新搜尋技術將改變數位內容產業的版圖

　　當工業的製造生產過程經過一連串自動化、產量化以及全球化之變革歷程之後，智慧工廠的發展已經成為未來各國的重點目標。生產力4.0的設計中，巨量資料(Big Data)是重要的一環，以製造業為例，傳統上將製造生產取得的數據僅用於追蹤目的使用，鮮少做為改善整體操作流程的基礎，但在生產力4.0推進之後，則轉變為如何藉由巨量資料來提升生的效率、利用多元資源的集中化與分類處理，並經過分析取得改善行動方式，使生產最佳化，再結合訂單需求預期分析，依市場變化調整製造產量，達成本控制效果。 　　在我國104年9月公布之「2015行政院產力4.0科技發展方案」，亦提及智慧機械、智慧聯網、巨量資料、雲端運作等技術開發，使製造業、商業服務業、農業產品服務等，提升其附加價值。除此之外，經濟部積極規劃佈建巨量資料自主技術研發能力並且促成投資，落實應用產業智慧化與巨量資料產業化之目標。然而，巨量資料的應用因涉及大量的資料蒐集與利用，因此，未來應著重於如何將資料去辨識化，顧及隱私與個人資料之保護。目前，針對此部分，法務部將研擬個人資料保護法修正案，制訂巨量資料配套法規。

　　2018年7月27日印度電子及資訊科技部（Ministry of Electronics and Information Technology, MeitY）公告個人資料保護法草案（Protection of Personal Data Bill），若施行將成為印度首部個人資料保護專法。 　　其立法背景主要可追溯2017年8月24日印度最高法院之判決，由於印度政府立法規範名為Aadhaar之全國性身分辨識系統，能夠依法強制蒐集國民之指紋及虹膜等生物辨識，國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料，因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵，進而認為國民有資料自主權，能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害，因此認定Aadhaar專法與相關法律違憲，政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會，研擬個人資料保護法草案。 　　草案全文共112條，分為15章節。主要重點架構說明如下： 設立個資保護專責機構（Data Protection Authority of India, DPAI）：規範於草案第49至68條，隸屬於中央政府並由16名委員所組成之委員會性質，具有獨立調查權以及行政檢查權力。 對於敏感個人資料（Sensitive personal data）[1]之特別保護：草案在第4章與第5章兩章節，規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前，必須獲得資料主體者（Data principal）之明確同意（Explicit consent）。而明確同意是指，取得資料主體者同意前，應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式，以及可能對資料主體者產生之影響。 明確資料主體者之權利：規範於草案第24至28條，原則上資料主體者擁有確認與近用權（Right to confirmation and access）、更正權（Right to correction）、資料可攜權（Right to data portability）及被遺忘權（Right to be forgotten）等權利。 導入隱私保護設計（Privacy by design）概念：規範於草案第29條，資料保有者（Data fiduciary）應採取措施，確保處理個人資料所用之技術符合商業認可或認證標準，從蒐集到刪除資料過程皆應透明並保護隱私，同時所有組織管理、業務執行與設備技術等設計皆是可預測，以避免對資料主體者造成損害等。 指派（Appoint）資料保護專員（Data protection officer）：散見於草案第36條等，處理個人資料為主之機構、組織皆須指派資料保護專員，負責進行資料保護影響評估（Data Protection Impact Assessment, DPIA），洩漏通知以及監控資料處理等作業。 資料保存之限制（Data storage limitation）：規範於草案第10條與第40條等，資料保有者只能在合理期間內保存個人資料，同時應確保個人資料只能保存於本國內，即資料在地化限制。 違反草案規定處高額罰金與刑罰：規範於草案第69條以下，資料保有者若違反相關規定，依情節會處以5億至15億盧比（INR）或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義，草案第3-35條規定，包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分（transgender status）、雙性人身分（intersex status）、種族、宗教或政治信仰，以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料（health data）。

新加坡金融管理局（Monetary Authority of Singapore，下文簡稱MAS）於2024年5月29日發布《資料治理與管理實務》（Data Governance and Management Practices: Observations and Supervisory Expectations From Thematic Inspections）文件。此文件係根據MAS於2022年至2023年期間針對國內系統性重要銀行（Domestic Systemically Important Banks，下文簡稱D-SIBs）進行「資料治理與管理架構」的主題式檢查結果加以研究與分析而作成，其內容包含MAS對於資料治理的期望、受檢銀行的優良實踐範例及缺失，希望未參與檢查的銀行與金融機構也能根據這份文件進行適當的改善措施。 MAS在《資料治理與管理實務》文件中提出關於五大主題的監管期待，簡要說明如下： 1.董事會和高階管理層的監督： 董事會和高階管理層應加強監督資料治理。例如，定期向董事會報告資料管理領域的重要問題；高階管理層應即時獲得準確且完整的相關資訊，並對資料風險進行分析。 2.設置資料管理單位： 銀行應建立資料管理單位，並為資料管理辦公室提供明確的任務授權，以利其監測資料的品質。 3.資料品質之管理與控制： 銀行應建立資料品質管理架構與流程，以確保資料在整個生命週期中是有品質的。例如，建立有效控制資料流的機制；建立資料品質指標或計分卡；使用終端使用者運算工具（end-user computing tools）處理資料時，應納入風險評估和控制架構來管理。 4.資料品質控制資料之問題識別與升級： 銀行應制定升級標準和行動計畫，以改善資料品質。另外MAS也建議銀行應該要有強大且完整的資料譜系（data lineage）來辨識資料問題並將之改善。 5.BCBS 239原則之擴大適用：BCBS 239原則係巴賽爾銀行監理委員會（the Basel Committee on Banking Supervision）第239號規範：《有效風險資料聚合及風險報告原則》（Principles for effective risk data aggregation and risk reporting），適用於全球的系統性重要銀行（Global Systemically Important Banks），巴賽爾銀行監理委員會同時建議D-SIBs宜遵循此原則，因此MAS亦要求新加坡境內7家D-SIBs須遵守BCBS 239原則的相關規範。此外，MAS仍期待各銀行與金融機構可以擴大BCBS 239原則的適用範圍，例如在範圍內報告（in-scope reports，或稱主要風險報告）中納入反洗錢、稅務管理等面向。由於金融服務是一個由資料驅動的產業，資料已然是金融業重要的戰略資產。MAS期盼這份文件能夠讓所有銀行及金融機構提升其資料治理能力，並針對內部的問題進行改善。

　　美國歐巴馬總統在美國聯邦貿易委員會（Federal Trade Commission，FTC）2015年1月12日所舉辦的會議上，呼籲聯邦政府應制定「個人資料通知與保護法」（The Personal Data Notification and Protection Act），該法要求美國企業建立通報機制，其必須在資料遭盜取之日起三十天內通報客戶，以保護美國大眾之隱私。此一要求主要係因為發生多起網路駭客與資安事件，但目前聯邦政府卻欠缺相關法制，故聯邦政府嘗試藉此改善各州法律各行其事無法完善資安保護之問題，亦減輕跨州營運之美國企業適用各州法律之負擔，將有助於產業法制環境之改善。 　　同時，歐巴馬總統亦提出制定「學生數位隱私法」（The Student Digital Privacy Act）之呼籲，該法將禁止企業為獲取利益經由學校取得學生資料。此外，歐巴馬總統亦提及美國企業將需要簽署一自願性協議（Voluntary Code of Conduct for Smart Grid Customer Data Privacy，VCC），使消費者能夠查詢各企業之信用評分，帶動企業自主保護數位資料之安全，並以此作為身分盜取之預警，避免造成個資外洩後損失更多權益。而本次呼籲制定的法規尚針對先前由美國眾議院提出之「網路情報分享及保護法」（Cyber Intelligence Sharing and Protection Act，CISPA），特別強化其網路使用者保護之部份規定；其中包括加強公私部門合作以及深化網路防護安全，藉此妥善處理網路犯罪、保護國土安全等相關問題。是故，本次制定法規之目的將更著眼於擴大授權，使政府目的事業主管機關以及企業之間能夠共享相關資訊之權限，以預防更多潛在性的網路攻擊與資料盜取事件。