南非提出個人資料保護法草案

　　英國傳播、電信、科技及媒體相關領域業者及團體於 2006 年 4 月聯合發表一份意見書，反對歐盟提出的新視聽媒體服務指令（ Audiovisual Media Services Directive ）草案。同時英國政府也正關注這項草案並與其他會員國進行討論。 　　自 2005 年 9 月起，歐盟開始針對電視無國界指令（ Television without Frontiers Directive ）的修正進行討論。歐盟考慮將該指令修改為視聽媒體服務指令，擴大其規範範圍，使其包括各種與電視相似（ TV-like ）的服務，並將所有視聽媒體服務區分成線性（ linear ）及非線性（ no-linear ）服務，分別給予不同程度的管制。 　　不過英國有許多業者及團體對於這項新指令的制訂深表不贊同，其認為： (1) 就非線性服務（例如隨選視訊）而言，目前既有法規以及業者自律規範已足以保障消費者； (2) 線性及非線性的分類方式可能不適宜作為法律定義的基礎； (3) 新指令將可能阻礙新進業者參與市場的意願，甚至導致投資者轉向其他國家發展。所以希望透過連署，要求歐盟重新檢視這項新指令。

2025年12月，日本人工智慧安全研究所（AI Safety Institute，下稱AISI）與日本獨立行政法人情報處理推進機構（Information-technology Promotion Agency Japan，下稱IPA）共同發布《資料品質管理指引》（Data Quality Management Guidebook）。此指引旨於協助組織落實資料品質管理，以最大化資料與AI的價值。指引指出AI加劇了「垃圾進，垃圾出（Garbage in, Garbage out）」的難題，資料品質將直接影響AI的產出。因此，為確保AI服務的準確性、可靠性與安全性，《資料品質管理指引》將AI所涉及的資料，以資料生命週期分為8個階段，並特別強調透過資料溯源，方能建立透明且可檢核的資料軌跡。 1.資料規劃階段：組織高層應界定資料蒐集與利用之目的，並具體說明組織之AI資料生命週期之各階段管理機制。 2.資料獲取階段：此步驟涉及生成、蒐集及從外部系統或實體取得資料，應優先從可靠的來源獲取AI模型的訓練資料，並明確記錄後設資料（Metadata）。後設資料指紀錄原始資料及資料歷程之相關資訊，包含資料的創建、轉檔（transformation）、傳輸及使用情況。因此，需要記錄資料的創建者、修改者或使用者，以及前述操作情況發生的時間點與操作方式。透過強化來源透明度，確保訓練資料進入AI系統時，即具備可驗證的信任基礎。 3.資料準備階段：重點在於AI標註（Labeling）品質管理，標註若不一致，將影響AI模型的準確性。此階段需執行資料清理，即刪除重複的資料、修正錯誤的資料內容，並持續補充後設資料。此外，可添加浮水印（Watermarking）以確保資料真實性與保護智慧財產權。 4.資料處理階段（Data Processing）：建立即時監控及異常通報機制，以解決先前階段未發現的資料不一致、錯漏等資料品質問題。 5.AI系統建置與運作階段：導入RAG（檢索增強生成）技術，檢索更多具參考性的資料來源，以提升AI系統之可靠性，並應從AI的訓練資料中排除可能涉及個人資料或機密資訊外洩的內容。 6. AI產出之評估階段（Evaluation of Output）：為確保產出內容準確，建議使用政府公開資料等具權威性資料來源（Authoritative Source of Truth, ASOT）作為評估資料集，搭配時間戳記用以查核參考資料的時效性（Currentness），避免AI採用過時的資料。 7.AI產出結果之交付階段（Deliver the Result）：向使用者提供機器可讀的格式與後設資料，以便使用者透過後設資料檢查AI產出結果之來源依據，增進透明度與使用者信任。 8.停止使用階段（Decommissioning）：當資料過時，應明確標示停止使用，若採取刪除，應留存刪除紀錄，確保留存完整的資料生命週期紀錄。 日本《資料品質管理指引》強調，完整的資料生命週期管理、強化溯源為AI安全與創新的基礎，有助組織確認內容準確性、決策歷程透明，方能最大化AI所帶來的價值。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，同樣強調從源頭開始保護資料，歷程存證與溯源為關鍵，有助於組織把控資料品質、放大AI價值。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　國立研究開發法人為日本法制度下三種獨立行政法人類型的其中之一（其餘兩種為中期目標管理法人、與行政執行法人），任務乃是獨立於國家，發揮一定程度之自主性與自律性，從事在國民生活或社會經濟安定性等公益目的上所必要，但不須由國家為主體來執行的科學技術之實驗、研究與開發，並且這些科技研發業務，係基於具備一定中長期政策目標之計畫而進行，目的在於最大限度地確保得以提升國家科技水準、同時攸關經濟健全發展及其他公益的研發成果，並被期待產出得參與國際競爭的世界頂尖水準之新創科技，作為國家戰略的一環，同時專注於基礎科學與國家核心技術的研發。但在國立研究開發法人中，其所屬職員的身分並非公務員。 　　現在日本共有將近30個獨立研究開發法人，如日本醫療研究開發機構、森林研究‧整備機構‧新能源‧產業技術總合開發機構（NEDO）、國立環境研究所等。

　　歐盟執委會以（EU）2021/914號執行決定（Implementing Decision）所發布的新版「向第三國傳輸個人資料標準契約條款（New Standard Contractual Clause for the transfer of personal data to third countries，下稱SCC）」已於9月27日起正式取代舊版條款。 　　新SCC發布於2021年6月27日，旨在滿足歐盟法院（the Court of Justice of the European Union, CJEU）以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分（substantially sufficient）」標準。該版SCC為因應不同情境之跨境資料傳輸，而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者（控制者與接收者）依循參採，包括： 規範模組一：從資料控制者（Data Controller）到資料控制者的資訊傳輸（Transfer from controller to controller, C2C） 規範模組二：從資料控制者到資料處理者（Data Processor）的資料傳輸（Transfer from controller to processor, C2P） 規範模組三：從資料處理者到資料處理者的資料傳輸（Transfer from processor to processor, P2P） 規範模組四：從資料處理者到資料控制者的資料傳輸（Transfer from processor to controller, P2C） 　　本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整：雖然舊版已於2021年9月27日廢止不再適用，原已適用舊版SCC之契約，至遲仍得實施至2022年12月27日止。（亦即新版SCC公佈後的18個月內）。 　　在此執行決定下，歐洲資料保護委員會 （European Data Protection Board）亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）」釐清GDPR「傳輸影響評估（Transmission Impact Assessment, TIA）之機制流程 。 　　隨著資通科技之快速崛起跨境個資傳輸已成為企業常態，而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別，其中全球航運和物流公司在全球範圍內傳輸個資，其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態，應儘速因應相關法制之發展，解決全球範圍內快速發展的隱私合規問題。