Web2.0 網站平台管理之法制議題研析－以網路實名制與揭露使用者身份

日本獨立行政法人情報處理推進機構（Information-technology Promotion Agency，下稱IPA）於2026年1月29日發布「2026年10大資訊安全威脅」，呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中，前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊，以及AI應用所帶來的網路風險。其中，「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來，首度入選前10大威脅，其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩，或是由於AI遭惡意濫用，進而降低網路攻擊的門檻等風險。 此外，2026年10大資訊安全威脅第四至第十名依序分別為，針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊（包含資訊戰）、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊，以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知，多數資安威脅均與資訊外洩或惡意攻擊相關，顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策，並針對資料本身進行妥善管理，建議參考資訊工業策進會科技法律研究所創意智財中心（資策會科法所創智中心）發布之《重要數位資料治理暨管理制度規範》，建立涵蓋數位資料生命週期之資料治理機制，同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》，建立營業秘密管理措施或相關機制，避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　英國內政部於2012年6月提出「通訊資料法」之草案（Draft Communications Data Bill），並將於10月舉行公聽會討論。 　　所謂通訊資料，非指通訊內容本身之資料，而係指通訊過程中所留下的相關紀錄性資料，包括通訊帳號所有人之資料、通訊之時間、長度、來源、位置等。而目前蒐集通訊資料之用途，多半為犯罪之偵防、避免緊急危難或反恐怖活動。其所牽涉之議題重點則為向提供通訊服務之公司調閱相關資料時，該公司是否有提供之義務，及調閱機關是否有相關權限或對資料之應用是否符合調閱之目的。 　　此次所提出之草案，主要可分為三大部分：第一部分賦予公務機關調閱資料之權限，並規定使用該等資料過程中，相關的安全保護措施與法定程序要求。第二部分規定調閱資料所必須的法定審查流程，包括主管機關內具備權限的高階主管，應依據比例原則，決定是否可調閱資料，並在一定情況下，須經司法機關審查。另外，國務大臣應建立一定審查機制，審核各主管機關之調閱目的與調閱程序恰當與否。最後，第三部分則是有關提升審查制度運作可能性之規定，諸如明訂各個機關所享有之調閱權，以及提供郵務及電信業務經營者相當之資源以配合機關調閱資料之需求。

　　新加坡政府在2016年05月05日發表了數位平台「MyInfo」。 　　新加坡政府推出此一平台的目標是「以數位方式來整合目前的工作，去除現行的不便與散亂，讓民眾與政府打交道時更輕鬆 」。因此，「MyInfo」將每個新加坡公民散在各政府機關間的個人資料整合成單一檔案，使用者也可以自行決定加入額外的資訊，像是年收入、教育程度、就業情況以及家人資料。當民眾需要填寫不同的政府表單時，不需要再一直填寫重複的內容。 　　新加坡政府表示，每個公民可以自由決定他們要不要註冊MyInfo。當使用者選擇使用這項服務時，相關機關會針對可能被運用的資料先徵詢使用者的同意。 　　MyInfo計畫是由新加坡財政部與資訊通信發展管理局共同發起。新加坡政府的數位服務團隊在一年前左右開始設計這項服務，目前平台上仍持續在測試並改善使用者經驗。 　　MyInfo從2016年01月到04月試營運，已經有超過32,000人使用這項服務(佔新加坡總人口0.6％)。在2016年06月之前，MyInfo會提供15項服務，包括註冊公用住宅、更新報稅資料以及求職資訊等。到2018年，所有需要雙認證的數位服務都會整合在MyInfo平台，估計會有200項服務項目。 　　這個計畫是新加坡「數位政府」（Digital Government）政策的重要拼圖之一。新加坡政府將持續擴大MyInfo的服務項目，希望藉由此服務來蒐整更多資料，並增加可供政府機關間分享的個人資料數目。伴隨愈加豐富的數據資料，各政府部門更能事先了解民眾的需求並提出民眾真正需要的服務。

　　歐盟執委會（European Commission）於2021年4月21日提出「人工智慧法律調和規則草案」（Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts）（簡稱AI規則草案），旨在平衡「AI運用所帶來的優勢」與「AI對個人或社會所帶來的潛在負面衝擊」，促使會員國在發展及運用AI時，能採取協調一致的態度及方法，共同維護歐洲公民基本權利與歐盟價值。 　　歐盟自2019年起即倡議發展「值得信賴的AI」（Trustworthy AI）。AI規則草案之提出，除了落實執委會2019年至2024年之政策願景外，亦呼應2020年歐洲議會（European Parliament）之建議—針對AI應用之機會與利益採取立法行動，並確保合乎倫理原則。惟鑒於歐盟在環境、健康、公共事務、金融、交通、農業等領域對AI應用之高度需求，以及企業仰賴AI技術提升競爭優勢等因素，執委會係以「風險為基礎」之概念取向（risk-based approach）制定AI規則草案，避免對新技術發展造成不必要的限制或阻礙。 　　本規則草案將AI系統，依其「對歐盟基本權利或價值所創造的風險程度」，分為下列三種類型，並施以不同程度的監理方式： 一、不可接受之風險：原則上禁止使用此類型AI系統或使其進入歐盟市場。例如：利用潛意識技術操控個人、在公共場合利用「即時遠端生物辨識系統」進行執法、公務機關普遍對個人進行社會評分等。 二、高風險：於附錄中列出所謂高風險AI系統，要求高風險AI系統之提供者遵循風險管理、資料治理、文件紀錄保存、透明性與資訊揭露、人為監督、健全性、準確性與資安等要求；且AI系統進入歐盟市場前，需進行符合性評估（conformity assessment），進入市場後，則需持續監控。 三、非不可接受之風險亦非高風險：鼓勵AI系統提供者或使用者，自願建立行為準則（codes of conduct）。 　　AI規則草案亦鼓勵會員國建立AI監理沙盒（regulatory sandbox）機制，且以中小企業、新創公司為優先對象，使創新AI系統進入市場之前，能於可控環境中依明確計畫進行開發、測試與驗證。