德國與愛爾蘭對於個人資料處理是否須明示同意之見解不同

2024年保護美國人資料免受外國對手侵害法案（Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA）於2024年6月生效。該法案為美國國家安全補充法案（H.R. 815, the National Security Supplemental）的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA，而PADFA將於簽署日後60天發生效力。 PADFA禁止資料經紀人將美國人民的敏感個資（personally identifiable sensitive data）傳輸到指定的外國對手國家，以及由這些國家控制的實體，如公司等。 PADFA所指之資料經紀人（data broker），是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式，將個人資料提供給特定實體，並收取對價者。而該法所稱之敏感個資，定義則相當廣泛，從個人日常活動資料如行事曆資訊、電子郵件，到個人醫療、財務資料皆包含在內。 目前PADFA指定之外國對手國家，是引用自美國法典第十編4872（d）（2）條（4872（d）（2）of title 10, United States Code.），包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 : 1.前述國家擁有20%以上所有權的實體。 2.主要營業據點、總部、住所位於前述國家的實體。 3.依前述國家法律建立的實體。 4.受前述國家指導、控制之人。 由於PADFA適用範圍廣泛，未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會（Federal Trade Commission）執行，該委員會將有權對違規者進行民事處罰。

　　近來國際間許多國家投入智慧商業及智慧消費之發展，為兼顧保障個人資料權利前提下，鼓勵產業界從事商業創新，英國商務創新技術部（Department for Business, Innovation & Skills）於2013年7月宣布促成「Midata創新實驗計畫平台」（midata innovation lab），由英國政府、企業界、消費者團體、監管機構和貿易機構共同組成，此為示範性自律性組織，參與之業者/機構於應消費者要求（consumer’s request）情形下，將所擁有消費者資料，特別是交易資料（transaction data），以電子形式及機器易讀取形式（electronic, machine readable format）對「我的資料」（Midata）體系公開（release）；並且，將可更便利消費者利用這些資料瞭解自己的消費行為，在購買產品和服務時可以做出更為明智的選擇。 　　英國商務創新技術部係於2011年4月，開始提出所謂「Midata計畫」：於「更好選擇；更好交易環境；提昇消費者權力」政策（Providing better information and protection for consumers），宣示推動「Midata計畫」，作為提昇資訊力量（power of information）重要策略。為積極推動，「Midata計畫」，並協助產業界能有更詳細遵循指引，於2012年7月公告「Midata政府產業諮詢報告」（midata: government response to the 2012 consultation），同年12月出版「Midata隱私影響評估報告」 （midata: privacy impact assessment report）。 　　為配合上述政策施行，由產業界、組織、政府機構所共同組成的「Midata創新實驗計畫平台」（midata innovation lab），已開始展開運作。此平台認為，近來越來越多實務情形證明，個人資料對於企業而言已被視為日漸重要的資產，並且未來將成為提供更個人化、多元化之產品服務之重要基礎。倘若能在確保消費者個人資料相關權利之前提下，促成產業界積極投入發展，以「我的資料（Midata）創新實驗計畫」為運作平台，對於企業所持有個人資料，兼顧企業與消費者原則共同獲益，將可因應趨勢取得商業先機。 　　以英國商務創新技術部規劃政策，前期試行推動先以「核心產業」（core sectors）（金融產業、電信產業、能源產業）為導入適用，待實施具一定成效後，將延伸推廣至其他產業領域（non-core sectors），而後也將由現行初期以產業自律性參與計畫模式，進展至以法令規範強制實施的階段。

　　日本經濟產業省（下稱經產省）於2020年6月12日發布其國內產業資通安全現況與將來對策（昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性）報告，指出近期針對供應鏈資通安全弱點企業所展開的攻擊，有顯著增長趨勢。為此，該報告建議共組供應鏈的企業間，應密切共享資訊；於關鍵技術之相關資訊有外洩之虞時，應向經產省提出報告；若會對多數利害關係人產生影響，並應公開該報告。遵循該報告之建議要旨，同年11月1日在各產業主要的工商團體引領下，設立了「供應鏈資通安全聯盟（原文為サプライチェーン・サイバーセキュリティ・コンソーシアム，簡稱SC3）」，以獨立行政法人資訊處理推進機構（独立行政法人情報処理推進機構，IPA）為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略，而經產省則以觀察員（オブザーバー）的身分加入，除支援產業界合作，亦藉此強化政府與業界就供應鏈資通安全議題之對話。 　　只要贊同上述經產省政策方向與聯盟方針，任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題，經產省與IPA已有建構「資通安全協助隊（サイバーセキュリティお助け隊）」服務制度（以下稱協助隊服務），邀集具相關專長之企業，在其他企業遭遇供應鏈資安攻擊時，協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案，提供IPA來建構上述基準。依該制度取得認證的企業，將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度，讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。

　　歐盟執委會人工智慧高級專家小組（High-Level Expert Group on Artificial Intelligence）於2019年4月8日公布「具可信度之人工智慧倫理指引」（Ethics Guidelines For Trustworthy AI）。該指引首先指出，具可信度之人工智慧需具備三個關鍵特徵：（1）合法（Lawful）：應遵守所有適用於人工智慧之法規；（2）合乎倫理（Ethical）：確保人工智慧符合倫理原則與價值；（3）健全（Robust）：自技術與社會層面觀之，避免人工智慧於無意間造成傷害。 　　該指引並進一步指出人工智慧應遵守以下四項倫理原則： (1) 尊重人類之自主權（Respect for Human Autonomy）：歐盟之核心價值在於尊重人類之自由與自主，與人工智慧系統互動之個人，仍應享有充分且有效之自我決定空間。因此，人工智慧之運用，不應脅迫、欺騙或操縱人類，人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害（Prevention of Harm）：人工智慧不應對人類造成不利之影響，亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性，技術上則應健全，且確保不會被惡意濫用。此外，弱勢族群應於人工智慧運用中受到更多關注，並被視為服務對象。 (3) 公平（Fairness）：人工智慧系統之開發、布建與利用，必須具備公平性。除了透過實質承諾與規範，進行平等與公正之利益與成本分配外，亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害，並可對人工智慧之自動化決策結果提出質疑，且獲得有效之補救。 (4) 可解釋性（Explicability）：人工智慧應盡量避免黑箱（Black Box）決策，其系統處理程序須公開透明，並盡可能使相關決策結果具備可解釋性，分析特定訊息可能導致之決策結果，此外亦需具備可溯性且可接受審核。