全球首宗BitTorrent侵權案被判定有罪

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　歐盟執委會於2020年2月公布《人工智慧白皮書》（AI White Paper）後，持續蒐集各方意見並提出新的人工智慧規範與行動。2021年4月針對人工智慧法律框架提出規範草案（Proposal for a Regulation on a European approach for Artificial Intelligence），透過規範確保人民與企業運用人工智慧時之安全及基本權利，藉以強化歐盟對人工智慧之應用、投資與創新。 　　新的人工智慧法律框架未來預計將統一適用於歐盟各成員國，而基於風險規範方法將人工智慧系統主要分為「不可接受之風險」、「高風險」、「有限風險」及「最小風險」四個等級。「不可接受之風險」因為對人類安全、生活及基本權利構成明顯威脅，故將被禁止使用，例如：政府進行大規模的公民評分系統；「高風險」則是透過正面例舉方式提出，包括：可能使公民生命或健康處於危險之中的關鍵基礎設施、教育或職業培訓、產品安全、勞工與就業、基本之私人或公共服務、可能會干擾基本權之司法應用、移民與庇護等面向，而高風險之人工智慧在進入市場之前須要先行遵守嚴格之義務，並進行適當風險評估及緩解措施等。「有限風險」則是指部分人工智慧應有透明度之義務，例如當用戶在與該人工智慧系統交流時，需要告知並使用戶意識到其正與人工智慧系統交流。最後則是「最小風險」，大部分人工智慧應屬此類型，因對公民造成很小或零風險，各草案並未規範此類人工智慧。 　　未來在人工智慧之治理方面，歐盟執委會建議各國現有管理市場之主管機關督導新規範之執行，且將成立歐洲人工智慧委員會（European Artificial Intelligence Board），推動人工智慧相關規範、標準及準則之發展，也將提出法規沙盒以促進可信賴及負責任之人工智慧。

　　英國資訊專員辦公室(Information Commissioner's Office，簡稱ICO)在歐盟資料保護主管機關(European Data Protection Authorities) 針對WhatsApp與其母公司Facebook間進行資料共享之行為提出相關顧慮之後，於2016年8月就上開事件是否涉及違反英國資料保護法(Data Protection Act)啟動調查，調查結果終於在2018年3月14日出爐並且雙方達成協議。 　　ICO調查結果是WhatsApp並無正當且合法之理由與Facebook進行資料共享，惟並未對WhatsApp進行任何懲罰，原因乃是WhatsApp並未分享英國用戶之資料予Facebook，並未直接違反英國資料保護法，因為WhatsApp被定位在資料處理者(data processor)，只要運作是合法的且不侵擾人們之人權，即可容許。不過WhatsApp仍向ICO承諾將停止分享其用戶個人資訊予Facebook，此協議將持續到GDPR生效為止，亦即此後WhatsApp與Facebook間之資料共享若符合GDPR之規範，則可在基於安全防護之目的下進行或是改善其產品與廣告行銷。 　　ICO調查專員Elizabeth Denham指出WhatsApp不應與Facebook間進行資料共享之理由有三：一、WhatsApp並未確認其與Facebook間所進行之個人資料分享係基於何種法律依據；二、WhatsApp並未向其用戶適當且公平地揭露其如何處理、分享用戶之資料；三、對於WhatsApp既有之用戶而言，WhatsApp與Facebook間資料共享之處理目的與當初WhatsApp獲取其用戶資料之目的，二者並不相符。 　　惟歐盟其他國家對於WhatsApp之處置可能不若英國寬容。例如，法國國家資訊自由委員會(Commission nationale de l'informatique et des libertes，簡稱CNIL)正對其採取執法行動，而漢堡資料保護與資訊自由委員會(Hamburg Commissioner of Data Protection and Freedom of Information)將案件提交到高等行政法院，該法院並已禁止Facebook使用從WhatsApp共享中所獲得之資料。

日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南（下稱《指南》）》，指南分為三大章，第一章為整體資料環境之變化；第二章為資料治理；第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料處理篇，主要為促使企業理解有利活用於數位技術與服務的資料管理方法。 《指南》資料處理篇指出，資料的生命週期涵蓋資料設計、資料蒐集、外部資料連動、資料整合、資料處理、資料提供、資料累積以及資料銷毀等不同階段。《指南》建議在資料生命週期的各階段，盡可能的不要有人類的介入。舉例而言，資料蒐集可以透過感測器或系統進行。該建議的目的在於，人類介入資料生命週期，僅會引起輸入錯誤或是操作錯誤等風險。 此外，《指南》亦於資料處理篇中針對資料治理給出四點建議，分別如下： (一)資料是企業的重要資產，因此應重視其管理方式。管理方式涵蓋帳號密碼、透過生物辨識技術進行資料接觸管理、Log檔之取得、系統設定禁止使用USB等方式。 (二)資料治理的重點在於對人政策。除了向員工強調不要開啟不明網站及釣魚信件以外，企業亦應與員工建立堅實的信賴關係。 (三)資料公開或流通時應注意，如果不希望提供後的資料被二次利用，應於雙方間的資料利用契約中敘明。此外，由於資料具備易於複製及傳輸的特性，因此在公開或流通資料時，應考量適用諸如時戳技術等可確保資料原本性或使資料無法被竄改的數位技術。 (四)資料銷毀如果僅是單純的刪除資料，有透過數位技術找回資料的可能性。因此，除可評估委由專門進行資料銷毀服務的公司協助以外，由於銷毀資料經由個人電腦外洩之事件時有所聞，故亦應留意個人電腦之資料管理。 我國企業如欲將資料活用於數位技術或服務，除可參考日本所發布之《指南》資料處理篇以外，亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，以建立自身資料處理流程，進而強化資料管理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）