Google就隱私權議題與美國FTC達成初步和解,消費者團體呼籲FTC採取更嚴厲的手段
今年三月底,Google與美國聯邦貿易委員會(Federal Trade Commission, FTC)就Buzz案達成和解。2010年時FTC控告Google Buzz未確實保護消費者的個人資料,侵犯了消費者的隱私權,違反「聯邦貿易委員會法」(FTC Act)以及美國與歐盟所訂定之「安全港架構協議」(U.S.-EU Safe Harbor Framework)。FTC表示,Google搭配在其Gmail中的網路社交服務Buzz,讓Gmail使用者誤以為其可以自主決定是否加入該社群,但事實上縱使Gmail使用者選擇不加入,也無法完全移除此項服務。甚者,選擇加入Buzz的消費者,亦無法找到明確的方式,控制其分享的個人資料。FTC控告Google未取得消費者的同意,將Gmail的資料(通訊錄名單)供社交網路使用,構成目的範圍外的使用。
依據Google與FTC和解內容,Google必須執行一套更為嚴謹的隱私權制度,不得再有誤導消費者其個人資料開放程度的行為,並且在爾後二十年都需接受獨立機構的隱私審查。初步和解內容開放30天(至2011年5月2日 )供社會大眾提供意見,之後FTC將提出最終和解內容。迄今為止,消費者團體提出的意見,包括要求FTC限制Google持有個人資料的時間,將隱私權保護制度適用到其所有的產品,對其儲存於雲端系統的個人資料進行加密動作,以及在進行個人資料蒐集前,應彈跳出視窗取得消費者同意等
值得注意的是,FTC在和解案中關於隱私權政策的客體所使用的語彙為「涵蓋資料」(covered information )而非「個人資料」(personal information),「涵蓋資料」所包含的範圍除了傳統的「個人資料」,尚包含IP位址、個人實體位址,以及通訊名單等等。
本案是FTC首度依職權要求業者採取更為嚴謹的隱私權保護制度以保障消費者權益,亦是FTC初次依「安全港架構協議」所採取的行動。本案對於線上服務的隱私權保護無疑是一大進展,但亦有論者擔心嚴苛的隱私權保護制度,反將造成小公司或新業者市場參進的障礙,愈發壯大Google的市場地位。
除此之外,Google的Buzz服務亦被消費者以集團訴訟提起告訴,最終和解金為850萬美元。
隨著Google成為搜尋引擎界的龍頭,其近年的一舉一動皆備受美國以及歐洲管理當局嚴密注意,今年二月份時,Google即時街景服務亦因不當蒐集個人資料而被法國裁罰14萬美元。
謝孟珊
資深法律研究員 編譯整理
FindLaw website, 2010年3月31日,http://news.findlaw.com/ap/high_tech/1700/03-30-2011/20110330083500_04.html ,最後瀏覽日:2011年04月22日
Infosec Island website, 2010年4月13日,https://www.infosecisland.com/blogview/12823-FTC-Privacy-Enforcement-and-the- Google-Buzz-Settlement.html,最後瀏覽日:2011年04月22日
YAHOO News, 2010年3月30日,http://news.yahoo.com/s/afp/20110330/pl_afp/usitcompanyprivacyinternetgoogleftc,最後瀏覽日:2011年04月22日
Network World website, 2010年4月21日,http://www.networkworld.com/2011/042111-groups-push-for-additions-to.html,最後瀏覽日:2011年04月22日
「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2020年2月18日發布GDPR實施情形的報告。報告內容主要聚焦於資料跨境傳輸機制、歐盟會員國間合作機制(含EDPB工作情形)以及中小企業法遵等其他議題。 在資料跨境傳輸機制方面,EDPB歡迎各國提出適足性認定的申請,並表達其在評估是否具有適足性時,將著重於相對方是否能使權利確實執行、矯正措施是否有效執行以及對於持續性的轉移是否有足夠保護措施等。EDPB特別建議執委會,應保守看待G20或G7等會議所進行的「資料自由流通」概念,並確保個資保護水準不會因此受到影響。 而在其他跨境傳輸機制上,EDPB建議歐盟執委會應儘速更新標準契約條款,使其能與GDPR規定相符;同時其公佈目前正在審查40個「拘束性企業規則」(Binding Cooperation Rules, BCR),預期至少半數將於2020年審結;而在驗證及行為準則方面,EDPB預期將於2020年底完成相關指引的公告。 在歐盟會員國間合作機制上,EDPB強調其將著重於探討新興技術發展如何兼顧個資保護,以使GDPR作為技術中立的架構,能在保護個資同時兼顧創新。此外,EDPB承認由於各國程序規範上的差異,使得合作面臨挑戰,其建議歐盟執委會持續觀察程序差異對於GDPR執行成效上的影響。EDPB同時認為目前各國監管機構所獲得的資源仍然不足,建議各會員國應提供監管機構更充足的資源。 在中小企業議題上,EDPB承認GDPR對中小企業帶來挑戰。對此,除已由各國監管機構提供相關支援外,EDPB也將持續投入相關支援工具的開發,以減輕中小企業的負擔。 整體而言,EDPB認為GDPR實施大體上是成功的,並能提高歐盟法律體系在全球的知名度,目前並無修改GDPR的需求。 根據GDPR第97條規定,歐盟執委會應於本年5月25日前針對跨境資料移轉、歐盟會員國間合作機制等GDPR落實情形向歐洲議會及歐盟理事會提交評估報告;並於此後每4年提交一次。EDPB此一報告係為提供執委會完成前述報告參考而做。
加拿大隱私專員與首席選舉官針對聯邦政黨發布個人資料保護指引加拿大隱私專員辦公室(Office of the Privacy Commissioner of Canada, OPC)與加拿大首席選舉官(Chief Electoral Officer of Canada, CEO)於2019年4月1日聯合針對聯邦政黨發布個人資料保護管理之指引(Guidance for federal political parties on protecting personal information)。目前加拿大選舉法(Canada Elections Act, CEA)僅概括規範政黨須制定隱私政策,以保護選民之個人資料,惟其卻未有具體法規制度落實。對此加拿大隱私專員辦公室認為政黨必須提出具體隱私政策來履行其法律義務。 現行加拿大選舉法規範聯邦政黨必須於其網站上公布隱私政策,並提交給加拿大選務局(Elections Canada)。若其隱私政策變更,必須通知首席選舉官,且即時更新網站上隱私政策版本。加拿大聯邦各政黨須於2019年7月1日前完成相關規範,為具體實踐政黨隱私保護制度,加拿大隱私專員辦公室提出幾點隱私政策之必要條件: 一、 聲明蒐集個人資料之類型與如何蒐集個人資料? 二、 如何保護其蒐集之個人資料? 三、 說明如何利用個人資料?是否會將個人資料給予第三方? 四、 針對個人資料蒐集、利用之人員如何培訓?內部控管機制為何? 五、 蒐集分析之資料為何?是否有利用cookie或相關應用程式蒐集? 六、 設置處理個資隱私疑慮專責人員 除此之外,該辦公室更建議參採國際隱私保護作為,著重公平資訊原則,政黨於個資隱私保護上須有其問責制、目的明確性、透明化、限制性蒐集,且未經當事人明確同意不得蒐集政治觀點、宗教或種族等敏感性個資,並應建置保障性措施與合規性管理機制。
日本《人工智慧技術研究開發及應用促進法》簡介日本《人工智慧技術研究開發及應用促進法》簡介 資訊工業策進會科技法律研究所 2025年06月25日 為全面性且有計畫地推動人工智慧(以下簡稱AI)相關技術之研發及應用,同時為改善國民生活和促進國家經濟健康發展做出貢獻,日本內閣於2025年2月28日提出《人工智慧技術研究開發及應用促進法》(以下簡稱本法)草案。 [1] 本法進一步於同年5月28日經參議院表決通過[2] ,通過之條文內容與2月28日提出之草案並無二致,惟5月27日內閣委員會另外通過20點附帶決議[3] ,其中涵蓋共多具體措施。本法於6月4日公布施行[4] ,以下將介紹本次日本《人工智慧技術研究開發及應用促進法》及附帶決議內容。 壹、立法緣由 近年AI技術及應用蓬勃發展,然而日本卻深感國內對AI發展不如其他主要國家,依據科學技術創新推進事務局(科学技術・イノベーション推進事務局,以下簡稱科技事務局)釋出之立法概要,本次立法主要有兩大理由 [5]: 一、國內AI技術開發、應用起步緩慢 科技事務局引用史丹佛大學於2024年所發布之《AI指數報告》(AI Index Report 2024),該份報告彙整2023年各國對於AI相關產業之民間投資額,如下圖所示。從此圖可知,作為世界主要經濟體的日本,對於AI的民間投資於2023年竟僅有6.8億美元,遠遠不及美國的670.22億美元、中國77.6億美元及英國37.8億美元。[6] 圖一、各國對於AI相關產業民間投資額統計 資料來源:STANFORD INSTITUTE FOR HUMAN-CENTERED AI [HAI], Artificial Intelligence Index Report (2024). 此外,根據日本總務省於2024年所發布之調查結果,如下圖所示,日本僅有9.1%的國民有使用過生成式AI之經驗,相較於中國的56.3%、美國的46.3%、英國的39.8%及德國的34.6%,仍有相當程度之落後。 [7] 圖二、各國國民使用過生成式AI之經驗調查 資料來源:総務省,令和6年版情報通信白書 不僅國民的AI使用率低,日本總務省亦針對企業將AI運用於其業務進行調查,如下圖所示,目前有在使用AI之企業僅有46.8%(包含已取得具體成效及尚未取得成效),其餘53.2%之企業則正在測試階段、正在商議導入或至今仍未討論導入。對比中國的95.1%、德國的80.6%及美國的78.7%,雖不如國民使用率落後,但仍有不少進步空間。[8] 圖三、各國企業業務中AI運用情形調查 資料來源:総務省,令和6年版情報通信白書 二、多數國民對於AI仍感到不安 科技事務局引用KPMG於2023年所發布的《全球AI信任研究報告》(Trust in AI: A Global Study 2023),僅有13%的日本國民認為現行法規已足以確保AI可被安全使用,亦低於中國的74%、德國的39%及美國的30%。此調查結果亦如實反映出有77%的日本國民迫切希望國內能針對AI訂定相關規範。[9] 除上述兩項主要理由外,考量日本有需要進一步促進創新發展、積極應對AI產生之風險,因此科技事務局決定訂立新的AI法規。 貳、立法重點 《人工智慧技術研究開發及應用促進法》總計28條,共分為四個章節,包含第一章總則(第1條至第10條)、第二章基本政策實施(第11條至第17條)、第三章人工智慧基本計畫(第18條)及第四章人工智慧戰略本部(第19條至第28條)。考量依法規條文及章節順序不易說明,以下將以科技事務局所提供之立法概要之脈絡進行說明。 一、目的 第1條即說明本法旨在全面且有計畫地制定AI相關政策,推動AI技術之研發與應用,以改善國民生活並為國民經濟發展做出貢獻。 二、基本理念 第3條亦規定AI技術之研發與應用應以提升AI產業之國際競爭力為目標,希冀藉由AI技術創造高效率新業務,並得以應用於國民日常生活與經濟活動之各階段,另考量AI技術若經不當使用,將有助漲犯罪行為或洩漏個資等風險發生之可能性,故應確保AI技術之正確使用。最後,同條亦規定日本應在AI技術之研發與應用上進行國際合作,並努力在國際合作中取得主導地位。 三、AI戰略本部 本法第四章皆為設立AI戰略本部相關之條文,第19條、第20條及第25條第2項規定AI戰略本部應由內閣所設立,其職責有以下兩項: (一)研擬AI基本計畫草案,並推動相關事宜。 (二)促進AI相關技術研發及應用相關重要政策之規劃、提案及統籌協調等事宜。 (三)除本法規定的事項外,總部相關必要事項由政令規定。 為使AI戰略本部可順利履行上述職責,第25條賦予AI戰略本部認為有必要時,得向行政機關、地方公共團體、獨立行政機構、地方獨立行政機構的首長以及公共機關的代表,要求提供資料、發表意見、進行說明及提供其他必要協助。 第21條至第28條則為與本部組成相關之規定,其規定AI戰略本部組成成員包含以下三個職位: (一)部長:由總理擔任,掌管總部事務,並領導監督總部工作人員。 (二)次長:由官房長官及AI戰略大臣(由總理任命)擔任,負責協助部長履行職責。 (三)由除部長、次長以外的所有國務大臣組成。 四、AI基本計畫 如上所述,AI戰略本部重要職責之一,即研擬AI基本計畫草案。依第18條規定,總理應將AI戰略本部所研擬之AI基本計畫草案,提請內閣決定是否同意草案內容,待內閣作成決定後,總理應立即公布AI基本計畫。 同條亦明定AI戰略本部應以前述第二節的基本理念及以下第五節的基本政策實施之相關規定為基礎,研擬AI基本計畫草案,其應涵蓋之事項包含: (一)AI技術研發及應用政策實施的基本方針。 (二)為促進AI技術研發及應用,政府應全面性且有計畫地實施政策。 (三)政府為能全面性且有計畫地實施政策所採取的必要措施。 五、基本政策實施 第二章所涵蓋之第11條至第17條則規定政府應執行之基本政策實施事項,包含: (一)促進AI技術研發 依第11條規定,國家應採取措施促進AI技術研發,使AI技術可順利從基礎研究階段進展至實際應用階段,並在研發機構間建立研發成果得以互相流通之制度,同時提供研發成果資訊。 (二)提升基礎設施建置與使用 依第12條規定,國家應採取措施建置AI基礎設施,包含AI技術研發及應用所需之大規模資料處理、資通訊、電磁紀錄儲存等設備及為特定目的所收集之資料集等,並使AI基礎設施得以廣泛供研發機構或企業所使用。 (三)確保符合國際規範 依第13條規定,國家應根據國際規範制定基本方針並採取其他必要措施,以確保AI技術之研發及應用得以適當之方式進行。 (四)確保人力資源 依第14條規定,國家應與地方政府、研發機構和企業緊密合作,並採取必要措施,以確保、培訓和提升各領域人才的專業素質,使其具備AI技術從基礎研究至實際應用於民眾生活或經濟活動之各階段所需之專業知識,並提升其專業知識之廣度及深度。 (五)提升教育 依第15條規定,國家應提升與AI技術相關之教育與學習、辦理推廣活動或採取其他必要措施,以增進大眾對AI技術之認知與興趣。 (六)研究調查 依第16條規定,國家應掌握國內外AI技術研發及應用之最新趨勢,並進行有助於AI技術研發及應用發展之研究與調查,包含分析因不正當目的或不適當方法研發應用所導致國民受侵害之案例,及針對不正當使用之因應對策。 同時,國家亦應根據此類研究調查成果,向研發機構、企業和其他人員提供指導、建議和最新資訊,並採取其他必要措施。 (七)國際合作 依第17條規定,國家應進行AI技術研發及應用之國際合作,積極參與國際規範之制定過程。 六、職責 第4條至第8條分別規定國家、地方政府、研發機構、企業與國民應各司其職,其職責分述如下: (一)國家 依第4條規定,國家應依前述第二節的基本理念,制定並實施促進AI技術研發及應用之基本政策實施相關之計畫。此外,國家應在行政機關間積極應用AI技術,以提升行政效率。 (二)地方政府 依第5條規定,地方政府應依前述第二節的基本理念,在與國家進行適當分工後,結合各地方特色,制定並實施自主政策,以促進AI技術之研發及應用。 (三)研發機構 依第6條規定,大學及研發機構應依前述第二節的基本理念,積極進行AI技術之研發,推廣其成果,培育具有專業性和廣泛知識之人才,並協助國家與地方政府之政策實施,而國家與地方政府則應促進大學研究活動,尊重研究人員自主權及將各大學之特色納入考量。 此外,研發機構應進行跨領域或綜合性研發,同時為有效推動AI技術研發,應綜合考量人文科學及自然科學等領域之專業知識。 (四)企業 依第7條規定,任何企業有意開發或提供使用AI技術之產品或服務,或任何其他有意在其業務活動中使用AI技術,應依前述第二節的基本理念,提升其業務之效率和品質。 此外,上述企業應透過積極使用AI技術創造新興產業,並須配合執行國家依第4條所定之措施及地方政府依第5條所定之措施。 (五)國民 國民應依前述第二節的基本理念,加深對AI技術之認知與興趣,並盡可能配合執行國家依第4條所定之措施及地方政府依第5條所定之措施。 七、附帶決議 本次立法過程除條文本身外,5月27日內閣委員會亦通過20點附帶決議,針對政府實施本法時應採取之適當措施進行補充說明,以下摘錄重點說明 :[10] (一)政府應以「以人為本之AI社會原則」為基礎,進行AI技術研發及應用。 (二)政府制定AI基本計畫和基本方針,或執行政策措施時,應將風險降至最低,並考量推廣AI之益處。 (三)企業和國民應充分了解AI應用之注意事項及規避風險之措施,並透過教育使國民了解AI合理使用方法及其風險。 (四)政府針對AI應用導致之失業或貧富差距擴大採取必要措施。 (五)政府應透過法規打擊AI技術之濫用,特別是利用兒童圖像產生之深偽色情內容,並加強對網站管理員刪除違法內容之監管,保護受害者。 (六)政府和民間機構將合作開發以日語為基礎之大型語言模型。 (七)政府應消除新創企業等新進者之壁壘,創造公平開放之市場環境。 (八)政府應將AI定位為國家戰略重要領域。 (九)政府應考慮電力供需,策略性地建設資料中心。 (十)政府應以跨學科之觀點強化對AI人才之培養,並確保足夠有投資。 (十一)政府應積極營造有利於國家、地方政府、企業應用AI之環境,並避免因營運效率提升而出現裁員情形。 (十二)政府應執行降低AI風險之措施,並進行公私合作以確保安全。 (十三)政府於進行調查和指導時,應避免施加過重之負擔或要求過多資訊揭露,同時考慮保護企業之商業機密等智慧財產權。 (十四)政府於國民權益受害之個案進行調查和指導時,應即時自企業或服務使用者和人工取得資訊,以便迅速發現個案並因應。 (十五)針對依《廣島人工智慧進程國際行為準則》負有報告義務之企業,政府應最大限度地減少其與現行國內法規之報告義務之重複。 (十六)政府應不斷修訂本法及其他相關計畫與方針,以確保AI應用能促進國民生活改善和國民經濟發展,並及時應對新風險。 (十七)AI戰略總部之組織架構,應消除各部會、機構垂直分工造成之弊端,並積極自民間招募人才。 (十八)政府應儘早成立由AI倫理、法律和社會議題等領域專家組成的智庫機構。 (十九)如出現現行法規難以因應之新風險,政府應考慮導入風險導向之概念,依風險等級而採取不同監管措施。 (二十)因應AI應用產生之智慧財產權相關侵權行為,政府應參考其他國家之情形,探討因應措施。 參、總結 日本緊接著韓國之後,成為亞洲第二個在法律層級通過AI法規的國家,惟相較歐盟或韓國通過的AI法,日本在法律條文的訂定上,主要是針對政府與各界之職責進行規範,而缺乏對於AI技術開發或應用風險之監管。儘管附帶決議中較多具體內容,仍須待AI基本計畫訂定後,日本對於AI技術開發或應用之監管模式才會有較清晰之雛形。 考量到日本尚有通過20點附帶決議,日後仍可關注AI戰略本部如何依據AI法及附帶決議擬定AI基本計畫,未來或可成為我國人工智慧法制政策規劃之參考依據。 [1]人工知能関連技術の研究開発及び活用の推進に関する法律案(第217回閣法第29号)。 [2]〈議案情報:人工知能関連技術の研究開発及び活用の推進に関する法律案〉,参議院,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/217/meisai/m217080217029.htm(最後瀏覽日:2025年6月11日)。 [3]参議院,〈人工知能関連技術の研究開発及び活用の推進に関する法律案に対する附帯決議〉,https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/current/f063_052701.pdf(最後瀏覽日:2025年6月11日)。 [4]人工知能関連技術の研究開発及び活用の推進に関する法律法律(令和7年法律第53号)。 [5]內閣府,〈人工知能関連技術の研究開発及び活用の推進に関する法律案(AI法案)概要〉,https://www.cao.go.jp/houan/pdf/217/217gaiyou_2.pdf(最後瀏覽日:2025年6月11日)。 [6]STANFORD INSTITUTE FOR HUMAN-CENTERED AI [HAI], Artificial Intelligence Index Report (2024), https://hai.stanford.edu/assets/files/hai_ai-index-report-2024-smaller2.pdf (last visited June 11, 2025) [7]総務省,〈令和6年版情報通信白書〉,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1510000.pdf(最後瀏覽日:2025年6月11日)。 [8]総務省,〈令和6年版情報通信白書〉,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1510000.pdf(最後瀏覽日:2025年6月11日)。 [9]KPMG, Trust Inartificial Intelligence: Country Insights on Shifting Public Perceptions of AI (2023), https://assets.kpmg.com/content/dam/kpmgsites/xx/pdf/2023/09/trust-in-ai-country-insight.pdf.coredownload.inline.pdf (last visited June 11, 2025). [10]参議院,〈人工知能関連技術の研究開発及び活用の推進に関する法律案に対する附帯決議〉,https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/current/f063_052701.pdf(最後瀏覽日:2025年6月11日)。
何謂日本「尖端大型研究設施」?所謂「尖端大型研究設施」,系指日本《特定尖端大型研究設施共用促進法》(特定先端大型研究施設の共用の促進に関する法律)中,由國立研究法人所設置,並受該法規範之研究設施。 該法之目的係在設置被認為不適合於國立實驗研究機關,或進行研究之獨立行政法人中重複設置之以高額經費購置的該研究領域中最尖端技術之研究設施設備,並於該研究領域中進行多樣化研究之活用,以發揮其最大之價值。 目前受到該法規定的研究設施包括特定同步輻射研究設施,其包含了「SPring-8」及「SACLA」等兩座大型同步輻射研究設施,與特定超級電腦設施,亦即超級電腦「京」,以及包括了高強度質子加速器「J-PARC」之一部的特定中子輻射研究設施;以SPring-8為例,該設施之網站上登載有使用情報、使用申請及參考資料等,供欲使用該設施之研究人員參考。