美國涉密聯邦政府員工之機密資訊維護-保密協議(Non-disclosure Agreement, NDA)之使用
美國涉密聯邦政府員工之機密資訊維護-保密協議(Non-disclosure Agreement, NDA)之使用
科技法律研究所
2013年12月06日
壹、事件摘要
前美國海軍海豹部隊(SEAL)隊員Matt Bisonnette以化名Mark Owen出版 No Easy Day一書,內容主要描述狙殺Osama Bin Laden的規劃與執行,並蟬聯最佳暢銷書籍。美國國防部對Matt Bisonnette提出洩露國家機密之訴訟,及違反保密協議的規定。以下簡介美國對於聯邦政府官員的機密維護規範及措施,包括保密協議之使用、違反保密協議時對於該聯邦政府員工的追訴以及對於未經授權被揭露之機密資訊的防護;更進一步,聚焦探討美國以「保密協議」規範聯邦政府員工的方式,提供我國參考。
貳、重點說明
一、總統行政命令與機密資訊維護
傳統上,美國對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。總統第8381號行政命令,授權政府官員保護軍事與海軍基地;爾後,歷任總統便以發布行政命令的方式,建置聯邦政府的機密分級標準,以及各項為維護國家安全的各項法令規定與措施。不過,羅斯福總統係以經特定法規授權為由而發佈總統行政命令,羅斯福以後的總統則是基於一般法律與憲法授權[1],為維護國家安全之憲法上的責任而發佈總統行政命令;於此,國會則不停的以其他立法的方式,設法平衡總統行政權與國會立法權間權利[2]。
有關總統行政命令之效力,如其規範的主題相同時,新的行政命令效力將會取代前案行政命令。目前美國政府有關機密係根據歐巴馬總統於2009年所發佈總統第13526號行政命令,主題為「國家安全機密資訊(Classified National Security Information)」,其內容及效力取代前行政命令,修改美國聯邦法規第32章2001篇涉及國家安全之機密資訊(32 C.F.R. 2001 Classified National Security Information)[3],以及勾勒機密資訊分級、解密、機密資訊的處理等議題的框架。
二、涉及國家安全機密資訊之安全維護措施
依據總統第12958號行政命令,機關必須採取管控措施保護機密資訊,包括使用(Access)機密資訊的一般限制、分布機密資訊的控制,與使用機密資訊的特別計畫。第12958號行政命令Sec.4.2(a)規定使用機密資訊的一般限制[4]:聯邦政府員工使用機密資訊前,必需符合下列三大前提要件,包括通過「人員安全檢查(Personnel Security Investigation)」、簽署「保密協議」,與執行職務所「必要知悉(Need-to-know)」,才得以使用機密資訊[5]。
第一項前提要件為「人員安全檢查」,其安全檢查目的在於確定使用機密資訊人員的可信賴度(Trustworthiness),在相關部門或機構完成安全調查確認該人員的可信賴度之後,將授予通過安全檢查的資格,進而進入第二步驟「SF312保密協議」的簽署[6]。
第二項前提要件為簽署「保密協議」,係由美國總統指令所要求,並於總統行政命令所重申[7]凡涉及使用機密資訊之聯邦政府員工(Employee of the Federal Government)、承包商(Contractor)、授權人或受讓人(Licensees or Grantees)等,於使用機密資訊前,必須完成「保密協議」的簽署,否則不得使用。該「保密協議」在法律上為拘束簽署員工(前述通過安全檢查之人員)與美國政府間的契約(Contract)[8],簽署員工承諾,非經授權不得向未經授權之人揭露機密資訊[9]。
「保密協議」的主要目的在於「告知(Informed)」簽署員工:
1.因信任該員工而提供其使用機密資訊;
2.簽署員工保護機密資訊不得未經授權揭露的責任;與
3.未能遵循協議條款後果。
第三項要件係說明政府聯邦員工得使用機密資訊的範圍,以該員工執行職務所「必要知悉(Need-to-know)」為限。
三、保密協議
「保密協議」(Classified Information Non-disclosure Agreement,一般簡稱為NDA)為機密資訊安全維護措施之一,美國政府藉由該契約協議的內容條款,確立信任關係、責任的範圍,以及未遵循契約條款的後果,並得以此協議防止簽署人未經授權揭露機密資訊,或簽署人有違反情事,對其提起民事或行政訴訟[10]。
通過安全查核者(Security Clearance),將被授與特權(Privilege),此權限不是與生俱來的權利(Right)。當獲得使用機密資訊的特權時,使用人必須背負相對的責任。簽署人一旦簽署與美國政府之間具法律拘束力的「保密協議」,即表示同意遵守保護機密資訊的程序,並於違反協議條款時,受到相對的處罰[11]。
美國利用「保密協議」約束員工對於機密資訊的保護,要求員工於發佈資訊之前,必須將內容提交機構進行審查。著名的案子為Snepp v. United States,最高法院對於「中央情報局(Central Intelligence Agency, CIA)」的前情報員,強制執行所簽署的保密協議,因前員工未遵守與中央情報局間的協議條款,亦即於出版書籍之前,先行提交出版內容給中央情報局審查的約定,中央情報局進而對該書籍的利潤施以法定信託(Constructive Trust),即使中央情報局最終的判斷內容未含機密資訊[12],也不影響該決定的效力。
(一)「保密協議」的法源基礎
在數個與國家安全機密資訊相關的總統行政命令中,現行「保密協議」所依據法源為總統第12958號行政命令 。第12958號行政命令規定,由「資訊安全監督局」(Information Security Oversight Office, ISOO)負責監督行政部門與政府機關對於「涉及國家安全之機密資訊」的創建或處理事宜[13]。
資訊安全監督局局長為遂行涉及國家安全機密資訊之維護,於1983年頒佈「國家安全決策第84號指令」(National Security Decision Directive No. 84, NSDD 84)[14]規範進行國家安全機密資訊之維護。雖然「保密協議」曾經被挑戰,但卻一直受到聯邦法院(包括最高法院)的支持,為具有法律拘束力和合憲性的文件[15]。
「國家安全決策第84號指令」規定,凡通過安全檢查之人員[16],必須完成簽署制式保密協議,並待生效後,才得以使用機密資訊。換句話說,相關人員必須以有效的保密協議為條件,才得以使用機密資訊。
「保密協議」應經過「國家安全委員會(National Security Council)」批准,與「司法部(Department of Justice)」的審查,而為法院可執行,而且機關不得接受經簽署員工單方修改用語的「保密協議」[17]。
目前「保密協議」版本稱為312制式表格(Standard Form 312),以下簡稱「SF312保密協議」[18]。
(二)「SF312保密協議」關於(Classified Information)的定義[19]
「SF312保密協議」的「機密」係指標示或未經標示的機密資訊,包括非書面的口述機密資訊,以及雖未歸屬於機密資訊但符合第12958號總統行政命令Sec. 1.2或1.4 (e)的規定[20],符合機密資訊的標準,或依據其他總統行政命令或法規是否為機密的確認期間(Pending)先行提供機密資訊保護的資訊;但並不包含在將來可能會被歸屬於機密,但目前尚未進入機密分級過程中的資訊[21]。
歐巴馬政府有關國家機密資訊之第13526號行政命令[22],於機密資訊安全維護部分之內容,仍與第12958號總統行政命令相同[23]。得使用機密資訊之人員僅限向相關主管機關首長展現其使用的資格,並簽署保密協議者,且限於其職務所必要知悉的範圍內,使用機密資訊。
(三)違反「SF312保密協議」的責任[24]
若「SF312保密協議」的簽署員工「知悉或應合理知悉(Knows or Reasonably Should Know)」,該資訊為已標示或未經標示的機密資訊,抑或符合機密資訊的標準但仍處於確認過程的資訊,而其行為將導致或於合理情形下可能導致未經授權揭露機密資訊,則可能需負未經授權揭露機密資訊的法律責任。因此,如於揭露資訊的當時,無根據可認定該資訊為機密資訊或可能成為機密資訊時,該簽署員工不會因為揭露該資訊,而需負未經授權揭露機密資訊的責任[25]。
另外,直至正式解密(Officially Declassified),機密資訊不因已被揭露於公共來源(Public Source),例如大眾媒體,而解密。不過,如僅於公共來源以抽象的方式引述該筆機密資訊,並非屬於再度未經授權揭露機密資訊[26]。
「SF312保密協議」簽署員工於資訊傳遞前,或確認公共來源資訊的正確性時,需先行向有權機關確認該資訊已被解密;若該員工未進一步履行確認資訊機密性,而逕進行資訊傳遞或確認資訊正確性時,該行為將成屬於未經授權揭露機密資訊[27]。
(四)「SF312保密協議」的有效期間
「SF312保密協議」載明,保密協議對於簽署員工的拘束力,從被授權使用機密資訊之時點開始,該員工終身均負保密義務[28]。
該條款明白表示,國家安全敏感性相關的機密資訊,與任一特定個人安全檢查資格的有效期間,並不相關。易言之,未經授權揭露機密資訊對美國所造成的傷害,並不取決揭露人的身分而有不同[29]。
是以,實務上,機關多以違反「保密協議」為訴因,對退職或離職之員工,進行民事或行政訴訟。
「SF312保密協議」所規範的保密義務,適用於所有機密資訊,然而,若某特定資訊已經解密,則按照「SF312保密協議」的規定,該簽署員工則不具持續保密的義務。此外,該「SF312保密協議」的簽署員工,還得發動強制性審查的請求,尋求解除特定的資訊的密等,包括該簽署員工具有使用權限的機密資訊[30]。
(五)違反「SF312保密協議」美國政府可採取的行動
聯邦政府員工如有明知、故意或因過失而未經授權揭露機密資訊,或任何合理預期可能導致未經授權揭露機密資訊之情事,機關首長或資深官員必須即刻通知資訊安全監督局,並採取「適當和及時的校正行動」[31]。
基於「SF312保密協議」,對於未經授權揭露機密資訊事件,美國政府可能至美國聯邦法院提起民事與行政訴訟。
民事訴訟可能分為禁制令(Injunction)、民事金錢損害賠償,與所得利益的追討。
1.禁制令
請求聯邦法院申請發佈禁制令,以禁止公布與以其他方式揭露該機密資訊。例如 United States v. Marchetti案,聯邦法院發佈禁制令,防止前中央情報局情報員以出版書籍的方式揭露機密資訊[32];或是國務院以撤銷護照的方式,管制人員出境(儘管該人員出國的目的為暴露秘密情報員的身分,擾亂情報工作,而非協助他國政府)[33]。
2.金錢損害賠償
向該員工請求美國政府因未經授權揭露機密資訊所造成損失之金錢的損害賠償。
3.所得利益之追討
償還美國政府因未經授權揭露機密資訊所得之相對代價,或其他金錢或財產上的所得[34]。
如「SF312保密協議」簽署員工違反協議,則美國政府可對其進行行政裁處與處罰,包括譴責(Reprimand)、暫時吊銷(Suspension)聯邦政府員工資格、降級(Demotion),或甚至撤職(Removal),並可能被取消通過安全檢查的資格[35]。
雖然,聯邦政府員工於違反「SF312保密協議」時,美國政府得以違反契約(SF312保密協議)為訴因,向簽署員工提起民事或行政訴訟;不過,如果該員工的行為亦已違反其他刑事規定,政府也可能同時對該洩密員工提起刑事訴訟[36]。但是,法制上並不存在總括性(Blanket Prohibition)規定,處罰所有未經授權揭露涉及國家機密資訊的處罰[37]。
例如,機關得依據18 U.S.C. §798揭露機密資訊(Disclosure of Classified Information)提起刑事訴訟,美國政府必須設法證明符合該條文的構成要件的故意,與該當法條所規定揭露機密資訊要件之狀況。該刑事的舉證責任,比起違反保密協議的舉證責任重了許多;不過,相對的,如政府可舉證證明,其處罰也會比違反保密協議重了許多,不是只有因洩密行為而獲得的利益被沒收,法院還得處以監禁(Incarceration)與罰金(Fines)[38]。
參、事件評析
美國規範認定,使用機密資訊的權限為被授與的特權,而不是與生俱來的權利。美國聯邦政府利用與員工之間的雇用關係,透過保密協議(契約關係)的方式,規範該政府員工對於機密資訊的維護,載明雙方的關係、政府員工的保密責任,以及違反保密協議的後果,並強調該保密協議的效力,一直持續至該員工的終身,這意味著,政府員工於不具安全檢查的資格之後,或甚至是退離職之後,仍受保密協議的拘束。
除了對於員工本身的權利義務與罰則加以規範之外,美國政府亦特別著重於資訊的快速擴散性與保持機密性的需求,對於未經授權而揭露的機密資訊,利用違反保密協議(違約)(Breach of Contract)為手段,儘量減少機密資訊擴散的程度。例如,美國政府對政府員工提起告訴時,以舉證責任來看,證明違反保密協議民事的舉證責任,比需要證明行為人違反刑法規定的刑事舉證責任為輕。再者,透過禁制令的方式,凍結並維持資訊的「現有狀態(Status Quo)」,並且還得於提起民事訴訟的同時,提起刑事。
[1]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 1,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
[2]同上註。例如1966年「資訊自由法 (Freedom of Information Act, FOIA) 」, 1995年「情報授權法 (Intelligence Authorization Act)」、2000年「公共利益解密法 (Public Interest Declassification Act)」,與2012年「減少過度加密法 (Reducing Over-Classification Act)」。
[3]美國聯邦法規第32章2001篇, 32 C.F.R.2001,http://www.law.cornell.edu/cfr/text/32/2001 (last accessed May 11, 2013).
[4]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013).
(a) A person may have access to classified information provided that:
(1) a favorable determination of eligibility for access has been made by an agency head or the agency head's designee;
(2) the person has signed an approved nondisclosure agreement; and
(3) the person has a need-to-know the information.
[5]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.1, http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013).
[6]同上註。
[7]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013).
[8]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(a) (n.d.), P.55,http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
“SF 312, SF 189, and SF 189-A are nondisclosure agreements between the United States and an individual. The prior execution of at least one of these agreements, as appropriate, by an individual is necessary before the United States Government may grant that individual access to classified information…”.
[9]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013).
[10]同上註。
[11]Western Region Security Office, Protecting Classified Information, http://www.wrc.noaa.gov/wrso/security_guide/intro-4.htm (last accessed May 11, 2013).
[12]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
[13]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
See Snepp v. United States, 444 U.S. 507 (1980), noting the remedy in Snepp was enforced despite the agency’s stipulation that the book did not contain any classified information.
[14]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013).
ISOO, National Security Decision Directive No. 84(n.d.), https://www.fas.org/irp/offdocs/nsdd/nsdd-84.pdf (last accessed May 11, 2013).
[15]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.65, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
保密協議曾有SF189與SF189-A版本,與現行SF312版,不論那一版本的保密協議,均經過司法部專家依據當時或現有法律進行審閱,並確認保密協議的的合憲性和可執行性。最近有關SF189的訴訟,仍維持保密協議基本的合憲性和合法性。
[16]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.66-67, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
除憲法上被「視為」符合「可信任性(Trustworthiness)」的下列人員外,其他的人員必須符合三項前提要件(包括簽署保密協議),才得以使用機密資訊。「視為」具「可信任性」的人員包括:總統、副總統、國會議員、最高法院法官,與其他由總統提名並經參議院同意的聯邦法院法官,不需以簽署與持已生效的保密契約為條件,即可使用機密資訊。然而,國會議員仍然是以執行職務(立法功能)所「必要(Need-to-know)」的範圍內為限,例如,該國會議員為負責監督秘密情報部門計畫的委員會,該國會議員與該機關首長,仍必須簽署保密協議或其他類似文件後,才得以使非行政機關人員使用機密資訊。
[17]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.71, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
[18]NARA/ISOO, Standard Form 312, http://www.archives.gov/isoo/security-forms/sf312.pdf (last accessed May 11, 2013).
[19]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(1)&(2) (n.d.), P.56-57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
[20]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013).
Sec. 1.2. Classification Standards.
(a) Information may be originally classified under the terms of this order only if all of the following conditions are met:
(1) an original classification authority is classifying the information;
(2) the information is owned by, produced by or for, or is under the control of the United States Government;
(3) the information falls within one or more of the categories of information listed in section 1.5 of this order; and
(4) the original classification authority determines that the unauthorized disclosure of the information reasonably could be expected to result in damage to the national security and the original classification authority is able to identify or describe the damage.
Sec. 1.4. Classification Authority.
(e) Exceptional cases. When an employee, contractor, licensee, certificate holder, or grantee of an agency that does not have original classification authority originates information believed by that person to require classification, the information shall be protected in a manner consistent with this order and its implementing directives. The information shall be transmitted promptly as provided under this order or its implementing directives to the agency that has appropriate subject matter interest and classification authority with respect to this information. That agency shall decide within 30 days whether to classify this information. If it is not clear which agency has classification responsibility for this information, it shall be sent to the Director of the Information Security Oversight Office. The Director shall determine the agency having primary subject matter interest and forward the information, with appropriate recommendations, to that agency for a classification determination.
[21]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.70, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
[22]White House, Executive Order 13526 Classified National Security Information (2009), http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed May 11, 2013).
[23]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
[24]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(3) (n.d.), P.57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
[25]同上註。
[26]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.73, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
[27]同上註。
[28]同上註。The terms of the SF 312 specifically state that all obligations imposed on the signer “apply during the time [the signer is] granted access to classified information, and at all times thereafter.”
[29]同上註。
[30]同上註。
[31]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
[32]同上註,at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
See United States v. Marchetti, 466 F.2d 1309 (4th Cir. 1972).
[33]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
See Haig v. Agee, 453 U.S. 280 (1981).
[34]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013).
[35]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013) & Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10-11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
失去通過安全檢查的資格可能導致失去政府員工的工作機會;另外,除可能被追討金錢的損害賠償外,該名員工如果亦違反「間諜法(Espionage Act)」與「原子能法(Atomic Energy Act)」的相關條款,還有可能喪失退休金(Retirement Pay)或年金(Annuities)。
[36]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.74, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013).
[37]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013).
[38]Caitlin Tweed, SEAL Team Six Member’s Next Battle Could be in Court (2012), NATIONAL SECURITY LAW BRIEF,
http://nationalsecuritylawbrief.com/2012/09/12/seal-team-six-members-next-battle-could-be-in-court/ (last accessed May 11, 2013).
法國國家資訊自由委員會(CNIL)於2023年10月16日至11月16日進行「人工智慧操作指引」(AI how-to sheets)(下稱本指引)公眾諮詢,並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則(GDPR)之作法,以期在支持人工智慧專業人士創新之外,同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下: 1.指引涵蓋範圍:本指引限於AI開發階段(development phase),不包含應用階段(deployment phase)。開發階段進一步可分為三階段,包括AI系統設計、資料蒐集與資料庫建立,以及AI系統學習與訓練。 2.法律適用:當資料處理過程中包含個人資料時,人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的:CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則,由於資料應該是基於特定且合法的目的而蒐集的,因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何,方能決定GDPR與其他原則之適用。 4.系統提供者的身分:可能會是GDPR中的為資料控管者(data controller)、共同控管者(joint controller)以及資料處理者(data processor)。 5.確保資料處理之合法性:建立AI系統的組織使用的資料集若包含個人資料,必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估(DIPA)。 7.在系統設計時將資料保護納入考慮:包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護:具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的,以及設定明確的資料保留期限,實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說,更新AI相關規範知識非常重要,CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。
英國Ofcom「個資與隱私」報告針對告知消費者個資使用方式以及確保消費者對個資利用之參與及意見表達,英國通訊傳播管理局(The Office of Communications, Ofcom)於2015年6月17日公布委託德國顧問公司WIK-Consult進行之「個資與隱私」(Personal Data and Privacy)報告。報告指出,雖然法規要求在處理個資前必須獲取相關消費者的告知同意,但事實是消費者並未在線上實際閱讀隱私權政策條款,這個問題則由於智慧聯網大幅促進了裝置間的互聯性與資料的流通而更形嚴重。報告表示,雖然資料流通的本質不變,但僅因互聯裝置數量倍增就足以讓可近用與分析的資料呈等比級數成長,要在線上對這些遍及生活各層面的資料進行追蹤也就難上加難。 對於這個起因於智慧聯網興起的問題,報告認為政府可能必須利用更複雜的契約關係加以規範。因為隱私權政策要能透明,必須指出究竟是哪些人會在何時以哪種方式為了何等目的去近用相關資料,但這勢必會讓隱私權政策條款更加冗長,這不但與隱私權政策盡可能應簡潔易懂相違,消費者也更不可能實際去閱讀。此外報告也指出,機台或裝置在智慧聯網下能夠在幾乎沒有人為介入的情況下進行溝通,此將大幅壓縮消費者能夠得知個資蒐集與使用方式的機會,智慧聯網也讓消費者可能根本沒有察覺其正在使用的裝置實際上已經與網路連線。另一方面,隨著互聯複雜性的大幅提高,有意或無意揭露個資也將帶來更多的潛在不利影響。
韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法(半導體特別法)》韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法(半導體特別法)》 資訊工業策進會科技法律研究所 2022年3月23日 韓國政府意識到在高科技產業競爭環境中培育知識人才,以及保護國家戰略產業發展的重要性。2019年修訂《防止產業技術外流及產業技術保護法》(下稱產業技術保護法),針對國家核心技術外流及侵害行為加以重罰外;復於2021年12月提出《國際霸權技術競爭下之科技保護策略》(下稱韓國科技保護策略),並於2022年2月3日通過《加強保護國家高科技戰略產業競爭力特別措施法》[1],於同年8月4日生效。分別說明如下: 壹、韓國高科技保護機制發展趨勢 韓國核心科技保護法制體系的特色,是在《防止不當競爭及營業秘密保護法》禁止竊密及《對外貿易法》出口管制之外,訂定了保護產業技術之專法《產業技術保護法》,並以韓國科技保護策略,宣告政府科技保護策略整體方針。 一、產業技術保護法 (一)立法目的 韓國於2006年10月27日制定《產業技術保護法》,該法第1條載明該法立法目的為:「防止工業技術的過度洩露和保護工業技術,以加強韓國工業的競爭力,促進國家安全和國民經濟的發展。」該法規範之國家核心技術係指在國內外市場中,具有較高經濟價值或高度產業成長潛力之技術,此類技術若外洩到國外,對於國家的安全保障及國民經濟發展,將造成重大惡劣影響之虞。 (二)產業技術保護委員會選定國家核心技術防止外流 《產業技術保護法》規定由產業通商資源部部長擔任產業技術保護委員會的委員長,成員包括財政部、教育部、科學部、外交部、法務部、國防部、農林部、保健部、環境部、交通部、海洋部、中小事業部次長、智慧局局長以及民間代表。 各部會由主管業務之產業技術範圍中選定國家核心技術名單,再由產業通商資源部部長及各主管部會部長選定國家核心技術,最後經由產業技術保護委員會經法定程序予以指定、變更、撤銷。該委員會主要根據該產業技術對國家安全保障及國民經濟衍生效益、國內外市占率,以及產業影響力,來進行考量國家核心技術清單,在每年2月底檢討前一年度執行情形,並於10月底更新下一年度國家核心技術及其保護計畫,決定國家核心技術清單。2021年1月產業技術保護委員會審議通過之「國家核心技術指定項目公告」修訂版,指定之國家核心技術包括半導體、顯示器、資通訊、電機電子、機械、機器人、鋼鐵、造船、交通、航太、核能、生命科學等12大領域共71項。 (三)防止國家核心技術外流加重罰則 《產業技術保護法》先後經歷8次修法強化保護力道,最新一次修法是在2019年8月,修法內容包括加強外資管控,凡是國外併購、合併,無論技術是自行開發或政府資助,皆須向政府申報,如果政府認為有影響國安之虞,可下令暫停或禁止;另外是加強技術保護責任,要求國家核心技術之持有及管理者採取必要的保護措施;修法前對於技術外流之懲罰規定僅設有上限(15年有期徒刑及15億韓元),故增訂技術外流至海外之最低罰則為3年以上有期徒刑及15億韓元罰金。 二、韓國科技保護策略 韓國政府2021年12月宣布之科技保護策略,旨在制定各部會科技保護策略方針,以避免韓國核心技術不法外流。該保護策略宣告: (一)將定期檢視國家核心技術之指定、變更與撤銷。 (二)針對國家核心技術清單制定一定執行期間(如5-10年,視技術項目而定)。 (三)規劃於2023年修正《產業技術保護法》,針對外資的認定,增訂間接持股、雙重國籍等情事。 (四)以過去出口管制之企業、投資審查之對象為基礎,將可能持有國家核心技術之企業登錄、加強管制,並建立國家核心技術專家資料庫,以持續監控其出入境。 (五)規劃跨部會合作,包括應用智慧財產局的專利資料庫,認定擁有國家核心技術之相關人員或機構。 貳、《加強保護國家高科技戰略產業競爭力特別措施法》 《加強保護國家高科技戰略產業競爭力特別措施法》(下稱半導體特別法),在《產業技術保護法》之「國家核心技術」外,額外定義「國家高科技戰略技術」,除出口、併購應依現行《產業技術保護法》事先取得產業通商資源部許可外。對於不法侵害國家高科技戰略技術,訂定更嚴厲的罰則;同時針對相關產業提供系統性支援措施。 一、成立由韓國總理主導的「國家高科技戰略產業委員會」,制定5年戰略產業培育及保護的基本計畫。 委員會組成:提高管理層級,由總理為主席,成員包括部會首長、產學研專家,委員人數不超過20名,並由產業通商資源部擔任秘書處。 各領域專門委員會:為協助委員會審查和事先審議,各戰略產業領域得設立專門委員會,每領域委員不超過10名,各專門委員會之主席由「國家高科技戰略產業委員會」主席根據部會首長推薦任命之。 二、「國家高科技戰略技術」由「國家高科技戰略產業委員會」指定,定義為: 影響國家及經濟安全重大者,例如影響供應鏈穩定之半導體技術。 具成長潛力、技術困難度及產業重要性者。 對於相關產業具重大漣漪效益者。 「國家高科技戰略產業」則指研究、開發、商業化國家高科技戰略技術,或以國家高科技戰略技術為基礎,商業化生產產品或服務的產業。 三、加重不法侵害國家高科技戰略技術的罰則:意圖在境外使用或使技術在外國使用,而不法侵害國家高科技戰略技術者,處15年以下有期徒刑、15億韓元以下罰金;未取得許可出口、投資併購而不法侵害國家高科技戰略技術者,處15年以下有期徒刑、15億韓元以下罰金。 四、中央及地方政府應制定培育、保護國家高科技戰略產業必要的政策。有關國家高科技戰略技術的保護,除半導體特別法有規定外,依《產業技術保護法》之規定。< 五、為支持國家高科技戰略產業,提供加速辦理許可、迅速處理環安或職安民事投訴、投入政府預算、減免稅金、培育專業人才等方案。 六、為穩定國家高科技戰略產業供應鏈,政府因自然災害或國際貿易形勢導致相關技術供需穩定有疑慮時,經營者、進出口、運輸、倉儲業者或國營事業,應依據總統令,以六個月為期限,於期間內辦理生產計畫、國內優惠供應方案或設施擴建等事項。 參、代結論:韓國本次《半導體特別法》評析 韓國《半導體特別法》在認定國家高科技戰略技術時,將民間企業或專家的意見,納入國家高科技戰略技術認定與管制機制的決策程序中,綜合考量該技術對國家及經濟安全、技術成長潛力等影響,在最小必要範圍內選定之。另,《半導體特別法》亦特別提出國家高科技戰略產業發展的優惠政策方案,讓該些產業雖因其重要性須受嚴厲管制,但同時也得到政府加速辦理許可、減免稅金等支持。就韓國本次修法,在其認定重要技術的評估方法,以及提供對應配套機制上,值得做為我國未來在保護重要高科技產業做法上的參考。 [1] Cabinet passes National High-Tech Strategic Industries Special Act, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911 (last visited 2022/03/20)
亞利桑那州可望通過情色報復法,美國防治情色報復將再添一州美國亞利桑那州曾於2014年通過違反本人意願散布隱私內容之條文(泛稱為情色報復法Revenge Porn Law),構成要件未涵蓋行為人需有傷害的主觀不法構成要件,只要未經本人同意散布隱私內容即有可能觸犯本法而被判重罪(Felony),最高將可處三年又九個月之有期徒刑。然而,因構成要件過於廣泛,甚至未排除具新聞、藝術、教育價值之內容,未考慮本人之隱私期待性和傷害有無,美國公民自由聯盟遂代表出版業、媒體業和攝影業等,以該條文侵害言論自由有違憲之虞,於同年9月向亞利桑那州提告。該案於2015年7月10日達成和解,亞利桑那州地方法院宣告該條文將不會生效施行。 在經過漫長的修法後,亞利桑那州參議院最終於2016年3月7日無異議通過情色報復法之最新修法法案(House Bill 2001),待州長簽署核准後便立即生效施行。本次修法與2014年的版本不同處為,檢察官需證明隱私內容之本人具有合理的隱私期待,若被害人曾將自拍的影像寄送與他人,更需證明被害人未有分享的意思。此外,檢察官需證明行為人具有意圖傷害、騷擾、威脅或迫使他人之主觀意思。在此條文尚未通過前,實務上已有檢察官多次反應現行法無從對違反本人意願散布隱私內容之行為論罪,至多僅能以網路跟蹤或霸凌法等追究,對受害人保護甚為不周。