資訊安全與電子商務－談資訊安全通報機制

　　英國數位文化傳媒和體育部（Department for Digital, Culture, Media & Sport, DCMS）於2022年11月23日發布新聞稿，宣布英國與韓國共同簽署的資料橋接規則（The Data Bridge Regulation）於同年12月19日正式生效。在此之前，英國於2022年7月5日已與韓國個人資料保護委員會（Personal Information Protection Commission, PIPC）簽署資料適足性協議（Data Adequacy Agreement），以促進兩國未來進行資料傳輸。這也是英國在脫歐後，首次與其他國家簽訂的資料協議，而依據過往兩國的數位貿易統計資料，本次協議預估將帶來超過14.8億英鎊的商機。 　　英國DCMS部長更進一步表示，未來將積極與其他國家的戰略夥伴，開展資料經濟商機。英國於聲明中強調參與全球跨境隱私規則論壇（Global CBPR Forum）的決心，以加速資料共享、促進創新與產學研究，聲明摘要如下： 　　1、本協議為加強英國與韓國資料共享的里程碑，其宗旨為創建更值得信賴的資料共享環境，以及共創更安全的資料傳輸方式。 　　2、本協議耗時約一年完成討論與擬訂，並期待能透過該協議，深化並擴展英國與韓國之間的資料夥伴關係。 　　3、英國與韓國政府承諾將促進資料在國際商業、創新及研究等領域的發展。在加強個人資料保護的前提下，促進資料的合理利用。 　　4、在資料自由傳輸的基礎上，本協議將提供更完善且可持續推動的全球資料生態系統。雙方政府承諾共同改進數位時代下個資料保護框架，如英國發布國家資料戰略（National Data Strategy）、修訂UK GDPR相關規範，以及韓國PIPC提出個人資料保護法部分條文修正案等具體措施。 　　英國政府肯認應與其他戰略合作夥伴開展多邊倡議，如參與全球跨境隱私規則論壇（Global CBPR Forum）及經濟合作暨發展組織（OECD），共同推動可信賴之政府存取資料（Trusted Government Access to Data）的目標。

　　如何確保兒童上網安全，為歐盟數位議程（Digital Agenda）的七大目標之一。而近年來網路內容蓬勃與快速發展，更大幅加速了兒童上網的趨勢。據歐盟執委會於2011年12月的公開資料顯示（IP/11/1485），歐洲兒童平均7歲即開始接觸網路。目前有超過38%的9-12歲兒童在社交網站上有個人資訊，有30%以上的兒童是藉由行動裝置上網。如此高的上網比率，讓各業者有共識以提供兒童更好的上網環境。由蘋果、微軟、Google等跨國企業為首的二十餘家業者組成了自律組織，以提供歐盟地區的兒童更好網路內容環境而努力。 　　該自律聯盟於2011年12月正式成立，並以五個面向採取相關行動：簡單且強大的工具-能夠搜尋於任何裝置上可能對孩童有害的內容；分齡隱私設定-使用者可限定公布資訊予特定族群；更廣泛的內容分級：提供家長易於理解的年齡內容分級；更廣泛的家長控制工具-積極推動使用者有善的工具；兒童色情內容有效移除-與執法單位與保護熱線等積極合作，將兒童色情內容快速下架。 　　各業者承諾就其營業項目、產品、服務內容等皆須符合此自律規範，並成立工作小組以協助歐盟執委會處理相關議題。

　　《演算法問責法案》（Algorithmic Accountability Act）於2022年4月由美國參議院提出，此法案係以2019年版本為基礎，對演算法（algorithm）之專業性與細節性事項建立更完善之規範。法案以提升自動化決策系統（automated decision systems, ADS）之透明度與公平性為目的，授權聯邦貿易委員會（Federal Trade Commission, FTC）制定法規，並要求其管轄範圍內之公司，須就對消費者生活產生重大影響之自動化決策系統進行影響評估，公司亦須將評估結果做成摘要報告。 　　《演算法問責法案》之規範主體包括：（1）公司連續三年平均營業額達5000萬美元，或股權價值超過2.5億美元者，並處理或控制之個人資料超過100萬人次；以及（2）公司過去三年內，財務規模至少為前者之十分之一，且部署演算法開發以供前者實施或使用者。ADS影響評估應檢視之內容包括： 　　1.對決策過程進行描述，比較分析其利益、需求與預期用途； 　　2.識別並描述與利害關係人之協商及其建議； 　　3.對隱私風險和加強措施，進行持續性測試與評估； 　　4.記錄方法、指標、合適資料集以及成功執行之條件； 　　5.對執行測試和部署條件，進行持續性測試與評估（含不同群體）； 　　6.對代理商提供風險和實踐方式之支援與培訓； 　　7.評估限制使用自動化決策系統之必要性，並納入產品或其使用條款； 　　8.維護用於開發、測試、維護自動化決策系統之資料集和其他資訊之紀錄； 　　9.自透明度的角度評估消費者之權利； 　　10.以結構化方式識別可能的不利影響，並評估緩解策略； 　　11.描述開發、測試和部署過程之紀錄； 　　12.確定得以改進自動化決策系統之能力、工具、標準、資料集，或其他必要或有益的資源； 　　13.無法遵守上述任一項要求者，應附理由說明之； 　　14.執行並記錄其他FTC 認為合適的研究和評估。 　　當公司違反《演算法問責法案》及其相關法規有不正當或欺騙性行為或做法時，將被視為違反《聯邦貿易委員會法》（Federal Trade Commission Act）規定之不公平或欺騙性行為，FTC應依《聯邦貿易委員會法》之規定予以處罰。此法案就使用ADS之企業應進行之影響評估訂有基礎框架，或可作為我國演算法治理與人工智慧應用相關法制或政策措施之參酌對象，值得持續追蹤。