論美國公務機關就一般公務機密核密狀態爭議之處理
論美國公務機關就一般公務機密核密狀態爭議之處理
科技法律研究所
2013年07月16日
壹、前言
對於公務機密是否具機密核定適當性的問題,從近來公務機關內部所爆發的許多爭議案件中,已經逐漸引起社會大眾的關注。所謂公務機密,一般來說係包含國家機密與一般公務機密。有關於國家機密的核定權責機關、核解密方式,抑或是國家機密維護等事宜,主要係規範在國家機密保護法內;至於攸關一般公務機密的所有事宜,則主要是由行政院祕書處所頒布的文書處理手冊來作規範。
觀察國家機密保護法與文書處理手冊就機密核定狀態爭議的處理,依據國家機密保護法第十條第一項規定,原核定機關或其上級機關有核定權責人員得依職權或依申請,就實際狀況適時註銷、解除機密或變更機密等級,並通知有關機關。其乃賦予原核定機關或其上級機關,對於國家機密的機密核定或機密等級是否適當之問題,有主動行使機密狀態註銷、解除或變更的權限。然而,針對一般公務機密機密核定是否適當與其爭議處理,文書處理手冊並未為相關的機制設計,因此也引發一般公務機密的核定機關,當其認為機密核定有不適當之情形時,無相關管道可針對此項爭議提出異議。
是以,本文欲從美國公務機關解決公務機密狀態爭議(包含國家機密與一般公務機密)的機制出發,來觀察我國未來針對一般公務機密狀態爭議的機制建立,所必須著重與思考的面向,以作為未來主管機關增修相關法規範的參考。
貳、美國公務機關如何解決公務機密核密狀態之爭議
一、行政命令第13526號(Executive Order 13526)
為了在政府資訊公開與國家資訊保護兩者間界定完善的平衡點,美國歐巴馬政府於 2009 年頒布第 13526 號行政命令( Classified National Security Information )[1],該行政命令主要係規範涉及公務機密(包含國家機密與一般公務機密)之密等核定、機密維護與機密解密或降密等事宜。本號行政命令可視為是美國聯邦政府機關在其職責內涉及公務機密之公務資訊,如何就前述資訊建立其內部公務機密管理機制的範本。
在本號行政命令第一部分,主要針對機密分類規範( Classification Standards )[2]、機密分類層級( Classification Levels )[3]、機密分類權限( Classification Authority )[4]、機密分類種類( Classification Categories )[5]、機密存續期間( Duration of Classification )[6]、機密識別與標示( Identification and Markings )[7]、機密分類禁止與限制( Classification Prohibitions and Limitations )[8]、機密分類爭議( Classification Challenges )[9],以及基本分類指導複查等事項( Fundamental Classification Guidance Review )[10],來提供聯邦政府機關制定內部規範的基準。其中,在機密分類爭議部分,若經授權持有公務機密之人善意且相信該機密的分類狀態( status )屬不適當時,其可依循所屬聯邦政府機關內部程序來就該機密的分類狀態提出異議 [11]。有關於該程序的建立,各聯邦政府機關首長或資深機關職員必須就該程序確保( 1 )該提出機密分類異議之人(包含經授權持有機密之機關內外部人員)不會因該異議的提出而遭受報復;( 2 )提供公正之官方人員或專門審查小組就機密分類異議有複查機會;( 3 )該提出機密分類異議之人若不滿聯邦政府機關內部所為之決定時,可向跨機關安全分類事務上訴委員會( Interagency Security Classification Appeals Panel, ISCAP )提出上訴。然,若公文因不揭露協議( Non-Disclosure Agreement, NDA )而需作發佈前審查( prepublication review )或依其他行政程序而需先行提出時,則不適用本項之規定。
在第二部分,係規範使用派生機密分類( Use of Derivative Classification )[12]的情形與要求各聯邦政府機關需就該派生機密的使用制定指導手冊( Classification Guides ) [13];在第三部分,主要規範解密的權責機關( Authority of Declassification )[14]、被移轉機密紀錄( Transferred Records )[15]、機密自動解密( Automatic Declassification )[16]、機密系統性解密複查( Systematic Declassification Review )[17]、機密強制性解密複查( Mandatory Declassification Review )[18]、處理機密請求與複查( Processing Requests and Reviews )[19]與建立國家資訊解密中心( National Declassification Center )[20]等事項。
在第四部分中,則規範一般使用限制( General Restrictions on Access )[21]、機密散佈控管( Distribution Controls )[22]、特殊使用程序( Special Access Programs )[23],以及針對過去有使用機密紀錄之研究者與某些前政府人員使用資訊( Access by Historic Researchers and Certain Former Government Personnel )[24]的情形。在第五部分,其謂資訊安全監督辦公室主任( The Director of the Information Security Oversight Office ),在檔案保管員( Archivist )的指示且諮詢國家安全顧問( National Security Advisor )後,應發佈可落實本行政命令且拘束各聯邦政府機關的指令[25]。同時,也針對資訊安全監督辦公室與 ISCAP 的設立、權責、功能、規則與程序作逐一說明[26]。此外,亦對各聯邦政府機關首長就其機關內部所建立之機密分類機制所應負的責任與若違法時所應遭受的裁罰另作完整規範[27]。
最後,在第六部分,係針對名詞定義[28]、一般事項[29]、有效日期[30]與發佈[31]等行政事宜作完整說明。
二、美國國防部( Department of Defense )公務機密管理機制
(一)美國國防部公務機密管理機制介紹
為遵循美國行政命令第 13526 號,美國國防部對於其業內公務機密(包含國家機密與一般公務機密),亦建立自身公務機密管理機制來防止該資訊受到外國或恐怖分子的刺探或取得。美國國防部公務機密管理機制主要分成六個部分[32],第一部分為參照( References );第二部分為責任( Responsibilities );第三部分為資訊安全工作概觀( DoD Information Security Program Overview );第四部分為分類資訊( Classifying Information ),其就機密分類政策、機密分類等級、機密最初分類與派生分類的規定與流程、機密分類期限與機密分類爭議等事項作敘明;第五部分為解密與分類變更( Declassification and Changes in Classification ),其涉及機密解密程序、機密自動解密、機密強制解密複查、機密解密系統性複查等其他攸關解密或變更機密等事宜;最後,第六部分為安全分類指導( Security Classification Guides ),其內容乃就前述涉及安全分類內容、資料編輯考量、安全分類複查、安全分類取消或安全分類變更報告等程序或細部事項提供內部權責人員在處理相關事務時的參考。
(二)美國國防部就涉及機密分類爭議的處理方式
如前所述,美國國防部公務機密管理機制第四部分針對機密分類爭議設有明確的處理原則與程序,在分類爭議處理原則中[33],假若機密持有人有足夠理由相信其持有機密的分類是不適宜或不必要時,該持有人應該就此確信向資訊安全管理者或最初分類權責機關( Original Classified Authority, OCA )提出任何必要矯正建議。前述矯正建議可藉由非正式( informal )或正式( formal )方式提出。以正式提出而言,機密持有人應聯絡原始文件或資料分類者( the classifier of the source document or material )來解決機密分類的爭議;同時,其必須就該爭議機密提出足夠描述來容許原分類者盡合理努力來發現是否有不合宜或不適當的機密分類情況,且應提出理由來說明為何他(她)相信該機密是被不合宜或不適當分類的依據。此外,本規範亦要求美國國防部內部主事者( Heads )應確保對提出機密分類狀態質疑或就機密分類爭議以正式方式提出之任何人,不得對其行使報復行為或採取類似行動;同時,就受質疑的機密應確保其保密狀態且亦受到保護,除非且直到原核定人員已經作出解密之決定。然而,有關於可受機密分類爭議的客體,將不會擴及因同意不揭露協議而需受發佈前審查或依其他行政程序而需先行提出的資訊。
至於處理機密分類爭議的程序[34],美國國防部內部主事者應就分類爭議建立完善的處理程序,該程序需就以正式方式提出機密分類質疑的處理情形、追縱情況與記錄均建構完整的流程(其中包含就持有機密者因不滿決定所提出的上訴程序);同時,就機密分類爭議的審查,也必須賦予公正的官方人員或委員會就該爭議機密有再次複查的機會。有關於處理流程,審查機密分類爭議的權責人員必須於收受案件後 60 日內以書面方式回覆處理情形,假若未於 60 日內作出完整回覆,則美國國防部應轉而接受處理該機密分類爭議並提供預期的回應日期。前述美國國防部收受確認回覆之聲明,應包含假若對機密分類提出質疑之人於提出後 120 日內未收到任何回應,則該質疑者有權將該案件轉交 ISCAP 。此外,當美國國防部於收受上訴申請後 90 日內未對上訴進行回應時,則該質疑者也可將該爭議案件轉交 ISCAP 來作裁處。
三、美國國土安全部( Department of Homeland Security )公務機密管理機制
(一)美國國防部公務機密管理機制介紹
為了落實第 13526 號行政命令,美國國土安全部就其業內公務機密(包含國家機密與一般公務機密),對於機密分類機制的履行、管理與監督亦建制自身的公務機密管理規範。美國國土安全部公務機密管理機制主要區分為六章[35],第一章為制定目的( Purpose );第二章為適用範圍( Scope );第三章為制定權限授與( Authority );第四章為名詞定義( Definitions );第五章為掌管公務機密安全之權責機關責任( Responsibilities );第六章為公務機密安全的政策與流程( Policy & Procedures )。在第六章中,其規範內容包含最初分類、派生分類、機密分類考量(其中亦涉及機密分類爭議處理程序)、機密解密、機密解密之強制複查、資訊自由法( Freedom of Information Act )與隱私法( Privacy Act )之法規要求、機密解密之系統性複查、機密分類降級與升級事項等事項。
(二)美國國土安全部就涉及機密分類爭議的處理方式
對於美國國土安全部機密分類爭議處理[36],假若經授權之機密持有者善意相信其所持有的機密分類狀態係屬不適當時,其可對該機密分類狀態提出質疑。該機密分類爭議應該向機密核定者( the classifier of the information )提出,當有必要性時,對於機密分類狀態有質疑者可以透過美國國土安全部安全工作室( the DHS Office of Security )來就相關程序尋求協助與 / 或以匿名的方式來進行機密分類爭議流程。
至於機密分類爭議的提出方式,美國國土安全部公務機密管理機制將其區分為正式提出與非正式提出而異其流程。先以正式提出而論,對於機密分類狀態有疑問者,應先以書面方式向該機密的最初分類權責機關提出機密分類爭議,且此程序相互往來之書面文件應保持在不核密( unclassified )的狀態。然而,假若該機密分類爭議案件包含其他經核密的資訊時,則該爭議案件應該為保密標示且作任何必要的保護措施[37]。
有關於書面撰寫內容,對機密分類狀態有質疑者應對爭議機密有足夠的描述,且僅可包含為何該機密被核密或為何該機密被核定為某等級機密的問題[38]。同時,對機密分類質疑者不得就其提出行為進行任何類型的報復,且美國國土安全部安全工作室亦可要求該爭議程序需以匿名的方式來進行處理。若以匿名方式進行時,美國國土安全部安全工作室必須對機密分類質疑者承諾其匿名性,並作為該質疑者在相關爭議案件程序的代理人( agent )[39]。
當爭議機密的最初分類權責機關在收受該爭議案件後,其應於 60 日內以書面方式對該機密分類質疑者作出是否仍維持該機密核密狀態或進行解密程序的決定[40]。若機密分類質疑者不滿最初分類權責機關之決定時,其可就該決定上訴至 ISCAP[41]。有必要時,美國國土安全部安全工作室就上訴程序需提供機密分類質疑者各式相關的協助[42]。至於爭議機密的狀態,在最初分類權責機關作出最後決定前,應該確保該機密在爭議案件程序中仍然維持其核密狀態並提供其最高程度的保護[43]。
相反的,以非正式提出而言,經授權之機密持有者可直接聯繫該機密的最初分類權責機關來獲得質疑內容的所有澄清[44]。假若該爭議機密已經由非正式提出方式獲得分類狀態的解決時,該機密分類質疑者應確保作出分類狀態改變之機關係有權責來作出此項決定,且應確保變更過程中的各式相關紀錄(包含機關人員姓名、職位、服務機關、日期)有影印之副本存[45]。茲以下表來比較美國國防部與美國國土安全部所建立之公務機密狀態爭議處理機制。
參、代結論
考量美國公務機關針對公務機密(包含國家機密與一般公務機密)狀態爭議設有完整的處理程序,來供公務機密持有者當就手邊的公務機密狀態有所質疑時可提出異議。由於該處理機制對涉及國家機密或一般公務機密狀態爭議有一體適用的特性,也因此讓人思考是否在機制設計上有偏重國家機密,而在以相同機制處理一般公務機密的面向上,存有處理方式失衡的可能性。為了避免發生如同美國公務機關,以相同機制處理國家機密與一般公務機密所致生的權重失衡問題,未來我國公務機關在設計一般公務機密爭議處理程序時,除應考慮一般公務機密與國家機密有本質與特性的差異外,也須考量現行我國行政機關處理一般公務機密的實際運作環境,來制定出切合行政機關需求的一般公務機密爭議處理機制。
然而,相較於美國公務機關對於公務機密狀態爭議訂有完整的處理方式,作為我國一般公務機密處理準則的文書處理手冊,僅要求對於納入檔案管理之機密文書,若有變更機密或解密者,應即按規定辦理變更或解密手續[46],但對於何人可提出解除機密或機密變更的聲請、提出解除機密或機密變更的方式、一般公務機密原核定機關對於解除機密或機密變更的處理期限、提出一般公務機密狀態是否適當之質疑者的人身或職位安全保障,抑或是對原核定機關解除機密或機密變更之決定有不服者如何提出複查之聲請,均未有完整的規範。
由於文書處理手冊的規範,現行我國公務機關就一般公務資訊或有可能發生不當核密(或解密)的情況,其緣由可能因核定人員為防止不確定是否為機密之公務資訊有外洩之虞,抑或是因機關內部缺乏合適的諮詢單位,而導致核定人員誤將非機密之公務資訊以機密文書方式處理。因而,如何在一般公務機密核密狀態遭受質疑時,能提供原核定機關或持有一般公務機密者有適當管道或機制來作相應處理,乃是我國公務機關遲早必須面對的議題。
[1] The White House ( 2013 ) ‧ Exec. Order No. 13526 ‧Retrieved from http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed July. 16, 2013)
[2]id . Sec. 1.1.
[3]id . Sec. 1.2.
[4]id . Sec. 1.3.
[5]id . Sec. 1.4.
[6]id . Sec. 1.5.
[7]id . Sec. 1.6.
[8]id . Sec. 1.7.
[9]id . Sec. 1.8.
[10]id . Sec. 1.9.
[11] id. Sec. 1.8(a).
[12]id. Sec. 2.1.
[13]id. Sec. 2.2.
[14]id. Sec. 3.1.
[15]id. Sec. 3.2.
[16]id. Sec. 3.3.
[17]id. Sec. 3.4.
[18]id. Sec. 3.5.
[19]id. Sec. 3.6.
[20]id. Sec. 3.7.
[22]id. Sec. 4.1.
[22]id. Sec. 4.2.
[23]id. Sec. 4.3.
[24]id. Sec. 4.4.
[25]id. Sec. 5.1(a).
[26]id. Sec. 5.2 & 5.3.
[27]id. Sec. 5.4 & 5.5.
[28]id. Sec. 6.1.
[29]id. Sec. 6.2.
[30]id. Sec. 6.3.
[31]id. Sec. 6.4.
[32]Department of Defense ‧ DoD Information Security Program: Overview, Classification, and Declassification ‧ Retrieved from http://www.dtic.mil/whs/directives/corres/pdf/520001_vol1.pdf (last accessed July. 16, 2013)
[33]id. Sec. 22(a).
[34]id. Sec. 22(b).
[35]Department of Homeland Security Management Directive System ‧ Protection of Classification National Security Information Classification Management ‧ Retrieved from http://www.fas.org/sgp/othergov/dhs/md11044.pdf (last accessed July. 16, 2013)
[36]id. Chapter IV, E, 3.
[37]id . at 3(a)(1).
[38]id.
[39]id . at 3(a)(2).
[40]id . at 3(a)(3).
[41]id . at 3(a)(4).
[42]id .
[43]id . at 3(a)(5).
[44]id . at 3(b).
[45]id .
[46]文書處理手冊第 71 點。
2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」,並進行廣泛的公眾意見徵詢,舉辦公聽會,最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出,2015年10月歐洲議會通過,今年1月12日生效,預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎,因為本次修正將會大幅提升支付創新應用的發展可能,尤其是行動支付。 PSD2之重大修正包含針對支付服務的內容作出修正,新增第三方支付服務提供人(third party payment service provider,簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取,提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定,TPP服務提供者具備下列義務: 1.確保支付服務使用者的個人化安全資訊不會被其它人取得。 2.以明確的方式向帳戶之支付服務提供者認證自己的身分。 3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。 除此之外,PSD2明確將純粹的技術服務提供者排除於支付機構之範圍,無需適用支付服務指令。 PSD2亦授權EBA發布相關規定制定技術門檻,包含強力的客戶身分認證以及通訊資訊標準。
G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢 資訊工業策進會科技法律研究所 2025年03月10日 七大工業國組織(Group of Seven,下稱G7)於2024年10月10日至11日在義大利羅馬舉辦第四屆資料保護與隱私機構圓桌會議(Data Protection and Privacy Authorities Roundtable,下稱圓桌會議),並發布「G7 DPAs公報:資料時代的隱私」(G7 DPAs’ Communiqué: Privacy in the age of data,下稱公報)[1],特別聚焦於人工智慧(AI)技術對隱私與資料保護的影響。 壹、緣起 由美國、德國、英國、法國、義大利、加拿大與日本的隱私主管機關(Data Protection and Privacy Authorities, DPAs)組成本次圓桌會議,針對數位社會中資料保護與隱私相關議題進行討論,涵蓋「基於信任的資料自由流通」(Data Free Flow with Trust, DFFT)、新興技術(Emerging technologies)、跨境執法合作(Enforcement cooperation)等三大議題。 本次公報重申,在資通訊技術主導的社會發展背景下,應以高標準來審視資料隱私,從而保障個人權益。而DPAs作為AI治理領域的關鍵角色,應確保AI技術的開發和應用既有效且負責任,同時在促進大眾對於涉及隱私與資料保護的AI技術認識與理解方面發揮重要作用[2]。此外,公報亦強調DPAs與歐盟理事會(Council of Europe, CoE)、經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)、亞太隱私機構(Asia Pacific Privacy Authorities, APPA)、全球隱私執行網路(Global Privacy Enforcement Network, GPEN)及全球隱私大會(Global Privacy Assembly, GPA)等國際論壇合作的重要性,並期望在推動資料保護與建立可信賴的AI技術方面作出貢獻[3]。 貳、重點說明 基於上述公報意旨,本次圓桌會議上通過《關於促進可信賴AI的資料保護機構角色的聲明》(Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI)[4]、《關於AI與兒童的聲明》(Statement on AI and Children)[5]、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》(Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions)[6],分別說明重點如下: 一、《關於促進可信賴AI的資料保護機構角色的聲明》 繼2023年第三屆圓桌會議通過《關於生成式AI聲明》(Statement on Generative AI)[7]後,本次圓桌會議再次通過《關於促進可信賴AI的資料保護機構角色的聲明》,旨在確立管理AI技術對資料保護與隱私風險的基本原則。G7 DPAs強調許多AI技術依賴個人資料的運用,這可能引發對個人偏見及歧視、不公平等問題。此外,本聲明中還表達了擔憂對這些問題可能透過深度偽造(Deepfake)技術及假訊息擴散,進一步對社會造成更廣泛的不良影響[8]。 基於上述考量,本聲明提出以下原則,納入G7 DPAs組織管理的核心方針[9]: 1. 以人為本的方法:G7 DPAs應透過資料保護來維護個人權利與自由,並在AI技術中提供以人權為核心的觀點。 2. 現有原則的適用:G7 DPAs應審視公平性、問責性、透明性和安全性等AI治理的核心原則,並確保其適用於AI相關框架。 3. AI核心要素的監督:G7 DPAs應從專業視角出發,監督AI的開發與運作,確保其符合負責任的標準,並有效保護個人資料。 4. 問題根源的因應:G7 DPAs應在AI的開發階段(上游)和應用階段(下游)找出問題,並在問題擴大影響前採取適當措施加以解決。 5. 善用經驗:G7 DPAs應充分利用其在資料領域的豐富經驗,謹慎且有效地應對AI相關挑戰。 二、《關於AI與兒童的聲明》 鑒於AI技術發展可能對於兒童和青少年產生重大影響,G7 DPAs發布本聲明表示,由於兒童和青少年的發展階段及其對於數位隱私的瞭解、生活經驗有限,DPAs應密切監控AI對兒童和青少年的資料保護、隱私權及自由可能造成的影響程度,並透過執法、制定適合年齡的設計實務守則,以及發佈面向兒童和青少年隱私權保護實務指南,以避免AI技術導致潛在侵害兒童和青少年隱私的行為[10]。 本聲明進一步闡述,當前及潛在侵害的風險包含[11]: 1. 基於AI的決策(AI-based decision making):因AI運用透明度不足,可能使兒童及其照顧者無法獲得充足資訊,以瞭解其可能造成重大影響的決策。 2. 操縱與欺騙(Manipulation and deception):AI工具可能具有操縱性、欺騙性或能夠危害使用者情緒狀態,促使個人採取可能危害自身利益的行動。例如導入AI的玩具可能使兒童難以分辨或質疑。 3. AI模型的訓練(Training of AI models):蒐集和使用兒童個人資料來訓練AI模型,包括從公開來源爬取或透過連線裝置擷取資料,可能對兒童的隱私權造成嚴重侵害。 三、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》 考慮到個人資料匿名化、假名化及去識別化能促進資料的創新利用,有助於最大限度地減少隱私風險,本文件旨在整合G7成員國對於匿名化、假名化與去識別化的一致理解,針對必須降低可識別性的程度、資訊可用於識別個人的程度、減少可識別性的規定流程及技術、所產生的資訊是否被視為個人資料等要件進行整理,總結如下: 1. 去識別化(De-identification):加拿大擬議《消費者隱私保護法》(Consumer Privacy Protection Act, CPPA)、英國《2018年資料保護法》(Data Protection Act 2018, DPA)及美國《健康保險可攜性及責任法》(Health Insurance Portability and Accountability Act , HIPAA)均有去識別化相關規範。關於降低可識別性的程度,加拿大CPPA、英國DPA規定去識別化資料必須達到無法直接識別特定個人的程度;美國HIPAA則規定去識別化資料須達到無法直接或間接識別特定個人的程度。再者,關於資料去識別化的定性,加拿大CPPA、英國DPA認定去識別化資料仍被視為個人資料,然而美國HIPAA則認定去識別化資料不屬於個人資料範疇。由此可見,各國對去識別化規定仍存在顯著差異[12]。 2. 假名化(Pseudonymization):歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)及英國《一般資料保護規則》(UK GDPR)、日本《個人資料保護法》(個人情報の保護に関する法律)均有假名化相關規範。關於降低可識別性的程度,均要求假名化資料在不使用額外資訊的情況下,須達到無法直接識別特定個人的程度,但額外資訊應與假名化資料分開存放,並採取相應技術與組織措施,以確保無法重新識別特定個人,因此假名化資料仍被視為個人資料。而關於假名化程序,日本個資法明定應刪除或替換個人資料中可識別描述或符號,歐盟及英國GDPR雖未明定具體程序,但通常被認為採用類似程序[13]。 3. 匿名化(Anonymization):歐盟及英國GDPR、日本個資法及加拿大CPPA均有匿名化相關規範。關於降低可識別性的程度,均要求匿名化資料無法直接或間接識別特定個人,惟可識別性的門檻存在些微差異,如歐盟及英國GDPR要求考慮控管者或其他人「合理可能用於」識別個人的所有方式;日本個資法則規定匿名化資料之處理過程必須符合法規標準且不可逆轉。再者,上述法規均將匿名化資料視為非屬於個人資料,但仍禁止用於重新識別特定個人[14]。 參、事件評析 本次圓桌會議上發布《關於促進可信賴AI的資料保護機構角色的聲明》、《關於AI與兒童的聲明》,彰顯G7 DPAs在推動AI治理原則方面的企圖,強調在AI技術蓬勃發展的背景下,隱私保護與兒童權益應成為優先關注的議題。與此同時,我國在2024年7月15日預告《人工智慧基本法》草案,展現對AI治理的高度重視,融合美國鼓勵創新、歐盟保障人權的思維,針對AI技術的應用提出永續發展、人類自主、隱私保護、資訊安全、透明可解釋、公平不歧視、問責等七項原則,為國內AI產業與應用發展奠定穩固基礎。 此外,本次圓桌會議所發布《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》,揭示各國在降低可識別性相關用語定義及其在資料保護與隱私框架中的定位存在差異。隨著降低可識別性的方法與技術不斷創新,這一領域的監管挑戰日益突顯,也為跨境資料流動越發頻繁的國際環境提供了深化協調合作的契機。在全球日益關注資料保護與隱私的趨勢下,我國個人資料保護委員會籌備處於2024年12月20日公告《個人資料保護法》修正草案,要求民間業者設置個人資料保護長及稽核人員、強化事故通報義務,並針對高風險行業優先實施行政檢查等規定,以提升我國在數位時代的個資保護水準。 最後,本次圓桌會議尚訂定《2024/2025年行動計畫》(G7 Data Protection and Privacy Authorities’ Action Plan)[15],圍繞DFFT、新興技術與跨境執法合作三大議題,並持續推動相關工作。然而,該行動計畫更接近於一項「基於共識的宣言」,主要呼籲各國及相關機構持續努力,而非設定具有強制力或明確期限的成果目標。G7 DPAs如何應對數位社會中的資料隱私挑戰,並建立更順暢且可信的國際資料流通機制,將成為未來關注的焦點。在全球共同面臨AI快速發展所帶來的機遇與挑戰之際,我國更應持續關注國際趨勢,結合自身需求制訂相關法規以完善相關法制,並積極推動國際合作以確保國內產業發展銜接國際標準。 [1]Office of the Privacy Commissioner of Canada [OPC], G7 DPAs’ Communiqué: Privacy in the age of data (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/communique-g7_241011/ (last visited Feb 3, 2025). [2]Id. at para. 5. [3]Id. at para. 7-9. [4]Office of the Privacy Commissioner of Canada [OPC], Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_ai/ (last visited Feb 3, 2025). [5]Office of the Privacy Commissioner of Canada [OPC], Statement on AI and Children (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_child-ai/ (last visited Feb 3, 2025). [6]Office of the Privacy Commissioner of Canada [OPC], Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/de-id_20241011/ (last visited Feb 3, 2025). [7]Office of the Privacy Commissioner of Canada [OPC], Statement on Generative AI (2023), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2023/s-d_20230621_g7/ (last visited Feb 3, 2025). [8]Supra note 4, at para. 11. [9]Supra note 4, at para. 18. [10]Supra note 5, at para. 5-6. [11]Supra note 5, at para. 7. [12]Supra note 6, at para. 11-15. [13]Supra note 6, at para. 16-19. [14]Supra note 6, at para. 20-25. [15]Office of the Privacy Commissioner of Canada [OPC], G7 Data Protection and Privacy Authorities’ Action Plan (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/ap-g7_241011/ (last visited Feb 3, 2025).
美國加密法案隨潮流再起緣起於2016年的加密法案(ENCRYPT Act),由於今年發生了臉書劍橋分析事件,以及歐盟GDPR的影響,本此法案再提的聲勢如浪潮襲來,不僅眾多議員附和,連企業(如:電子前線基金會Electronic Frontier Foundation,EFF)都予以支持。 加密法案的主要內容係以兩方面進行加密應用之保護, 各州州政府不得授權或要求產品或服務的製造商、開發商、銷售商或供應商,(A)設計或更改產品或服務中的安全功能,以供其進行監視或允許其進行實體搜索;(B)使其有能力解密或便於理解加密應用後的內容。 各州州政府不得禁止加密或類似安全功能的產品或服務,進行製造、銷售或租賃、提供銷售或租賃, 或向公眾提供覆蓋的產品或服務。此外,法案亦針對相關服務或產品的定義作了明確的說明。 本法案的主要提案者美國眾議員Ted Lieu指出,與加密或資料存取相關的問題,皆應在聯邦政府的層級進行討論,而就其本身電腦科學的專業,指出在各州間保有不同的加密應用執法標準,對資安、消費者、創新,以及執法本身都是不利的,引此本法案的推動旨在強化州際商業和經濟安全,以及網路安全問題,希望能對加密應用議題作全國性的討論,而不會損害使用者在過程中的安全性。
美國國家創新與創業諮詢委員會發布透過創業提高競爭力美國創新策略報告, 敦促政府消除創業活動障礙,促進新創公司發展美國國家創新與創業諮詢委員會(National Advisory Council on Innovation and Entrepreneurship, NACIE)於2024年2月8日發布「透過創業提高競爭力:美國創新策略」(Competitiveness Through Entrepreneurship: A Strategy For U.S. Innovation)報告,其確定改善與協助美國創業精神之三大關鍵領域,並提出十項建議,敦促政府消除創業活動障礙,增加新創公司獲得人才、資金之機會。 NACIE由企業家、創新者、投資人、學者與經濟發展領導者組成。由商務部長責成其確定如何使美國繼續成為改變典範之創新來源、以及將創新推向市場之泉源。NACIE於此報告中所確認之三大關鍵領域與十項建議之內涵簡述如下: (1)關鍵領域1:發展未來產業(Growing the Industries of the Future) 美國雖於能源、自動化、人工智慧、量子科學與生物科技等創新領域取得商業上之成功,但對於產業創新仍存有四大威脅,包括國家機關間之協調、研發投資之持續減少、大學研發產品商業化受阻與境外製造之風險。 建議1: 成立國家創新委員會(National Innovation Council),由科學技術政策辦公室主任(Director of the Office of Science & Technology Policy)擔任主席,成員包括相關內閣秘書、國家科學基金會(NSF)主任、美國專利商標局(USPTO)局長與美國首席技術長(Chief Technology Officer, CTO),倡導全國創新與創業並協調相關聯邦政府活動。 建議2: 恢復與擴大國家投資,使創新登月計畫成為可能—大幅增加聯邦對關鍵技術之研發投資,使美國在未來成長產業中發揮領導作用。 建議3: 啟動國家創新加速器網路(National Innovation Accelerator Network, NIAN)—一個由加速器、輔導、投資計畫與創業支持組織組成之虛擬“網路中之網路”(“network of networks”),旨在大規模增強社會各方面之包容性創業能力。 建議4: 為聯邦資助之研究與開發提供智慧財產權激勵措施;制定政策與激勵措施,促進聯邦政府資助之創新廣泛傳播與商業化;並促進將聯邦資助創新進行國內製造。 建議5: 積極與創新者、企業家與資助者合作,確保其擁有足夠之智慧財產權與網路安全教育與資源來保護其之想法與業務,並接受培訓以能夠識別與防止外國公司或國家潛在之智慧財產權盜竊。 (2)關鍵領域2:獲取資本(Accessing Capital) 美國前七大上市公司全部皆由創投所支持,於1990至2020年間,相較於私部門之雇用率上升40%,同一時期由創投支持之公司雇用率成長達960%;美國創投規模亦居於全球之冠,甚至某些城市之創投規模已超過其他國家,如2021年紐約之創投規模即相當於印度全國之規模。惟美國創投之問題在於投資機會未能平等,如女性、有色人種、非都會區較難獲得創投投資。 建議6: 透過制定新聯邦計畫,擴大企業家之成長資金管道,以支持各地更多企業家,特別是通常未受足夠服務之企業家。 建議7: 透過擴大直接資助與基於激勵(incentive-based)之聯邦計畫,增加資金並為新興基金經理提供機會,以便於全國更多處皆能有更多具有各種人口背景與專業之投資人。 建議8: 向投資於研發、種子輪或A 輪融資新創公司、女性與少數族群擁有之新創公司、以及保護與授權智慧財產權之公司與個人提供年度稅收抵免與激勵措施。 (3)關鍵領域3:培養創業人才(Developing Entrepreneurial Talent) 人才對於創業生態系之完整建構至為重要,美國一半以上之10億美元公司由移民創辦,三分之二之獨角獸公司由移民創辦或共同創辦,這些公司之創辦人中有25%是國際學生。 建議9: 透過提供導師、支持服務資金以及幫助吸引與培養關鍵人才,全面支持新高潛力企業家,旨在增加美國新創公司之數量與影響力。 建議10: 有系統地提供支持創業之工具與資源,打破任何人、任何地方之障礙,為新創業企業做出貢獻,以便美國未來能更快地創新。