階段設計或變更AI模型將影響後續使用，故指引認為開發者應事先採取可能對策，並在倫理和風險之間進行權衡，避免因重視正確性而侵害隱私或公平性，或因過度在意隱私保護而影響透明性。此外，開發者應盡量保留紀錄，以便於預期外事故發生時可以進行說明。 （2）AI提供者：向AI使用者或非業務上使用者提供AI系統、產品或服務之業者。提供者應以系統順利運作及正常使用為前提，提供AI系統和服務，並避免侵害利害關係人之利益。 （3）AI使用者：基於商業活動使用AI系統或服務之業者。使用者應於提供者所設定之範圍內使用AI，以最大限度發揮AI效益，提高業務效率及生產力。