科研資源整合之跨國合作趨勢研析與比較

　　德國聯邦參議院於2021年5月28日通過《電信與電子媒體資料與隱私保護法》（Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, TTDSG），其目的係保護數位世界中的資料與隱私，平衡數位服務使用者利益與公司經濟利益，並解決因德國電信法（Telekommunikationsgesetz, TKG）、電信媒體法（Telemediengesetz, TMG）與歐盟一般資料保護規則（General Data Protection Regulation, GDPR）同時並行，使消費者、電信服務提供者以及監管機關不確定如何適用上開法律之情況。 　　TTDSG彙集TKG、TMG中資料與隱私保護相關之條文，包含電信保密（Fernmeldegeheimnis）（第3條至第8條）、交通位置資料（第9條至第13條）、來電通知與號碼顯示（第14條至第16條）、終端使用者名錄和相關資料提供（第17條至第18條），以及允許匿名化、可隨時停止使用服務和保護未成年之相關措施（第19條至第23條），並參考GDPR和電子隱私保護指令（ePrivacy-Richtlinie）新增數位遺產（digitaler Nachlass）、終端設備隱私保護、同意管理以及監管之規定。 　　TTDSG於第4條新增數位遺產規定，終端使用者繼承人或具有相似法律地位者，可以向供應商行使繼承人權利，不受電信保密相關規定限制；在終端設備隱私保護和同意管理之部分，TTDSG第24條規定原則上第三方僅能在終端使用者同意下，於使用者的終端設備中儲存與近用資料，且當事人可隨時撤銷同意。 　　最後在監管方面，則分為個人資料保護相關與電信媒體領域，前者依TTDSG第28條、第29條由德國聯邦資料保護與資訊自由委員會（Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI）作為獨立的資料保護監管機構，後者則依TDSG第30條屬德國聯邦網路局（Bundesnetzagentur）的職權範圍。

　　德國經濟及能源部於2018年3月8日為企業聯網資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件，協助中小企業提升對於組織及特別領域中的資安風險之意識，並進一步採取有效防護檢測，包括基本安全防護措施、組織資安維護、及法規，並同時宣導德國資料保護法中對於資安保護的法定要求。 　　資通訊安全及其法規係為企業進行數位化時，涉及確保法的安定性（Rechtssicherheit）之議題。例如：應如何保護處理後的資料？如何執行刪除個人資料權利？各方如何保護營業秘密？如果資料遺失，誰應承擔責任？唯有釐清上述相關等問題時，方能建立必要的信任。而在德國聯邦資料保護法，歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則，係為數位創新企業執行資安基礎工作重要法律框架。但是，由於數位化的發展，新的法律問題不斷出現，目前的法律框架尚未全面解決。 　　例如，機器是否可以處理第三方資料並刪除或保存？或是誰可擁有機器協作所產生的資料？因此，未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備，工業4.0的IT法律問題變得複雜。一方面，需要解決中、大型企業的營業祕密，資料所有權和責任主題之實際問題，以促進相關數位化創新。另一方面，為了能夠推導出現實的法律規範，需要更多具體實施案例討論，例如，企業家對產品責任問題，人工智慧使用，外包IT解決方案，及雲端計算等核心等問題，政府應協助為所有公司在安全框架下展開數位計畫合作的機會，並充分利用網路的潛力，而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。

歐盟「人工智慧法」達成政治協議， 逐步建立AI準則 資訊工業策進會科技法律研究所 2023年12月25日 隨著AI(人工智慧)快速發展，在各領域之應用日益廣泛，已逐漸成為國際政策、規範、立法討論之重點。其中歐盟人工智慧法案(Artificial Intelligence Act, AI Act，以下簡稱AIA法案)係全球首部全面規範人工智慧之法律架構，並於2023年12月9日由歐洲議會及歐盟部長歷史會達成重要政治協議[1]，尚待正式批准。 壹、發佈背景 歐洲議會及歐盟部長理事會針對AIA法案已於本年12月9日達成暫時政治協議，尚待正式批准。在法案普遍實施前之過渡期，歐盟執委會將公布人工智慧協定(AI Pact)，其將號召來自歐洲及世界各地AI開發者自願承諾履行人工智慧法之關鍵義務。 歐盟人工智慧法係歐盟執委會於2021年4月提出，係全球首項關於人工智慧的全面法律架構，該項新法係歐盟打造可信賴AI之方式，將基於AI未來可證定義(future proof definition)，以等同作法直接適用於所有會員國[2]。 貳、內容摘要 AIA法案旨在確保進入並於歐盟使用之AI人工智慧系統是安全及可信賴的，並尊重人類基本權利及歐盟價值觀，在創新及權利義務中取得平衡。對於人工智慧可能對社會造成之危害，遵循以風險為基礎模式(risk-based approach)，即風險越高，規則越嚴格，現階段將風險分為：最小風險(Minimal risk)、高風險(High-risk)、無法接受的風險(Unacceptable risk)、特定透明度風險(Specific transparency risk)[3]。與委員會最初建議版本相比，此次臨時協定主要新增內容歸納如下： 臨時協議確立廣泛域外適用之範圍，包含但不限於在歐盟內提供或部署人工智慧系統的企業[4]。但澄清該法案不適用於專門用於軍事或國防目的之系統。同樣，該協定規定不適用於研究和創新目的之人工智慧系統，也不適用於非專業原因之個人AI使用。 臨時協議針對通用AI(General purpose AI)[5]模型，訂定相關規定以確保價值鏈之透明度；針對可能造成系統性風險之強大模型，訂定風險管理與重要事件監管、執行模型評估與對抗性測試等相關義務。這些義務將由執委會與業界、科學社群、民間及其他利害關係人共同制定行為準則(Codes of practices)。 考量到人工智慧系統可用於不同目的之情況，臨時協議針對通用AI系統整合至高風險系統，並就基礎模型部分商定具體規則，其於投放市場之前須遵守特定之透明度義務，另強調對於情緒識別系統有義務在自然人接觸到使用這種系統時通知他們。 臨時協議針對違反禁止之AI應用，罰款金額自3,500萬歐元 或全球年營業額7%(以較高者為準)。針對違反其他義務罰款1,500萬歐元或全球年營業額3%，提供不正確資訊罰 款750萬歐元或全球年營業額1.5%。針對中小及新創企業違反人工智慧法之行政罰款將設定適當之上限。 參、評估分析 在人工智慧系統之快速發展衝擊各國社會、經濟、國力等關鍵因素，如何平衡技術創新帶來之便利及保護人類基本權利係各國立法重點。此次歐盟委員會、理事會和議會共同對其2021年4月提出之AIA法案進行審議並通過臨時協議，係歐洲各國對於現下人工智慧運作之監管進行全面的討論及認可結果，對其他國家未來立法及規範有一定之指引效果。 此次臨時協議主要針對人工智慧定義及適用範圍進行確定定義，確認人工智慧系統產業鏈之提供者及部署者有其相應之權利義務，間接擴大歐盟在人工智慧領域之管轄範圍，並對於人工智慧系統的定義縮小，確保傳統計算過程及單純軟體使用不會被無意中禁止。對於通用人工智慧基礎模型之部分僅初步達成應訂定相關監管，並對基礎模型之提供者應施加更重之執行義務。然由於涉及層面過廣，仍需業界、科學社群、民間及其他利害關係人討論準則之制定。 面對AI人工智慧之快速發展，各國在人工智慧之風險分級、資安監管、法律規範、資訊安全等議題持續被廣泛討論，財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境，將持續觀測各國法令動態，提出我國人工智慧規範之訂定方向及建議。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI,https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai (last visited December 25, 2023). [2]European Commission, Commission welcomes political agreement on Artificial Intelligence Act,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473 (last visited December 25, 2023). [3]Artificial intelligence act,P5-7,https://superintelligenz.eu/wp-content/uploads/2023/07/EPRS_BRI2021698792_EN.pdf(last visited December 25, 2023). [4]GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2 (last visited December 25, 2023). [5]General purpose AI-consisting of models that “are trained on broad data at scale, are designed for generality of output, and can be adapted to a wide range of distinctive tasks”, GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2(last visited December 25, 2023).

　　歐盟執委會主席Barroso在今年年初設立了負責「正義、基本權與公民」（Justice Fundamental Right and Citizenship）事務的新任務單位。而負責此單位的執委會委員Reding自年初以來已多次宣示對個人資料保護以及隱私權的重視。在今年三月份的演講中，Reding更宣布將在年底前提出修正歐盟個人資料保護指令的內容。惟此承諾在歐盟會員國的壓力下恐怕無法踐履了。歐盟執委會於日前已表示將提出一份新的行動宣示來取代原先的修法計畫。 　　歐盟目前的個人資料保護指令乃在1995年制定，迄今已有15年之久，雖然其許多原則在今日仍然適用，但面對新科技、新應用，如社交網站、雲端應用等的發展，該指令仍不免顯出不足之處。此外，在原先的架構下，執委會也無法介入所謂歐盟「第三支柱」下的事務（亦即與犯罪相關的警政、司法合作事務），但此狀況在里斯本條約通過後理應有所改變。以上兩點也正是Reding提議修正個人資料保護指令的理由。但由於部分歐盟會員國政府認為Reding所提有窒礙難行之處，例如法國即直言Reding的修法時程不切實際，執委會及Reding也因此放棄原先規劃。至於新的行動宣示到底會不會真的納入歐盟個人資料保護指令的修正計畫，其時程與內容如何，值得持續注意。