美國對於智慧聯網 IoT 環境隱私保障展開立法工作

　　歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則（GDPR）第22條規定發布「自動化個人決策和分析指引」（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，2018年2月6日進一步修正，下稱指引），處理對個人資料自動化決策（automated decision-making）和個人檔案剖析（Profiling）的建立。 　　指引分為五個部分與最佳實踐建議，旨在幫助資料控制者（controller）合乎GDPR對個人資料自動化決策和分析的要求，內容包括下幾點：1.定義自動化決策和分析，以及GDPR對這些概念的處理方法；2.對GDPR第22條中關於自動化決策的具體規定；3.對自動決策和分析的一般規定；4.兒童和個人檔案剖析（Profiling）的建立；5.資料保護影響評估。 　　指引的主要內容包括： 　　個人檔案剖析（Profiling），意謂收集關於個人（或一群個人）的資料，並分析他們的特徵或行為模式，加以分類或分群，放入特定的類別或組中，和/或進行預測或評估（例如，他們執行任務的能力，興趣或可能的行為）。 　　禁止對個人資料完全自動化決策，包括有法律上法或相類重大影響的檔案剖析，但規則也有例外。應有措施保障資料主體的權利，自由和合法利益。 　　GDPR第22條第二項a之例外規定，（履行契約所必需的），自動化個人決策時，應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性，同時考慮是否可以採取侵害隱私較少之方法。 　　工作小組澄清，關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時，控制者應以簡單的方法，告訴資料主體其背後的理由或依據的標準，而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。 　　對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料，其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如，在信用評等的情況下，應有權知道其資料處理的基礎，資料主體並能對其作出正確與否的決定，而不僅僅是關於決策本身的資料。 　　「法律效果」是指對某人的法律權利有影響，或者影響到個人法律關係或者其契約上權利。 　　工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定，指出僅在某些情況下才有其適用（例如，保護兒童的福利）。 　　在基於自動化處理（包括分析）以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下，進行資料保護影響評估並不局限於「單獨」自動化處理/決定。

　　美國聯邦政府於2013年12月啟動「挑戰智慧美國」(the SmartAmerica Challenge)計畫，目標是匯集產官學研以呈現網實整合系統(Cyber-Physical System, CPS)與智慧聯網如何能夠創造就業機會、新的商業機會、以及為美國帶來社經上之利益。2014年6月，24個技術團隊及超過100個組織機構共同於華府進行智慧聯網應用展示，藉此展現智慧聯網如何促進運輸、緊急服務、健康照護、安全、節能、以及製造。於整合性之解決套案上，「挑戰智慧美國」計畫選定加州的聖荷西市(The City of San Jose)，由聖荷西市政府與Intel公司共同建立「智慧聯網智慧城市示範平台」(IoT Smart City Demonstration Platform)。研究團隊於城市各處廣泛裝置感測器，蒐集空氣品質、噪音、交通流量、能源效率等相關資料，藉此試驗城市如何利用智慧聯網技術來改善在地市民的整體生活。在我國，2014年則可稱為智慧城市發展元年，經濟部技術處與工業局等中央政府機關與新北市、桃園縣、新竹市、台中市等地方政府皆相繼投入並推動智慧城市計畫。搭配軟硬體之技術整合與相關產業之參與、以及法人與學術機構之投入，我國透過智慧聯網與網實整合系統以發展智慧城市之未來值得期待。

歐盟資料保護委員會（European Data Protection Board, EDPB）於2023年12月13日回覆歐盟執行委員會（European Commission, EC）有關Cookie協議原則草案（Cookie Draft Pledge Principles）之諮詢。該草案旨在處理「Cookie疲勞」（Cookie fatigue）所造成的隱私權保護不周全之處。 在電子通訊隱私指令（ePrivacy Directive）以及GDPR規範下，由於現行同意機制複雜，造成用戶對Cookie感到疲勞，進而放棄主張隱私偏好。 為了避免「Cookie疲勞」，EDPB提出以下原則和建議，大致可以分為三點： 一、簡化Cookie不必要的資訊 1.基本運作所需之Cookie（essential cookies）無需用戶同意，故不必呈現於同意選項，以減少用戶需閱讀和理解的資訊。 2.關於接受或拒絕Cookie追蹤的後果，應以簡潔、清楚、易於選擇的方式呈現。 3.一旦用戶拒絕Cookie追蹤，一年內不得再次要求同意。 二、確保資訊透明 1.若網站或應用程式的內容涉及廣告時，應在用戶首次訪問時進行說明。 2.不僅是同意追蹤的Cookie，用於選擇廣告模式的Cookie，仍需單獨同意。 三、維持有效同意 1.應同時顯示「接受」和「拒絕」按鈕，提供用戶拒絕Cookie追蹤的選項。 2.在提供Cookie追蹤選項時，除了接受全部的廣告追蹤或付費服務外，應提供用戶另一種較不侵犯隱私的廣告形式。 3.鼓勵應用程式提前記錄用戶的Cookie偏好，但強調在用戶表達同意時必須謹慎處理，預先勾選的「同意」不構成有效同意。 EC表示，該草案目的在於簡化用戶對Cookie和個人化廣告選擇的管理，雖然為了避免Cookie疲勞而簡化資訊，仍應確保用戶對於同意Cookie追蹤，是自願、具體、知情且明確的同意。將於後續參考EDPB之建議，並與利害關係人進行討論後，制定相關法規。

英國技術大臣（U.K. Secretary of State for Science）蜜雪兒·多尼蘭（Michelle Donelan）和美國商務部長（U.S. Secretary of Commerce）吉娜·雷蒙多（Gina Raimondo）於2024年4月1日在華盛頓特區簽署一份合作備忘錄（MOU），雙方將共同開發先進人工智慧（frontier AI）模型及測試，成為首批就測試和評估人工智慧模型風險等進行正式合作之國家。 此備忘錄之簽署，是為履行2023年11月在英國的布萊切利公園（Bletchley Park）所舉行的首屆人工智慧安全峰會（AI Safety Summit）上之承諾，諸如先進AI的急速進步及濫用風險、開發者應負責任地測試和評估應採取之適當措施、重視國際合作和資訊共享之必要性等等，以此為基礎羅列出兩國政府將如何在人工智慧安全方面匯集技術知識、資訊和人才，並開展以下幾項聯合活動： 1.制定模型評估的共用框架（model evaluations），包括基礎方法（underpinning methodologies）、基礎設施（infrastructures）和流程（processes）。 2.對可公開近用模型執行至少一次聯合測試演習（joint testing exercise）。 3.在人工智慧安全技術研究方面進行合作，以推進先進人工智慧模型之國際科學知識，並促進人工智慧安全和技術政策的一致性。 4.讓英、美兩國安全研究所（AI Safety Institute）間的人員互相交流利用其團體知識。 5.在其活動範圍內，依據國家法律、法規和契約規定來相互共享資訊。 換言之，兩國的機構將共同制定人工智慧安全測試之國際標準，以及適用於先進人工智慧模型設計、開發、部署、使用之其他標準。確立一套通用人工智慧安全測試方法，並向其他合作夥伴分享該能力，以確保能夠有效應對這些風險。就如英國技術大臣蜜雪兒·多尼蘭強調的，確保人工智慧的安全發展是全球性問題，只有通過共同努力，我們才能面對技術所帶來的風險，並利用這項技術幫助人類過上更好的生活。