比利時法院要求Google移除新聞轉載連結

　　自從歐洲法院判決谷歌（Google）應該尊重當事人的「被遺忘權」，從搜尋結果移除敏感、不當或過時的資訊聯結後，日本雅虎（Yahoo!）於2014年11月組成了專家小組，針對民眾請求刪除網路搜尋結果時，搜尋引擎應該在何種程度上及如何給予回應等議題進行討論，並於2015年3月30日公布了個資刪除標準，隔日起生效。 　　日本雅虎表示，當搜尋某人的姓名，出現其病歷、過去曾經犯下的輕罪等敏感性資訊或明顯侵害個人權益的資訊（如非公眾人物的地址、電話號碼等）時，當事人可以請求刪除搜尋結果，但在決定是否准許當事人請求前，雅虎將先行檢查當事人係屬成年人、弱勢族群或公眾人物（包括國會議員、公司高階主管及影視圈名人等）。至於那些被強烈懷疑為非法的性愛照片，如兒童色情或報復性色情（未經本人同意而散播的親密照片）等，將主動予以封鎖而無法瀏覽。 　　由於線上文字及圖片相當容易複製，不願意公開的資訊被公開在網路上而無法移除時，往往造成當事人心理上極大的痛苦，於搜尋階段便設法封鎖有問題的資訊，能夠有效地防止因資訊傳播而帶來的傷害。但從言論自由及知的權利的角度出發，某些資訊的揭露本身即具有公益色彩，應該適度限制當事人移除資訊的請求。日本雅虎率先公布個資刪除標準，預料將帶動亞洲入口網站對於隱私保護的重視。

法國國家資訊自由委員會（CNIL）於2023年10月16日至11月16日進行「人工智慧操作指引」（AI how-to sheets）（下稱本指引）公眾諮詢，並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則（GDPR）之作法，以期在支持人工智慧專業人士創新之外，同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下： 1.指引涵蓋範圍：本指引限於AI開發階段（development phase），不包含應用階段（deployment phase）。開發階段進一步可分為三階段，包括AI系統設計、資料蒐集與資料庫建立，以及AI系統學習與訓練。 2.法律適用：當資料處理過程中包含個人資料時，人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的：CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則，由於資料應該是基於特定且合法的目的而蒐集的，因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何，方能決定GDPR與其他原則之適用。 4.系統提供者的身分：可能會是GDPR中的為資料控管者（data controller）、共同控管者（joint controller）以及資料處理者（data processor）。 5.確保資料處理之合法性：建立AI系統的組織使用的資料集若包含個人資料，必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估（DIPA）。 7.在系統設計時將資料保護納入考慮：包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護：具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的，以及設定明確的資料保留期限，實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說，更新AI相關規範知識非常重要，CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。

　　英國於2020年1月31日正式脫歐，同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定（Free Trade Agreement, FTA）。然而，美國認定中國大陸華為的5G設備存在資安風險，可能被用於間諜活動進而威脅國家安全，故主張美英貿易合作與情報共享的前提，必須建立在英國排除使用華為5G網路基礎建設之上，對此英國嘗試透過政策研擬，在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心（National Cyber Security Centre, NCSC）於2020年1月28日，即針對使用「高風險供應商（High risk vendors簡稱HRV）」之電信網路，提出風險管理建議，說明如何因應HRV帶來的網路安全風險及挑戰（須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor，必須透過關鍵與否及風險高低兩個變動因素加以細部區分）。目前英國5G及光纖到戶（Fiber To The Home, FTTH）計畫推動處於關鍵階段，NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議，將有助於保護營運商免於外部攻擊，並降低英國電信網路的國家安全風險。 　　NCSC在報告中，針對何謂高風險供應商，及如何管理這些供應商帶來的特定安全風險，提出詳盡判斷標準包括：供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點：包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管，進而與英國法律相抵觸甚至進行外部指導等。 　　又為減少由HRV引起的網路安全風險，NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務，並將高風險廠商供應上限設定為35％，有效進行網路安全風險管理，平衡安全性風險和市場供應多樣化彈性需求。另外，其他具備敏感性的網路營運模式，例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統（BNG / BRAS）等，必須根據具體情況，對HRV進行限制；且不得在與政府營運或重要國家基礎設施，及任何與安全系統直接相關的敏感網路中使用HRV設備。目前，中國大陸華為是英國NCSC唯一認定的HRV廠商，華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制；華為亦需遵守NCSC要求，訂定風險緩解策略，確保產品及服務不致威脅英國網路即國家安全。

歐洲區塊鏈夥伴關係（European Blockchain Partnership, EBP）的成員於2023年6月正式向歐盟執委會（European Commission, EC）申請成立區塊鏈的「歐洲數位基礎設施聯盟」（European Digital Infrastructure Consortium, EDIC），若審核通過，未來歐盟將有一個正式的機構負責推動區塊鏈的發展與應用。 歐盟執委會於2023年1月發布了「2030年數位十年政策計畫」（Digital Decade Policy Programme 2030, DDPP），為促進歐盟數位轉型的大規模部署及能力建構，達到DDPP所設定的具體目標，執委會提出跨（多）國專案（Multi-Country Projects, MCPs）的概念，期待整合歐盟、各成員國、私部門的資源，以實現單一成員國無法獨立部署的數位化基礎設施。 執委會參考2009年開始陸續成立的「歐洲研究基礎設施聯盟」（European Research Infrastructure Consortium, ERIC），提出了「歐洲數位基礎設施聯盟」（EDIC）的規劃。EDIC並非由歐盟的資助計畫支持，而是由成員國申請（至少要包含3個成員國）成立以執行MCPs，EDIC具有法人格，並有獨立的財務來源；此外，EDIC成立後開放私部門參加。 2023年3月執委會發布的「數位歐洲2023~2024年工作計畫」（Digital Europe Work Programme 2023-2024）中，即將「區塊鏈」列為MCPs的重要發展項目之一。2023年6月15日於瑞典舉辦的歐盟數位大會（Digital Assembly 2023）上，執委會表示EBP及歐洲區塊鏈服務基礎設施（European Blockchain Services Infrastructure, EBSI）的相關成員國已遞交EDIC的申請。 斯洛維尼亞共和國（Republic of Slovenia）的區塊鏈小組負責人Nena Dokuzov是成立聯盟的主要推動者之一，其受訪時表示，EBSI從2018年以來，主要是由執委會以專案方式支持，未來聯盟成立以後，將能集結更充足的資源，強化歐洲區塊鏈的治理和穩定性，進一步地擴大推動歐洲區塊鏈的公共應用服務。我國「司法聯盟鏈」於2022年成立，為我國第一個跨部會、大規模的區塊鏈應用案例，並制定了跨組織協作標準規範（簡稱b-JADE），未來可持續觀測歐盟區塊鏈聯盟的發展，作為我國的參照。 本文同步刊登於TIPS網站（https://www.tips.org.tw）