美國參議員提出「消費者網路視訊選擇法」草案

　　繼YouTube對美國總統大選的影響力逐漸受到各界矚目後，大西洋彼岸的歐盟執行委員會（European Commission），也漸體認到影音分享網站在商業應用外，對言論傳播乃至於政治活動之潛在影響。 　　有鑑於此，歐盟執行委員會甫於上月二十九日，於YouTube網站上增置一個名為 “EU Tube” 的視聽頻道，以做為歐盟（European Union）官方和歐洲公民間的溝通渠道。 　　關於此種利用線上影音分享網站作為政府資訊傳播和政策公開宣傳的創舉，有幾點值得國內注意。 　　首先，此一歐盟執行委員會與YouTube簽訂的頻道協議，乃是非專屬的協定。換言之，歐盟執行委員會仍可同時與其他網站或媒體簽訂類似之服務協議。其次，EU Tube之內容亦不僅限於硬性的政策或行動討論，而包含了從氣候變遷、能源議題到移民等各種公民相關事項，甚至有內容大膽的 ”Film Lovers Will Love This!” 的前衛影片。更有甚之，使用者對於不同影音檔點擊觀看次數（有數百萬人次與僅一千人次的差異）的資訊，也可作為日後進一步分析利用的原始資料。不過，雖然歐盟極力推動其內部之語言多樣性，目前既有的影片仍以英文為主。 　　歐盟發言人強調，納入YouTube等網站為對外溝通管道的作法，是為了盡可能擴大與歐盟公民的聯繫，但主要仍以易受YouTube吸引的年輕人為主。由此可見，網路網路對不同年齡層、世代的影響仍有差異，而公領域與影音分享網站日漸深化的關係，也考驗傳統媒體和政治互動的準則。

　　紐約市議員Justin Brannan於2019年7月23日向紐約市議會提交一項內容為禁止電信公司和手機應用程式開發商與第三方共享客戶位置資訊（location data）的法案（Int 1632-2019, Prohibition on sharing location data with third parties.）。 　　該法案原則上，禁止電信公司和手機應用程式開發商與第三方（例如：行銷人員）共享客戶的位置資訊，主要原因在於一般客戶並不清楚自己的位置資訊被共享給第三人，且對於第三人取得其位置資訊後的利用行為存有疑慮。又，位置資訊應屬個人隱私的一部分，故未取得客戶本人同意，即共享其位置資訊無疑是對客戶個人隱私的侵犯。如公司違反法案規定，執法機關對該公司之罰款，以「行為次數」作為計算單位，每次課予1,000美元，惟就同一名受害者，如一天內有數個違法行為，則當天罰款上限為10,000美元。同時，該法案賦予位置資訊被違法共享的當事人，得就其權利被侵害之事實，向法院提訴訟，以為救濟。 　　不過，該法案並非「絕對」禁止位置資訊的共享，如屬下列情形，例外可共享： 為配合執法機關執行法定職務之所需，如：法律調查等程序，而提供客戶之位置資訊。 為911緊急服務之所需提供，或為免除本人之生命或財產上之急迫危險，提供其位置資訊。 聯邦法律、州法或地方法明文要求應提供。 客戶授權電信公司或手機應用程式開發商得與第三方共享其位置資訊。 　　這部法案主要目的在於，保障行動裝置使用者的位置資訊，不會在當事人不知情的情形下被提供給第三方。雖然目前該法案尚在審議中，但未來如果通過，紐約市將成為禁止出售個人行動裝置位置資訊的先鋒，同時其執行結果勢必也將成為關注焦點。

經濟合作與發展組織（Organisation for Economic Co-operation and Development, OECD）於2023年2月23日發布《促進AI可歸責性：在生命週期中治理與管理風險以實現可信賴的AI》（Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI）。本報告整合ISO 31000：2018風險管理框架（risk-management framework）、美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）人工智慧風險管理框架（Artificial Intelligence Risk Management Framework, AI RMF）與OECD負責任商業行為之盡職調查指南（OECD Due Diligence Guidance for Responsible Business Conduct）等文件，將AI風險管理分為「界定、評估、處理、治理」四個階段： 1.界定：範圍、背景、參與者和風險準則（Define: Scope, context, actors and criteria）。AI風險會因不同使用情境及環境而有差異，第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人，並就各角色適用適當的風險評估準則。 2.評估：識別並量測AI風險（Assess: Identify and measure AI risks）。透過識別與分析個人、整體及社會層面的問題，評估潛在風險與發生程度，並根據各項基本價值原則及評估標準進行風險量測。 3.處理：預防、減輕或停止AI風險（Treat: Prevent, mitigate, or cease AI risks）。風險處理考慮每個潛在風險的影響，並大致分為與流程相關（Process-related）及技術（Technical）之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序，後者則與系統技術規格相關，處理此類風險可能需重新訓練或重新評估AI模型。 4.治理：監控、紀錄、溝通、諮詢與融入（Govern: Monitor, document, communicate, consult and embed）。透過在組織中導入培養風險管理的文化，並持續監控、審查管理流程、溝通與諮詢，以及保存相關紀錄，以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督，並能夠更廣泛地在不同類型的組織中建立相應機制。

　　在2012年12月19日，歐盟執委會宣布一項決議，該決議認可紐西蘭為已提供相當於歐盟保護層級之個人資料保護的國家；根據1995年歐盟個人資料保護指令（EU Data Protection Directive of 1995），此決議將使位於歐盟會員國（目前為27國）的事業，可以不必採取額外的防護措施，即可將個人資料自歐盟會員國傳輸到紐西蘭。 　　根據歐盟個人資料保護指令，個人資料不許被傳輸至歐盟會員國以外的國家，除非這些國家被歐盟執委會認可為，已提供相當於歐盟保護層級的個人資料保護；或此些國家對上述傳輸已採取額外的防護措施，例如已取得當事人之同意，或已於相關契約內附有經歐盟認可之個人資料保護相關契約條款。歐洲經濟區（EuropeanEconomic Area；簡稱EEA）內的另三個國家，亦即挪威、冰島、列支敦士登，亦因EEA條約（Agreement on the European Economic Area）之約束，而須遵行個人資料保護指令。 　　由於上述認可的過程相當嚴格而繁複，目前已取得歐盟執委會上述認可的非歐洲國家，除了紐西蘭之外，僅有例如，加拿大、阿根廷、以色列、澳洲等少數國家；至於歐洲國家亦僅有例如瑞士、安道爾等數國。