美國電子隱私資訊中心(The Electronic Privacy Information Center, EPIC)向聯邦貿易委員會(Federal Trade Commission, FTC)檢舉Uber利用手機軟體"God view"追蹤並蒐集軟體用戶(乘客)位置資訊,並利用該資訊發送廣告給乘客。EPIC主張該作法為違法、詐欺的商業模式。
議員Al Franken對該軟體用戶服務條款也提出質疑,因該服務條款載明即使用戶終止使用,該軟體仍將繼續蒐集用戶的位置資訊,並可無限期使用用戶的個人資料。雖然Uber後續對該服務條款進行增修,但仍對外主張保有最後解釋的權利。
EPIC認為目前依「駕駛隱私法」(Driver's Privacy Act )的規定,除具要求提供車輛資料的法源依據,或個人同意並被告知資料將如何使用之情形,才可以蒐集該車輛資料以維護駕駛隱私,否則不得蒐集與該車輛的任何記錄與資料。然而,EPIC亦認為應立法禁止使用軟體追蹤乘客與蒐集其資料。EPIC同時也建議應制定法規限制 Google、Facebook、Whatsapp、Snapchat等公司追蹤及蒐集顧客資料。對此,Facebook僅表示會確保用戶的位置資訊不被濫用,而Google則拒絕對此發表評論。
另外,EPIC認為Uber蒐集用戶位置資訊,並隨著時間的推移來追蹤用戶(乘客)動向資料並進行廣告行銷,對用戶的隱私權保護並不完整,且用戶資料也有被盜取之可能,因此,EPIC希望FTC能對Uber"God view"軟體進行調查,希望促成規制用戶(乘客)資料蒐集、處理與利用的商業模式。
日本政府怎樣對公部門管制DeepSeek? 資訊工業策進會科技法律研究所 2025年07月07日 2025年2月3日,日本個人情報保護委員會(Personal Information Protection Commission,簡稱PPC)發布新聞稿指出[1],DeepSeek所蒐集的資料,將會儲存在中國的伺服器裡,且為中國《國家情報法》的適用對象[2]。這可能將導致個人資料遭到中國政府調用或未經授權的存取。作為中國開發的生成式AI,DeepSeek雖以優異的文本能力迅速崛起,卻也引發資安疑慮。 身處地緣政治敏感區的日本對此高度警覺,成為率先提出警告的國家之一。台灣與日本面臨相似風險,因此日本的應對措施值得借鏡。本文將從PPC新聞稿出發,探討日本如何規範公部門使用DeepSeek。 壹、事件摘要 DeepSeek作為中國快速崛起之生成式AI服務,其使用範圍已快速在全球蔓延。然而,日本PPC發現該公司所公布之隱私政策,內容說明其所蒐集之資料將存儲於中國伺服器內,並依據中國《國家情報法》之適用範圍可能遭到中國政府調用或未經授權之存取。 日本PPC因而於2025年2月3日發布新聞稿,隨後日本數位廳於2月6日發函給各中央省廳,強調在尚未完成風險評估與資安審查之前,政府機關不應以任何形式將敏感資訊輸入DeepSeek,並建議所有業務使用應先諮詢內閣資安中心(内閣サイバーセキュリティセンター,NISC)與數位廳(デジタル庁)意見,才能判定可否導入該類工具[3]。數位大臣平將明亦在記者會中強調:「即使不是處理非機密資料,各機關也應充分考量風險,判斷是否可以使用。」(要機密情報を扱わない場合も、各省庁等でリスクを十分踏まえ、利用の可否を判断する)[4]。 本次事件成為日本對於生成式AI工具採取行政限制措施的首次案例,也引發公私部門對資料主權與跨境平台風險的新一輪討論。 貳、重點說明 一、日本對於人工智慧的治理模式 日本在人工智慧治理方面採取的是所謂的「軟法」(soft law)策略,也就是不依賴單一、強制性的法律來規範,而是以彈性、分散的方式,根據AI的實際應用場景與潛在風險,由相關機關分別負責,或透過部門之間協作因應。因此,針對DeepSeek的管理行動也不是由某一個政府部門單獨推動,而是透過跨部會協作完成的綜合性管控,例如: (一)PPC的警示性通知:PPC公開說明DeepSeek儲存架構與中國法規交錯風險,提醒政府機關與公務人員謹慎使用,避免洩漏資料。 (二)數位廳的行政指引:2025年2月6日,日本數位廳針對生成式AI的業務應用發布通知,明列三項原則:禁止涉密資料輸入、限制使用未明確審查之外部生成工具、導入前應諮詢資安機構。 (三)政策溝通與政治聲明:平將明大臣在記者會上多次強調DeepSeek雖未明列於法條中禁用,但其高風險屬性應視同「潛在危害工具」,需列入高敏感度審查項目。 二、日本的漸進式預防原則 對於DeepSeek的管制措施並未升高至法律層級,日本政府亦沒有一概禁止DeepSeek的使用,而是交由各機關獨自判斷[5]。這反映出了日本在AI治理上的「漸進式預防原則」:先以行政指引建構紅線,再視實際風險與民間回饋考慮是否立法禁用。這樣的作法既保留彈性,又讓官僚系統有所依循,避免「先開放、後收緊」所帶來的信任危機。 三、日本跟循國際趨勢 隨著生成式AI技術迅速普及,其影響已不再侷限於產業應用與商業創新,而是逐漸牽動國家資安、個資保護以及國際政治秩序。特別是生成式AI在資料存取、模型訓練來源及跨境資料流通上的高度不透明,使其成為國家安全與數位主權的新興挑戰。在這樣的背景下,各國對生成式AI工具的風險管理,也從原先聚焦於產業自律與技術規範,提升至涉及國安與外交戰略層面。 日本所採取的標準與國際趨勢相仿。例如韓國行政安全部與教育部也在同時宣布限制DeepSeek使用,歐盟、美國、澳洲等國亦有不同程度的封鎖、審查或政策勸導。日本雖然和美國皆採取「軟法」(soft law)的治理策略,然而,相較於美國以技術封鎖為主,日本因其地緣政治的考量,對於中國的生成式AI採取明確防範的態度,這一點與韓國近期禁止政府機構與學校使用中國AI工具、澳洲政府全面禁止政府設備安裝特定中國應用程式類似。 參、事件評析 這次日本政府對於DeepSeek的應對措施,反映出科技治理中的「資料主權問題」(data sovereignty):即一個國家是否有能力控制、保存與使用其管轄範圍內所生產的資料。尤其在跨境資料傳輸的背景下,一個國家是否能保障其資料不被外國企業或政府擅自使用、存取或監控,是資料主權的核心問題。 生成式AI不同於傳統AI,其運作依賴大規模訓練資料與即時伺服器連接,因此資料在輸入的瞬間可能已被收錄、轉存甚至交付第三方。日本因而對生成式AI建立「安全門檻」,要求跨境工具若未經審核,即不得進入政府資料處理流程。這樣的應對策略預示了未來國際數位政治的發展趨勢:生成式AI不只是科技商品,它已成為跨國治理與地緣競爭的核心工具。 中國通過的《國家情報法》賦予政府調閱私人企業資料的權力,使得中國境內所開發的生成式AI,儼然成為一種資訊戰略利器。若中國政府藉由DeepSeek滲透他國公部門,這將對國家安全構成潛在威脅。在此背景下,日本對公部門使用DeepSeek的管制,可被解讀為一種「數位防衛行為」,象徵著日本在數位主權議題上的前哨部署。 值得注意的是,日本在處理DeepSeek事件時,採取了「不立法限制、但公開警示」的方式來應對科技風險。此舉既避免激烈封鎖引發爭議,又對於資料的運用設下邊界。由於法令規範之制定曠日費時,為避免立法前可能產生之風險,日本先以軟性之限制與推廣手段以防止危害擴大。 台灣雖與日本同處地緣政治的敏感地帶,資料主權議題對社會影響深遠,為使我國可在尚未有立法規範之狀態下,參考日本所採之行政命令內控與公開說明外宣雙向並行之策略,對台灣或許是一種可行的借鏡模式。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]個人情報保護委員会,DeepSeekに関する情報提供,https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/ (最後瀏覽日:2025/05/06)。 [2]《中华人民共和国国家情报法》第7条第1项:「任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。」 [3]デジタル社会推進会議幹事会事務局,DeepSeek等の生成AIの業務利用に関する注意喚起(事務連絡),https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/d2a5bbd2-ae8f-450c-adaa-33979181d26a/e7bfeba7/20250206_councils_social-promotion-executive_outline_01.pdf (最後瀏覽日:2025/05/06)。 [4]デジタル庁,平大臣記者会見(令和7年2月7日),https://www.digital.go.jp/speech/minister-250207-01 (最後瀏覽日:2025/05/06)。 [5]Plus Web3 media,日本政府、ディープシークを一律禁止せず 「各機関が可否を判断する」,https://plus-web3.com/media/500ds/?utm_source=chatgpt.com (最後瀏覽日:2025/05/06)。
歐盟執委會將修正ePrivacy指令ePrivacy指令修正背景 原資料保護指令將於2018年由一般資料保護規則所取代,在此一背景下,電子隱私指令除補充資料保護指令外,亦訂定關於在電子通訊部門的個人資料處理的具體規則。具體作法,如在利用流量和位置資訊於商業目的之前,應徵得用戶的同意。在ePrivacy指令未特別規定的適用對象,將由資料保護指令(以及未來的GDPR)所涵蓋。如,個人的權利:獲得其個人資料的使用,修改或刪除的權利。 歐盟執委會為進行ePrivacy指令(Richtlinie über den Datenschutz in der elektronischen Kommunikation)改革,於2016年8月4日提出意見徵詢摘要報告,檢討修正ePrivacy指令時著重的的幾個標的: (1)確保ePrivacy規則與未來的一般資料保護規則之間的一致性。亦即評估現有規定是否存在任何重複、冗餘、不一致或不必要的複雜情況。(如個人資料洩漏時的通知) (2)指令僅適用於傳統的電信供應商,而在必要時應該以新市場和技術的現實的眼光,重行評估更新ePrivacy規則。對於已成為電子通信行業新興創新的市場參與者,如:提供即時通訊和語音通話(也稱為“OTT供應商”),由於目前不需要遵守ePrivacy指令主要規定,而應納入修正對象。 (3)加強整個歐盟通訊的安全性和保密性。ePrivacy指令在規範上,確保用戶的設備免受侵入、確保通信的安全性和保密性。本指令第5條第3項,儲存資訊、或近用已存儲在用戶設備之資訊,需得其的同意。該條款的有效性已有爭論,因為新的追踪技術,如:指紋識別設備可能無法被現有的規則所涵攝。最後,有認需得同意的例外規定列表,有必要延伸到對資訊之其他非侵入性的儲存/近用:如網路分析等。這些都是應予以仔細評價和檢視之對象。 公眾諮詢摘要報告內容 經過4月13日到7月5日的公眾諮詢,歐盟執委會於8月4日提出報告。 諮詢意見主要來自德(25.9%)、英(14.3%)、比(10%)、法(7.1%)的回覆。 一、是否有必要在電子通訊部門訂定隱私特別規定? 市民與公民團體咸認有必要在電子通訊部門,甚至流量資料和位址資訊也應該訂定新規(83%)、企業則認為無甚需要,只有在秘密性規則(31%)與流量資料(26%)有需要訂定;主管機關則咸認需要特別規定。 二、現行指令是否已足達成其立法目的?76%市民和公民團體認為未達立法目的,理由如下: ePrivacy指令的範圍太狹小,不包括即時訊息、語音通話(VoIP)和電子郵件應用服務。 規範太模糊,導致會員國之間適用結果和保護程度的差異、不一致。 法律遵循的程度展法程度太差。 三、是否應為新通訊服務訂定新規? 76%市民和公民團體認為適用範圍應該涵蓋到OTT上。
印度電子及資訊科技部公告封鎖數款由中國企業開發之應用程式2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下: 政府封鎖59款有害印度主權之完整性、防禦力、國家安全及公共利益的手機應用程式(Government Bans 59 mobile apps which are prejudicial to sovereignty and integrity of India, defence of India, security of state and public order)。 政府封鎖118款有害印度主權之完整性、防禦力、國家安全和公共利益的手機應用程式(Government Blocks 118 Mobile Apps Which are Prejudicial to Sovereignty and Integrity of India, Defence of India, Security of State and Public Order)。 政府禁止國內使用者使用43款手機應用程式(Government of India blocks 43 mobile apps from accessing by users in India)。 三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。 電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。
加拿大政府提交予國會《人工智慧資料法案》加拿大政府由創新、科學和工業部長(Minister of Innovation, Science and Industry)代表,於2022年6月16日提交C-27號草案,內容包括聯邦的私部門隱私權制度更新,以及新訂的《人工智慧資料法案》(Artificial Intelligence and Data Act, 下稱AIDA)。如獲通過,AIDA將是加拿大第一部規範人工智慧系統使用的法規,其內容環繞「在加拿大制定符合國家及國際標準的人工智慧設計、開發與應用要求」及「禁止某些可能對個人或其利益造成嚴重損害的人工智慧操作行為」兩大目的。雖然AIDA的一般性規則相當簡單易懂,但唯有在正式發布這部包含絕大多數應用狀況的法規後,才能實際了解其所造成的影響。 AIDA為人工智慧監管所設立的框架包含以下六項: (1)方法 以類似於歐盟《人工智慧法案》採用的方式,建立適用於人工智慧系統具「高影響力」的應用方式的規範,關注具有較高損害與偏見風險的領域。 (2)適用範圍 AIDA將適用於在國際與省際貿易及商業行動中,設計、發展或提供人工智慧系統使用管道的私部門組織。「人工智慧系統」的定義則涵蓋任何「透過基因演算法、神經網路、機器學習或其他技術,自動或半自動處理與人類活動相關的資料,以產生結果、做出決策、建議或預測」的技術性系統。 (3)一般性義務 I 評估及緩和風險的措施 負責人工智慧系統的人員應評估它是否是一個「高影響系統」(將在後續法規中詳細定義),並制定措施以辨識、評估與減輕使用該系統可能造成的傷害風險或具有偏見的結果。 II 監控 對該「高影響系統」負責的人員應建立準則,以監控風險緩解措施的遵守情況。 III 透明度 提供使用管道或管理「高影響系統」運作的人員應在公開網站上,以清晰的英語揭露 i 系統如何或打算如何使用。 ii 系統所生成果的類型及它所做出的決策、建議與預測。 iii 為辨識、評估與減輕使用該系統可能造成的傷害風險或具有偏見的結果,而制定的緩解措施。 iv 法規明定應揭露的其他訊息。 IV 記錄保存 執行受規範活動的人員應遵守紀錄保存要求。 V 通知 若使用該系統將導致或可能導致重大傷害,「高影響系統」的負責人應通知部門首長。 VI 匿名資料的使用 從事法案所規定的活動及在活動過程中使用或提供匿名資料的人員,必須依據規範制定關於(a)資料被匿名化處理的方式(b)被匿名化資料的使用與管理,兩方面的措施。 (4)部長命令 部門首長可以透過命令要求(a)製作紀錄(b)從事審計或聘請一位獨立的審計師執行(c)成立一個專責執行審計程序的組織(d)成立一個在有理由相信「高影響系統」之使用可能造成急迫重大傷害風險時負責進行終止或准許的組織。 (5)行政管理 AIDA為部門首長制定一項,可指定其所管轄部門中一名高級官員為「人工智慧與資料專員」的權利,其職責在協助部門首長管理與執行AIDA。 (6)罰則 違反AIDA規範之罰則主要為按公司、個人之收入衡量的罰款。特定嚴重狀況如以非法方式取得人工智慧訓練用資料、明知或故意欺騙大眾造成嚴重或心理傷害或財產上重大損失,亦可能判處刑事監禁。