日本「個人編號（マイナンバー）」制度遭受違憲的質疑

　　英國自2020年1月31日正式脫離歐盟後，即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸，就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》（General Data Protection Regulation，GDPR）有無認定雙方具有本質上相同的保護程度，又稱為「適足性」（adequacy）的認定。目前，歐盟給予英國跨境傳輸過渡期到2021年7月，在此之後若希望持續不受限制的交流，就須經歐盟執委會（European Commission, EC）通過適足性認定後才得以進行。 　　2021年2月19日，歐盟執委會提出草案，認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」（Law Enforcement Directive，LED）有適足性之適用。又在4月14日，歐盟個資保護委員會（European Data Protection Board, EDPB）針對歐盟執委會於2月19日所做的認定草案提出兩項意見： 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另，肯定英國「2018年資料保護法」（Data Protection Act 2018）中有關GDPR及LED的適用及對「英國資訊委員辦公室」（Information Commissioner’s Office, ICO）所賦予的權利及義務。 　　但同時，EDPB也向歐盟執委會提出以下幾點注意事項： 英國政府若發展獨立的個資保護政策，將可能與歐盟的保護架構分歧，造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策，讓資料控制者在處理移民相關資料時有廣泛的例外，得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時，該「第三國」本身需要具有基本上等同於GDPR的資料保護程度，才得允許傳輸。 針對英國政府出於國家安全目的，將個人資料傳輸到英國境內，而有義務免除或特殊情狀時，歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款（four-year sunset clause）方式，並密切觀察英國資料保護的發展，在必要時得以要求修改或終止LED適足性的決定。 　　針對以上問題，歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時，若通過適足性認定，其效期將延續4年，之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時，歐盟執委會得將其納入定期審查的項目中，以確保歐盟的個資跨境傳輸進入英國後，仍受適當的保護。

　　美國財政部外國資產控制辦公室（The US Department of the Treasury’s Office of Foreign Assets Control, OFAC）於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告（Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險，期待企業可以採取相關之主動措施以減輕風險，此類相關之主動措施即緩減風險之因素（mitigating factors）。 　　該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為，故若企業對勒索軟體支付，或代替受害企業支付贖金，未來則有受到制裁之潛在風險，OFAC將依據無過失責任（strict liability），發動民事處罰（Civil Penalty制度），例如處以民事罰款（Civil Money Penalty）。 　　OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構，應實施合規之風險管理計畫以減少被制裁之風險，例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體，以及啟用身分驗證協議等；並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構，例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。

2025年9月Mendones v. Cushman and Wakefield, Inc.案（下稱Mendones案），面對生成式AI與深偽（deepfakes）對數位證據真實性的威脅，美國法院特別提到針對後設資料（metadata）的審查。 基於Mendones案原告提交9項涉嫌使用生成式AI的數位證據，其中證詞影片6A與6C影片具備「人物缺乏臉部表情、嘴型與聲音不相符，整體表現像機器人一樣」且「影片內容循環撥放」等AI深偽影片之典型特徵，法院懷疑原告舉證的數位證據為AI深偽影片。 因此，法院要求原告須提出該影片的後設資料，包含文件格式、創建/修改日期、文件類型、拍攝影片的快門速度等客觀資訊。 法院表示，原告提交的後設資料不可信，因為包含許多通常不會出現在後設資料的資訊（非典型的資訊），例如：著作權聲明。且法院進一步指出，許多非典型的資訊被放在不相關的欄位，例如：Google地圖的URL網址、電話號碼、GPS座標及地址等被放在「音樂類型」（musical genre）欄位內。因此法院懷疑，前述「非典型之後設資料」是被有存取文件與編輯權限的人添加的「後設資料」。 原告則主張，其透過iOS 12.5.5版本作業系統的Apple iPhone 6 Plus手機拍攝影片6A。法院指出，直到iOS 18版本作業系統，iPhone才推出可用於生成深偽影片的新功能「Apple Intelligence」相關技術，且該版本需要使用iPhone 15 Pro或更新的手機機型，因此法院發現技術上的矛盾。 法院認為，本案生成式AI影片已超越提交虛假引文（Fictitious Citations，即過往案例曾出現過律師提出AI虛構的判例之情況）的範疇。在訴訟中使用深偽證據，嚴重影響了法院的審理與公眾對司法的信任，並增加法院評估該證據是否為深偽之成本。因此，法院採取嚴厲的永久駁回訴訟（dismissed with prejudice），以表示對企圖以深偽資料為證據的行為持「零容忍」態度。 Mendones案展現法院審理AI深偽數位證據的細節，如「審視後設資料之內容準確、完整」為法院確認數位證據真實性的重要手段。 面對AI時代下數位證據的挑戰，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，以「b-JADE證明標章」結合區塊鏈技術。「b-JADE證明標章」確保鏈下管理數位資料原檔的機制，以及鏈上的「存證資料」包含「與數位原檔資料最終版本連結的『必要後設資料』」、雜湊值及時戳，如能妥適運用司法聯盟鏈進行證據「驗真」程序，將有助於強化數位信任。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）