德國聯邦內政部公布《資訊科技安全法草案》

　　加拿大數位隱私法（Digital Privacy Act）於2015年6月18日獲得皇室御准，該法目的係為修訂規範私部門運用個人資料的聯邦個人資料保護及電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）。該法有多個章節於公告時便即刻施行，但仍有部分章節需待日後其他行政機關公告配套之法規後始能正式施行，例如該法的重點章節之一：「安全防護措施之違反」（Breaches of Security Safeguards）。 　　歷經約莫兩年，加拿大創新、科學及經濟發展部（Innovation, Science and Economic Development Canada）於2017年9月2日公告安全防護措施違反之規則草案（Breaches of Security Safeguards Regulations），以及規則衝擊分析聲明（Regulatory Impact Analysis Statement）。草案自公告時起開放30天供相關利益關係人發表意見，未來將和數位隱私法的「安全防護措施之違反」同時生效施行。 　　草案制定目的在於確保加拿大本國人若遇有資料外洩且具有損害風險時，可收到精確的相關資訊。私部門對本人的通知應包含使本人可理解外洩的衝擊和影響的詳細資訊。草案確保加拿大個人資料保護公署（Office of the Privacy Commissioner of Canada）之專員亦能獲得有關資料外洩的確實且對等資訊，並可監督、確認私部門遵守法規並執行。草案詳載私部門於通報個人資料保護公署時應提交的資訊，以及通知本人時應提供的資訊，且不限制私部門額外提供其他資訊。遇有資料外洩情事而故意不即時通報個人資料保護公署或通知本人者，最高將可處十萬美金罰鍰。

　　德國聯邦卡特爾署（Bundeskartellamt）於2020年7月9日公布，將針對電動車公共基礎設施產業進行調查，以釐清目前市場相關競爭法問題。 　　聯邦卡特爾署署長Andreas Mundt表示，建立全國性的充電基礎設施是德國電動車成功的先決條件之一，目前電動車充電基礎設施產業尚處於早期市場發展階段，因此，釐清市場是否有不正競爭問題，方能使電動車充電基礎設施布建能迅速擴張。在公共場所充電的條件和價格，也將影響消費者是否決定改用電動車。然而在目前市場發展階段時，已收到越來越多關於充電站價格和條件的投訴。 　　根據聯邦政府的計畫，2030年前德國將於全國範圍內布建大規模的充電基礎設施，其中包括公用的充電基礎設施。雖然充電站之布建及營運，不適用例如高壓電網擴建加速法、電網擴張法等與電網相關法規之適用。但可依德國不正當競爭防止法(Gesetz gegen den unlauteren Wettbewerb, UWG)拘束該領域可能存在的競爭法議題。除了應確保非歧視性地近用充電站外，更應研擬充電站相關使用條款，以確保充電站能正常營運。此外，並應研究城市及地方政府是否有提供合適的充電站位置，及其對充電站營運商之間的競爭影響。另外，聯邦高速公路上充電站之市場競爭狀況亦為聯邦卡特爾署關注的議題。 　　聯邦卡特爾署將於兩個調查階段中，向利害關係人進行產業調查。第一階段，將確定公共收費充電基礎設施的建設狀況，以及城市及地方政府和其他參與者，在規劃和提供充電站合適位置的現行作法。並在此基礎上，進行第二階段深入調查，特別針對有關移動服務提供商和使用者近用充電站的問題。

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日 　　歐盟執委會(European Commission，以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1]，旨在說明歐盟執委會將如何透過資料治理及相關政策，轉型為資料驅動型組織(data-driven organization)，並提供一致的方向或原則，促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的 　　「促成歐洲適應數位時代，並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展，透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術，「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度，首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理，有助於此願景之達成。 　　因此，執委會提出「資料治理與資料政策」，建立執委會統一的資料治理架構與政策原則，幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時，執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程，改善資料品質，提升資料管理及共享之效率。 貳、內容摘要 　　「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集，包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上，則導入「遵守或解釋」(comply-or-explain)原則，除非法律明示規定為選擇性適用，否則執委會轄下相關部門機構皆需遵守；倘未遵守，則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理 　　主要目的在建構執委會統一的資料治理架構，釐清相關角色的責任與相互依賴關係。依角色與任務的不同，執委會將資料治理分為三層級，並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 （一）策略層級(strategic level) 　　由資訊管理指導委員會(Information Management Steering Board, IMSB)，處理資料治理與資料政策相關議題，界定長期推動願景、提供政策方向、監督推動與執行之進程，並作出策略決定。 （二）管理階層(managerial level) 　　由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board)，以及策略層級就各資料集所指定之資料擁有者(data owner)，依策略層級所提出之願景與政策方向，在各處建立並執行資料政策、監督執行進度，並向策略層級報告執行進度及任何超出其決策權限之問題。 （三）運作階層(operational level) 　　由資料擁有者選出或指派資料管理員(data steward)，並與資料利用者(data user)實際執行資料政策，必要時將相關議題提到管理層級解決。 二、資料政策 　　就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向，建立上位原則。 　　其中關於「資料管理」部分，又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則，故執委會轄下相關部門機構在建立、蒐集或取得資料之前，需探詢必要資料或資訊是否已存在，避免重複取得。主要需求資料集的部門機構，應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面，除非歐盟相關的執委會決定、指令或規則另有規定[3]，否則以「需要共享」(need to share)或「預設共享」(share by default)為原則，並使用一致化的資料管理與視覺化工具或資料平台。 　　針對「資料互通性與標準」與「資料品質」兩部分，著重在執委會內部的共通一致性，包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面，則強調「歐盟機關個人資料保護規則」[4]相關義務，以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析 　　觀察歐盟執委會的「資料治理與資料政策」，可知其資料治理架構與相關政策，是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則，更從組織管理角度，界定不同單位或角色的任務與責任，並凸顯資料治理管理組織的建構，對資料政策執行之重要性。 　　我國政府長期致力於數位國家之發展，在政府資料開放政策推動上已有不少成果，例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量，建議未來可進一步完善政府資料治理構面，兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向，借鏡歐盟執委會之作法，確立資料共享再利用之管理架構及原則，提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等，有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

因應生成式AI（Generative AI）快速發展，日本經產省和總務省彙整及更新自2017年起陸續發布之各項AI指引，於2024年1月19日共同公布「AI業者指引草案」（AI事業者ガイドライン案，以下簡稱指引），公開向民眾徵集意見。上述草案除提出AI業者應遵守以人為本、安全性、公平性、隱私保護、透明性、問責性、公平競爭、創新等共通性原則外，並進一步針對AI開發者（AI Developer）、AI提供者（AI Provider）及AI利用者（AI Business User）提出具體注意事項，簡述如下： （1）AI開發者：研發AI系統之業者。由於在開發階段設計或變更AI模型將影響後續使用，故指引認為開發者應事先採取可能對策，並在倫理和風險之間進行權衡，避免因重視正確性而侵害隱私或公平性，或因過度在意隱私保護而影響透明性。此外，開發者應盡量保留紀錄，以便於預期外事故發生時可以進行說明。 （2）AI提供者：向AI使用者或非業務上使用者提供AI系統、產品或服務之業者。提供者應以系統順利運作及正常使用為前提，提供AI系統和服務，並避免侵害利害關係人之利益。 （3）AI使用者：基於商業活動使用AI系統或服務之業者。使用者應於提供者所設定之範圍內使用AI，以最大限度發揮AI效益，提高業務效率及生產力。