在西班牙下載音樂無罪？！

　　在近來國際食安問題事件頻傳的氛圍下，如何透過食品供應鏈相關資料的紀錄、串接與分析，達到食品追溯(Food Traceability)目的已成為全球性議題。有鑑於此，美國的全球食品追溯中心(Global Food Traceability Center, GFTC)在跨種類的食品供應鏈中針對數位資料的採集和追蹤，以建立共通架構為目的，提出食品追溯的「關鍵追蹤活動」以及「重點資料元素」，作為監管機構和產業界在建立追溯系統時可依循的標準。 　　由於現今食品供應系統涉及範圍大部分已擴及全球，其複雜性大幅提升了各國政府對整個食品產業的監管以及促進追溯實踐的困難度。隸屬美國食品科技研究所(IFT)的GFTC於2014年8月19日發表了一篇「食品追溯最佳實踐指南」(A Guidance Document on the Best Practices in Food Traceability)報告，指出當食品相關疫情爆發時進行食品追溯即有全球性的需求；該指南主要以食品安全及追溯相關規範的立法者和食品產業界為對象，針對六大類食品產業－烘焙、奶製品、肉類及家禽、加工食品、農產品和海產類提供一個可茲遵循的追蹤架構。在一條食品供應鏈中，有許多環節是進行追蹤時必要的資訊採集重點，被視為「關鍵追蹤活動」(Critical tracking events, CTEs)，而各種「關鍵追蹤活動」的紀錄項目即為「重點資料元素」(Key data elements, KDEs)。 根據該指南所定義的CTEs包含： 1.運輸活動(Transportation events)－食品的外部追蹤，包括「運送活動」(Shipping CTE)和「接收活動」(Receiving CTE)，指食品在供應鏈的點跟點之間藉由空運、陸運或船運等物理性的移動。 2.轉換活動(Transformation events)－食品的內部追蹤，連結食品經過各種結合、烹煮、包裝等加工的輸入到輸出過程，包括「轉換輸入活動」(Transformation Input CTE)和「轉換輸出活動」(Transformation Output CTE)。 3.消耗活動(Depletion events)－係將食品從供應鏈上去除的活動。其中，「消費活動」(Consumption CTE)，指食品呈現可供顧客消費狀態的活動，例如把新鮮農產品放在零售店供顧客選購；「最終處置活動」(Disposal CTE)指將食品毀棄、無法再作為其他食品的成分或無法再供消費的活動。 　　而紀錄上述CTEs的KDEs例如各項活動的擁有人、交易對象、日期時間、地點、產品、品質等，應將該指南所列出之各項KDEs理解為紀錄CTEs的最基本項目。目前最大的問題是食品監管的要求和產業界執行可行性間的差距，故如何縮小此差距仍為各國政府當前最大的挑戰。

　　歐盟執委會（European Commission, EC）於2020年3月24日發表新聞稿，說明在COVID-19疫情期間，各國政府要求人民保持社交距離甚或自我隔離；人民無法會面互動下，數位政府政策成為維持正常生活的解套方式。歐盟於新聞稿中重申先前建構「歐盟內部市場電子交易之電子身分認證與信賴服務規則」（REGULATION EU No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC，以下簡稱 eIDAS）、電子識別（electronic identification, eID）以及發展信任服務（trust services）的必要性，例如電子戳記（eTimestamps）、電子圖章（eSeals）、電子簽章（eSignatures）、網站認證（Website authentication）等均屬之。歐盟公民無須離開住宅，即可和公部門互動。 　　除了公部門，信任服務可以支援歐盟企業（特別是疫情嚴重地區的中小型企業）遠端執行業務，維持業務連續性。例如金融服務對交易、認證、安全性及防洗錢等領域發展數位化：eID識別客戶身分、整合同一客戶的海外金融帳戶服務、遠端驗證防洗錢要求；電子簽章可與客戶遠端簽署金融服務契約；電子註冊交付服務（electronic registered delivery service）則作為安全交換重要文件或契約之機制。 　　在零售業而言，安全的電子交易對於線上業務尤為重要。例如eID可對購買酒類等管制商品或藝術品等高價商品之消費者進行更嚴格的身分檢查；電子簽章和電子戳記則強化文件及流程追蹤機制，降低追蹤成本。 在運輸部門，以汽車共享服務為例，eID可用於證明客戶的身份，提供安全登錄，並允許客戶進行遠端車輛解鎖。而貨運及物流產業，若在不同營運商運送之間遇有延遲，則電子戳記可使責任歸屬更加明確。另外，對重要文件使用電子圖章，可證明文件完整性、有效性並減少對紙本文件的依賴，並降低疫情期間會面之風險。

經濟合作與發展組織（Organisation for Economic Co-operation and Development, OECD）於2023年2月23日發布《促進AI可歸責性：在生命週期中治理與管理風險以實現可信賴的AI》（Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI）。本報告整合ISO 31000：2018風險管理框架（risk-management framework）、美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）人工智慧風險管理框架（Artificial Intelligence Risk Management Framework, AI RMF）與OECD負責任商業行為之盡職調查指南（OECD Due Diligence Guidance for Responsible Business Conduct）等文件，將AI風險管理分為「界定、評估、處理、治理」四個階段： 1.界定：範圍、背景、參與者和風險準則（Define: Scope, context, actors and criteria）。AI風險會因不同使用情境及環境而有差異，第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人，並就各角色適用適當的風險評估準則。 2.評估：識別並量測AI風險（Assess: Identify and measure AI risks）。透過識別與分析個人、整體及社會層面的問題，評估潛在風險與發生程度，並根據各項基本價值原則及評估標準進行風險量測。 3.處理：預防、減輕或停止AI風險（Treat: Prevent, mitigate, or cease AI risks）。風險處理考慮每個潛在風險的影響，並大致分為與流程相關（Process-related）及技術（Technical）之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序，後者則與系統技術規格相關，處理此類風險可能需重新訓練或重新評估AI模型。 4.治理：監控、紀錄、溝通、諮詢與融入（Govern: Monitor, document, communicate, consult and embed）。透過在組織中導入培養風險管理的文化，並持續監控、審查管理流程、溝通與諮詢，以及保存相關紀錄，以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督，並能夠更廣泛地在不同類型的組織中建立相應機制。

　　德國聯邦議院在今年4月27日通過「個人資料保護調整和施行法」（Datenschutzanpassungs- und Umsetzungsgesetz, DSAnpUG），其中包含新的德國聯邦個人資料保護法（Bundesdatenschutzgesetz, BDSG）。在這部新的法案中，已施行40年的 BDSG進行大幅調整以符合歐盟個人資料保護規則（Datenschutzgrundverordnung , DSGVO）的標準。 　　所有歐盟成員國將於2018年5月25日開始適用DSGVO的規定。DSGVO希望能在歐盟成員國內，形成一套具有法律統一性、標準性與高水準的個人資料保護制度。這也意味著侵害個人資料保護的違法行為，如：未使用適當的加密技術以確保個人資料安全，可能受到更嚴重的處罰，最高可達2,000萬歐元或企業全年營業額的4%。 　　DSGVO的目的在確保歐盟成員國間個人資料保護的共同法制標準，但考量到各成員國間的區域差異，DSGVO也提供國家立法者約60條的開放性條款(Öffnungsklauseln)─允許許多地區的成員國在特定條件下可不依循DSVGO標準。德國聯邦政府在新的BDSG，也運用了這些開放性條款。但有批評者認為，部分新的BDSG規範內容已超越DSGVO的條文規範，如：個資保護專員(Datenschutzbeauftragten)的就業保障。因此，新的BDSG與歐盟法律不符的部分，很可能被宣布違反歐盟法律。另一方面，舊的BDSG僅有48條規定，而新的BDSG則超過85條規定，且更為複雜，這都提高了法律適用上的難度。 　　雖然新的BDSG其適法性仍有爭議，且是否能通過司法審查亦屬未知。但盡管如此，隨著DSAnpUG 及新的BDSG法律條文制定，未來德國個人資料處理的基本法律框架已確定。由於企業個人資料處理的基本原則已明訂於DSGVO中，且新的BDSG仍是依照DSGVO的規範而制定，因此企業應盡速審查和調整他們的契約和流程，以符合DSGVO的規範要求。