新搜尋技術將改變數位內容產業的版圖

美國司法部（Department of Justice, DOJ）於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料，以降低國安威脅。 最終規則指出，去識別化敏感個人資料若經大量蒐集，仍可能被重新識別，因此原則上禁止或限制任何美國人在知情的情況下，與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊（vehicle telemetry information）、基因組以及個人健康、財務資料或其他足資識別個人之資料，並定義禁止及限制交易的型態。同時，最終規則除設有若干豁免交易類型外，也定有一般及特別許可交易規定，並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布；特別許可則由總檢察長依個案酌情例外核准。 該規則課予交易方持續報告（reporting）、盡職調查（due diligence）、稽核（audit）、紀錄留存（recordkeeping）等義務，並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易，例如投資、雇傭、資料仲介（data brokerage）及供應商契約，提出資安要求，以降低受關注國家或個人獲取該類特定資訊的風險。最後，該規則定有民事罰款（37萬美金以下）、刑事處罰（100萬美金以下或20年以下徒刑），並設立申訴之救濟措施。

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。

歐盟執委會（European Commission）於2025年9月4日提出對於巴西的適足性認定草案，並且開始啟動相關程序。根據《一般資料保護規則》第45條規定，如歐盟境內之個人資料將傳輸至第三國或國際組織時，須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同，使得為之。該認定即為「適足性認定」，目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中，審酌了巴西《一般資料保護法》（Lei Geral de Proteção de Dados, LGPD）當中的目的限制、必要性、透明性、安全性及問責機制等原則，以及個資監管與執法之獨立機構「巴西資料保護局」（Autoridade Nacional de Proteção de Dados, ANPD）之角色，認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外，ANPD於2024年發布，旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則，ANPS正依照該規則進行對歐盟進行法律評估，認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估，將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案，後續須經由歐洲資料保護委員會（European Data Protection Board, EDPB）審查並提出意見，並經過成員國代表參酌EDPB提出之意見並審查批准後，始得由歐盟執委會通過適足性認定。通過適足性認定後，將促進國際資料流動，並加強巴西與歐盟之間資料保護與監管領域方面的合作。