綠色管制風潮與挑戰　經濟部中小企業處推動輔導計畫

英國財政部（HM Treasury）於2025年7月15日回應有關綠色分類標準（green taxanomy）實效性之公眾諮詢結果並發布評估結論。本諮詢於2024年11月啟動，旨在評估綠色分類標準能否有效達成「引導資金投入淨零轉型」及「預防漂綠行為（greenwashing）」之兩大目標。 以下說明利害關係人回饋意見重點內容： （1）引導資金投入淨零轉型 金融機構受訪者多認為分類標準並非引導資金流向之關鍵政策工具，僅能作為投資考量之其中一項參考依據，而對最終決策影響有限；並認為就特定產業制定去碳路線圖，同時闡明未來投資監理法規、補助獎勵計畫、稅制變革等，始為有效引導淨零轉型投資之政策措施。 （2）預防漂綠行為 跨國企業受訪者擔憂英國建立自身分類體系將導致國際標準更加零碎，同項經濟活動於不同司法管轄區可能被歸類為不同屬性，反而增添漂綠風險；並認為既有政策規範足以應對漂綠問題，如「競爭與市場管理局」（Competition Markets Authority, CMA）與「廣告標準管理局」（Advertising Standards Authority, ASA）為確保綠色聲明正確性所發布之相關指引等。 綜上所述，英國政府於審酌相關意見後，決定不再繼續推動綠色分類標準。於資源有限下，政府將專注於落實產業界認為對於加速淨零轉型投資具更高優先性與影響力之政策，同時持續評估是否需採取更多措施以預防漂綠行為。

　　美國歐巴馬總統在美國聯邦貿易委員會（Federal Trade Commission，FTC）2015年1月12日所舉辦的會議上，呼籲聯邦政府應制定「個人資料通知與保護法」（The Personal Data Notification and Protection Act），該法要求美國企業建立通報機制，其必須在資料遭盜取之日起三十天內通報客戶，以保護美國大眾之隱私。此一要求主要係因為發生多起網路駭客與資安事件，但目前聯邦政府卻欠缺相關法制，故聯邦政府嘗試藉此改善各州法律各行其事無法完善資安保護之問題，亦減輕跨州營運之美國企業適用各州法律之負擔，將有助於產業法制環境之改善。 　　同時，歐巴馬總統亦提出制定「學生數位隱私法」（The Student Digital Privacy Act）之呼籲，該法將禁止企業為獲取利益經由學校取得學生資料。此外，歐巴馬總統亦提及美國企業將需要簽署一自願性協議（Voluntary Code of Conduct for Smart Grid Customer Data Privacy，VCC），使消費者能夠查詢各企業之信用評分，帶動企業自主保護數位資料之安全，並以此作為身分盜取之預警，避免造成個資外洩後損失更多權益。而本次呼籲制定的法規尚針對先前由美國眾議院提出之「網路情報分享及保護法」（Cyber Intelligence Sharing and Protection Act，CISPA），特別強化其網路使用者保護之部份規定；其中包括加強公私部門合作以及深化網路防護安全，藉此妥善處理網路犯罪、保護國土安全等相關問題。是故，本次制定法規之目的將更著眼於擴大授權，使政府目的事業主管機關以及企業之間能夠共享相關資訊之權限，以預防更多潛在性的網路攻擊與資料盜取事件。

　　英國資訊專員辦公室(Information Commissioner's Office，簡稱ICO)在歐盟資料保護主管機關(European Data Protection Authorities) 針對WhatsApp與其母公司Facebook間進行資料共享之行為提出相關顧慮之後，於2016年8月就上開事件是否涉及違反英國資料保護法(Data Protection Act)啟動調查，調查結果終於在2018年3月14日出爐並且雙方達成協議。 　　ICO調查結果是WhatsApp並無正當且合法之理由與Facebook進行資料共享，惟並未對WhatsApp進行任何懲罰，原因乃是WhatsApp並未分享英國用戶之資料予Facebook，並未直接違反英國資料保護法，因為WhatsApp被定位在資料處理者(data processor)，只要運作是合法的且不侵擾人們之人權，即可容許。不過WhatsApp仍向ICO承諾將停止分享其用戶個人資訊予Facebook，此協議將持續到GDPR生效為止，亦即此後WhatsApp與Facebook間之資料共享若符合GDPR之規範，則可在基於安全防護之目的下進行或是改善其產品與廣告行銷。 　　ICO調查專員Elizabeth Denham指出WhatsApp不應與Facebook間進行資料共享之理由有三：一、WhatsApp並未確認其與Facebook間所進行之個人資料分享係基於何種法律依據；二、WhatsApp並未向其用戶適當且公平地揭露其如何處理、分享用戶之資料；三、對於WhatsApp既有之用戶而言，WhatsApp與Facebook間資料共享之處理目的與當初WhatsApp獲取其用戶資料之目的，二者並不相符。 　　惟歐盟其他國家對於WhatsApp之處置可能不若英國寬容。例如，法國國家資訊自由委員會(Commission nationale de l'informatique et des libertes，簡稱CNIL)正對其採取執法行動，而漢堡資料保護與資訊自由委員會(Hamburg Commissioner of Data Protection and Freedom of Information)將案件提交到高等行政法院，該法院並已禁止Facebook使用從WhatsApp共享中所獲得之資料。

　　歐盟執委會於2021年4月21日提出「人工智慧規則」（AI regulation）草案，成為第一個結合人工智慧法律架構及「歐盟人工智慧協調計畫」（Coordinated Plan on AI）的法律規範。規範主要係延續其2020年提出的「人工智慧白皮書」（White Paper on Artificial Intelligence）及「歐盟資料策略」（European Data Strategy），達到為避免人工智慧科技對人民基本權產生侵害，而提出此保護規範。 　　「人工智慧規則」也依原白皮書中所設的風險程度判斷法（risk-based approach）為標準，將科技運用依風險程度區分為：不可被接受風險（Unacceptable risk）、高風險（High-risk）、有限風險（Limited risk）及最小風險（Minimal risk）。 　　「不可被接受的風險」中全面禁止科技運用在任何違反歐盟價值及基本人權，或對歐盟人民有造成明顯隱私風險侵害上。如政府對人民進行「社會評分」制度或鼓勵兒童為危險行為的語音系統玩具等都屬於其範疇。 　　在「高風險」運用上，除了作為安全設備的系統及附件中所提出型態外，另將所有的「遠端生物辨識系統」（remote biometric identification systems）列入其中。規定原則上禁止執法機構於公眾場合使用相關的生物辨識系統，例外僅在有目的必要性時，才得使用，像尋找失蹤兒童、防止恐怖攻擊等。 　　而在為資料蒐集行為時，除對蒐集、分析行為有告知義務外，也應告知系統資料的準確性、安全性等，要求高度透明化（Transparency obligations）。不只是前述的不可被接受風險及高風險適用外，有限風險運用中的人工智慧聊天系統也需要在實際和系統互動前有充足的告知行為，以確保資料主體對資料蒐集及利用之情事有充足的認知。 　　在此新人工智慧規範中仍有許多部份需要加強與討論，但仍期望在2022年能發展到生效階段，以對人工智慧科技的應用多一層保障。