什麼是「先進製造夥伴2.0」（Advanced Manufacturing Partnership 2.0, AMP2.0）？

論美國公務機關就一般公務機密核密狀態爭議之處理 科技法律研究所 2013年07月16日 壹、前言 　　對於公務機密是否具機密核定適當性的問題，從近來公務機關內部所爆發的許多爭議案件中，已經逐漸引起社會大眾的關注。所謂公務機密，一般來說係包含國家機密與一般公務機密。有關於國家機密的核定權責機關、核解密方式，抑或是國家機密維護等事宜，主要係規範在國家機密保護法內；至於攸關一般公務機密的所有事宜，則主要是由行政院祕書處所頒布的文書處理手冊來作規範。 　　觀察國家機密保護法與文書處理手冊就機密核定狀態爭議的處理，依據國家機密保護法第十條第一項規定，原核定機關或其上級機關有核定權責人員得依職權或依申請，就實際狀況適時註銷、解除機密或變更機密等級，並通知有關機關。其乃賦予原核定機關或其上級機關，對於國家機密的機密核定或機密等級是否適當之問題，有主動行使機密狀態註銷、解除或變更的權限。然而，針對一般公務機密機密核定是否適當與其爭議處理，文書處理手冊並未為相關的機制設計，因此也引發一般公務機密的核定機關，當其認為機密核定有不適當之情形時，無相關管道可針對此項爭議提出異議。 　　是以，本文欲從美國公務機關解決公務機密狀態爭議（包含國家機密與一般公務機密）的機制出發，來觀察我國未來針對一般公務機密狀態爭議的機制建立，所必須著重與思考的面向，以作為未來主管機關增修相關法規範的參考。 貳、美國公務機關如何解決公務機密核密狀態之爭議 一、行政命令第13526號（Executive Order 13526） 　　為了在政府資訊公開與國家資訊保護兩者間界定完善的平衡點，美國歐巴馬政府於 2009 年頒布第 13526 號行政命令（ Classified National Security Information ）[1]，該行政命令主要係規範涉及公務機密（包含國家機密與一般公務機密）之密等核定、機密維護與機密解密或降密等事宜。本號行政命令可視為是美國聯邦政府機關在其職責內涉及公務機密之公務資訊，如何就前述資訊建立其內部公務機密管理機制的範本。 　　在本號行政命令第一部分，主要針對機密分類規範（ Classification Standards ）[2]、機密分類層級（ Classification Levels ）[3]、機密分類權限（ Classification Authority ）[4]、機密分類種類（ Classification Categories ）[5]、機密存續期間（ Duration of Classification ）[6]、機密識別與標示（ Identification and Markings ）[7]、機密分類禁止與限制（ Classification Prohibitions and Limitations ）[8]、機密分類爭議（ Classification Challenges ）[9]，以及基本分類指導複查等事項（ Fundamental Classification Guidance Review ）[10]，來提供聯邦政府機關制定內部規範的基準。其中，在機密分類爭議部分，若經授權持有公務機密之人善意且相信該機密的分類狀態（ status ）屬不適當時，其可依循所屬聯邦政府機關內部程序來就該機密的分類狀態提出異議 [11]。有關於該程序的建立，各聯邦政府機關首長或資深機關職員必須就該程序確保（ 1 ）該提出機密分類異議之人（包含經授權持有機密之機關內外部人員）不會因該異議的提出而遭受報復；（ 2 ）提供公正之官方人員或專門審查小組就機密分類異議有複查機會；（ 3 ）該提出機密分類異議之人若不滿聯邦政府機關內部所為之決定時，可向跨機關安全分類事務上訴委員會（ Interagency Security Classification Appeals Panel, ISCAP ）提出上訴。然，若公文因不揭露協議（ Non-Disclosure Agreement, NDA ）而需作發佈前審查（ prepublication review ）或依其他行政程序而需先行提出時，則不適用本項之規定。 　　在第二部分，係規範使用派生機密分類（ Use of Derivative Classification ）[12]的情形與要求各聯邦政府機關需就該派生機密的使用制定指導手冊（ Classification Guides ） [13]；在第三部分，主要規範解密的權責機關（ Authority of Declassification ）[14]、被移轉機密紀錄（ Transferred Records ）[15]、機密自動解密（ Automatic Declassification ）[16]、機密系統性解密複查（ Systematic Declassification Review ）[17]、機密強制性解密複查（ Mandatory Declassification Review ）[18]、處理機密請求與複查（ Processing Requests and Reviews ）[19]與建立國家資訊解密中心（ National Declassification Center ）[20]等事項。 　　在第四部分中，則規範一般使用限制（ General Restrictions on Access ）[21]、機密散佈控管（ Distribution Controls ）[22]、特殊使用程序（ Special Access Programs ）[23]，以及針對過去有使用機密紀錄之研究者與某些前政府人員使用資訊（ Access by Historic Researchers and Certain Former Government Personnel ）[24]的情形。在第五部分，其謂資訊安全監督辦公室主任（ The Director of the Information Security Oversight Office ），在檔案保管員（ Archivist ）的指示且諮詢國家安全顧問（ National Security Advisor ）後，應發佈可落實本行政命令且拘束各聯邦政府機關的指令[25]。同時，也針對資訊安全監督辦公室與 ISCAP 的設立、權責、功能、規則與程序作逐一說明[26]。此外，亦對各聯邦政府機關首長就其機關內部所建立之機密分類機制所應負的責任與若違法時所應遭受的裁罰另作完整規範[27]。 　　最後，在第六部分，係針對名詞定義[28]、一般事項[29]、有效日期[30]與發佈[31]等行政事宜作完整說明。 二、美國國防部（ Department of Defense ）公務機密管理機制 （一）美國國防部公務機密管理機制介紹 　　為遵循美國行政命令第 13526 號，美國國防部對於其業內公務機密（包含國家機密與一般公務機密），亦建立自身公務機密管理機制來防止該資訊受到外國或恐怖分子的刺探或取得。美國國防部公務機密管理機制主要分成六個部分[32]，第一部分為參照（ References ）；第二部分為責任（ Responsibilities ）；第三部分為資訊安全工作概觀（ DoD Information Security Program Overview ）；第四部分為分類資訊（ Classifying Information ），其就機密分類政策、機密分類等級、機密最初分類與派生分類的規定與流程、機密分類期限與機密分類爭議等事項作敘明；第五部分為解密與分類變更（ Declassification and Changes in Classification ），其涉及機密解密程序、機密自動解密、機密強制解密複查、機密解密系統性複查等其他攸關解密或變更機密等事宜；最後，第六部分為安全分類指導（ Security Classification Guides ），其內容乃就前述涉及安全分類內容、資料編輯考量、安全分類複查、安全分類取消或安全分類變更報告等程序或細部事項提供內部權責人員在處理相關事務時的參考。 （二）美國國防部就涉及機密分類爭議的處理方式 　　如前所述，美國國防部公務機密管理機制第四部分針對機密分類爭議設有明確的處理原則與程序，在分類爭議處理原則中[33]，假若機密持有人有足夠理由相信其持有機密的分類是不適宜或不必要時，該持有人應該就此確信向資訊安全管理者或最初分類權責機關（ Original Classified Authority, OCA ）提出任何必要矯正建議。前述矯正建議可藉由非正式（ informal ）或正式（ formal ）方式提出。以正式提出而言，機密持有人應聯絡原始文件或資料分類者（ the classifier of the source document or material ）來解決機密分類的爭議；同時，其必須就該爭議機密提出足夠描述來容許原分類者盡合理努力來發現是否有不合宜或不適當的機密分類情況，且應提出理由來說明為何他（她）相信該機密是被不合宜或不適當分類的依據。此外，本規範亦要求美國國防部內部主事者（ Heads ）應確保對提出機密分類狀態質疑或就機密分類爭議以正式方式提出之任何人，不得對其行使報復行為或採取類似行動；同時，就受質疑的機密應確保其保密狀態且亦受到保護，除非且直到原核定人員已經作出解密之決定。然而，有關於可受機密分類爭議的客體，將不會擴及因同意不揭露協議而需受發佈前審查或依其他行政程序而需先行提出的資訊。 　　至於處理機密分類爭議的程序[34]，美國國防部內部主事者應就分類爭議建立完善的處理程序，該程序需就以正式方式提出機密分類質疑的處理情形、追縱情況與記錄均建構完整的流程（其中包含就持有機密者因不滿決定所提出的上訴程序）；同時，就機密分類爭議的審查，也必須賦予公正的官方人員或委員會就該爭議機密有再次複查的機會。有關於處理流程，審查機密分類爭議的權責人員必須於收受案件後 60 日內以書面方式回覆處理情形，假若未於 60 日內作出完整回覆，則美國國防部應轉而接受處理該機密分類爭議並提供預期的回應日期。前述美國國防部收受確認回覆之聲明，應包含假若對機密分類提出質疑之人於提出後 120 日內未收到任何回應，則該質疑者有權將該案件轉交 ISCAP 。此外，當美國國防部於收受上訴申請後 90 日內未對上訴進行回應時，則該質疑者也可將該爭議案件轉交 ISCAP 來作裁處。 三、美國國土安全部（ Department of Homeland Security ）公務機密管理機制 （一）美國國防部公務機密管理機制介紹 　　為了落實第 13526 號行政命令，美國國土安全部就其業內公務機密（包含國家機密與一般公務機密），對於機密分類機制的履行、管理與監督亦建制自身的公務機密管理規範。美國國土安全部公務機密管理機制主要區分為六章[35]，第一章為制定目的（ Purpose ）；第二章為適用範圍（ Scope ）；第三章為制定權限授與（ Authority ）；第四章為名詞定義（ Definitions ）；第五章為掌管公務機密安全之權責機關責任（ Responsibilities ）；第六章為公務機密安全的政策與流程（ Policy & Procedures ）。在第六章中，其規範內容包含最初分類、派生分類、機密分類考量（其中亦涉及機密分類爭議處理程序）、機密解密、機密解密之強制複查、資訊自由法（ Freedom of Information Act ）與隱私法（ Privacy Act ）之法規要求、機密解密之系統性複查、機密分類降級與升級事項等事項。 （二）美國國土安全部就涉及機密分類爭議的處理方式 　　對於美國國土安全部機密分類爭議處理[36]，假若經授權之機密持有者善意相信其所持有的機密分類狀態係屬不適當時，其可對該機密分類狀態提出質疑。該機密分類爭議應該向機密核定者（ the classifier of the information ）提出，當有必要性時，對於機密分類狀態有質疑者可以透過美國國土安全部安全工作室（ the DHS Office of Security ）來就相關程序尋求協助與 / 或以匿名的方式來進行機密分類爭議流程。 　　至於機密分類爭議的提出方式，美國國土安全部公務機密管理機制將其區分為正式提出與非正式提出而異其流程。先以正式提出而論，對於機密分類狀態有疑問者，應先以書面方式向該機密的最初分類權責機關提出機密分類爭議，且此程序相互往來之書面文件應保持在不核密（ unclassified ）的狀態。然而，假若該機密分類爭議案件包含其他經核密的資訊時，則該爭議案件應該為保密標示且作任何必要的保護措施[37]。 　　有關於書面撰寫內容，對機密分類狀態有質疑者應對爭議機密有足夠的描述，且僅可包含為何該機密被核密或為何該機密被核定為某等級機密的問題[38]。同時，對機密分類質疑者不得就其提出行為進行任何類型的報復，且美國國土安全部安全工作室亦可要求該爭議程序需以匿名的方式來進行處理。若以匿名方式進行時，美國國土安全部安全工作室必須對機密分類質疑者承諾其匿名性，並作為該質疑者在相關爭議案件程序的代理人（ agent ）[39]。 　　當爭議機密的最初分類權責機關在收受該爭議案件後，其應於 60 日內以書面方式對該機密分類質疑者作出是否仍維持該機密核密狀態或進行解密程序的決定[40]。若機密分類質疑者不滿最初分類權責機關之決定時，其可就該決定上訴至 ISCAP[41]。有必要時，美國國土安全部安全工作室就上訴程序需提供機密分類質疑者各式相關的協助[42]。至於爭議機密的狀態，在最初分類權責機關作出最後決定前，應該確保該機密在爭議案件程序中仍然維持其核密狀態並提供其最高程度的保護[43]。 　　相反的，以非正式提出而言，經授權之機密持有者可直接聯繫該機密的最初分類權責機關來獲得質疑內容的所有澄清[44]。假若該爭議機密已經由非正式提出方式獲得分類狀態的解決時，該機密分類質疑者應確保作出分類狀態改變之機關係有權責來作出此項決定，且應確保變更過程中的各式相關紀錄（包含機關人員姓名、職位、服務機關、日期）有影印之副本存[45]。茲以下表來比較美國國防部與美國國土安全部所建立之公務機密狀態爭議處理機制。 參、代結論 　　考量美國公務機關針對公務機密（包含國家機密與一般公務機密）狀態爭議設有完整的處理程序，來供公務機密持有者當就手邊的公務機密狀態有所質疑時可提出異議。由於該處理機制對涉及國家機密或一般公務機密狀態爭議有一體適用的特性，也因此讓人思考是否在機制設計上有偏重國家機密，而在以相同機制處理一般公務機密的面向上，存有處理方式失衡的可能性。為了避免發生如同美國公務機關，以相同機制處理國家機密與一般公務機密所致生的權重失衡問題，未來我國公務機關在設計一般公務機密爭議處理程序時，除應考慮一般公務機密與國家機密有本質與特性的差異外，也須考量現行我國行政機關處理一般公務機密的實際運作環境，來制定出切合行政機關需求的一般公務機密爭議處理機制。 　　然而，相較於美國公務機關對於公務機密狀態爭議訂有完整的處理方式，作為我國一般公務機密處理準則的文書處理手冊，僅要求對於納入檔案管理之機密文書，若有變更機密或解密者，應即按規定辦理變更或解密手續[46]，但對於何人可提出解除機密或機密變更的聲請、提出解除機密或機密變更的方式、一般公務機密原核定機關對於解除機密或機密變更的處理期限、提出一般公務機密狀態是否適當之質疑者的人身或職位安全保障，抑或是對原核定機關解除機密或機密變更之決定有不服者如何提出複查之聲請，均未有完整的規範。 　　由於文書處理手冊的規範，現行我國公務機關就一般公務資訊或有可能發生不當核密（或解密）的情況，其緣由可能因核定人員為防止不確定是否為機密之公務資訊有外洩之虞，抑或是因機關內部缺乏合適的諮詢單位，而導致核定人員誤將非機密之公務資訊以機密文書方式處理。因而，如何在一般公務機密核密狀態遭受質疑時，能提供原核定機關或持有一般公務機密者有適當管道或機制來作相應處理，乃是我國公務機關遲早必須面對的議題。 [1] The White House （ 2013 ） ‧ Exec. Order No. 13526 ‧Retrieved from http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed July. 16, 2013) [2]id . Sec. 1.1. [3]id . Sec. 1.2. [4]id . Sec. 1.3. [5]id . Sec. 1.4. [6]id . Sec. 1.5. [7]id . Sec. 1.6. [8]id . Sec. 1.7. [9]id . Sec. 1.8. [10]id . Sec. 1.9. [11] id. Sec. 1.8(a). [12]id. Sec. 2.1. [13]id. Sec. 2.2. [14]id. Sec. 3.1. [15]id. Sec. 3.2. [16]id. Sec. 3.3. [17]id. Sec. 3.4. [18]id. Sec. 3.5. [19]id. Sec. 3.6. [20]id. Sec. 3.7. [22]id. Sec. 4.1. [22]id. Sec. 4.2. [23]id. Sec. 4.3. [24]id. Sec. 4.4. [25]id. Sec. 5.1(a). [26]id. Sec. 5.2 & 5.3. [27]id. Sec. 5.4 & 5.5. [28]id. Sec. 6.1. [29]id. Sec. 6.2. [30]id. Sec. 6.3. [31]id. Sec. 6.4. [32]Department of Defense ‧ DoD Information Security Program: Overview, Classification, and Declassification ‧ Retrieved from http://www.dtic.mil/whs/directives/corres/pdf/520001_vol1.pdf (last accessed July. 16, 2013) [33]id. Sec. 22(a). [34]id. Sec. 22(b). [35]Department of Homeland Security Management Directive System ‧ Protection of Classification National Security Information Classification Management ‧ Retrieved from http://www.fas.org/sgp/othergov/dhs/md11044.pdf (last accessed July. 16, 2013) [36]id. Chapter IV, E, 3. [37]id . at 3(a)(1). [38]id. [39]id . at 3(a)(2). [40]id . at 3(a)(3). [41]id . at 3(a)(4). [42]id . [43]id . at 3(a)(5). [44]id . at 3(b). [45]id . [46]文書處理手冊第 71 點。

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」 資訊工業策進會科技法律研究所 法律研究員　李哲明 2018年3月31日 壹、事件摘要 　　因應歐盟「通用資料保護規則」（The General Data Protection Regulation，或有譯為一般資料保護規則，下簡稱GDPR）執法即將上路，針對個人資料侵害之通報義務，歐盟資料保護工作小組（Article 29 Data Protection Working Party, WP29）特於本（2018）年2月6日修正通過「個人資料侵害通報指引」（Guidelines on Personal data breach notification under Regulation 2016/679），其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等，均設有詳盡說明與事例。 貳、重點說明 一、何謂個資侵害？個資侵害區分為哪些種類？ 　　依據GDPR第4條（12）之定義，個資侵害係指：「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說，個人資料之喪失包括含有控制者（controller）顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密，或經控制者加密，但其金鑰已滅失。依據資訊安全三原則，個資侵害之種類區分為： 機密性侵害（Confidentiality breach）：未經授權、意外揭露或獲取個人資料。 完整性侵害（Integrity breach）：未經授權或意外竄改個人資料。 可用性侵害（Availability breach）：在意外或未經授權之情況下，遺失個人資料存取權限或資料遭銷燬。 二、何時應為通知？ 　　按GDPR第33條（1）之規定，當個資侵害發生時，在如果可行之情況下，控制者應即時（不得無故拖延）於知悉侵害時起72小時內，依第55條之規定，將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者，不在此限。倘未能於72小時內通報監管機關者，應敘明遲延之事由。 三、控制者「知悉」時點之判斷標準為何？ 　　歐盟資料保護工作小組認為，當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」（reasonable degree of certainty）時，即應視為其已知悉。以具體事例而言，下列情況均屬所謂「知悉」： 在未加密個人資料的情況下遺失USB密鑰（USB Key），通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事，惟仍應為通知，因發生可用性侵害之情事，且已達合理確信的程度。 　　故應以控制者意識到該密鑰遺失時起為其「知悉」時點。 第三人通知控制者其意外地收到控制者的客戶個人資料，並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時，即為其「知悉」時點。如：誤寄之電子郵件，經非原定收件人通知寄件者之情形。 當控制者檢測到其網路恐遭入侵，並針對其系統進行檢測以確認個人資料是否遭洩漏，嗣後復經證實情況屬實，此際即屬「知悉」。 網路犯罪者在駭入系統後，聯繫控制者以索要贖金。在這種情況下，控制者經檢測系統並確認受攻擊後，亦屬「知悉」。 　　值得注意的是，在經個人、媒體組織、其他來源或控制者自我檢測後，控制者或將進行短暫調查，以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況，控制者將不會被視為「知悉」。然而，控制者應儘速展開初步調查，以形成是否發生侵害事故之合理確信，隨後可另進行更詳盡之調查。 四、共同（聯合）控制者之義務及其責任分配原則 　　GDPR第26條針對共同控制者及其如何確定各自之法遵義務，設有相關規定，包括決定由哪一方負責遵循第33條（對主管機關通報）與第34條（對當事人通知）之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議，約明哪一方係居主要地位者，或須負責盡到個資侵害時，GDPR所定之通知義務，並載於契約條款中。 五、通報監管機關與提供資訊義務 　　當控制者通報監管機關個資侵害情事時，至少應包括下列事項 （GDPR第33條（3）參照）： 敘述個人資料侵害之性質，包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。 傳達資料保護長（DPO）或其他聯絡人之姓名與聯絡方式，俾利獲得進一步資訊。 說明個資侵害可能之後果。 描述控制者為解決個資侵害業已採取或擬採行之措施，在適當情況下，酌情採取措施以減輕可能產生之不利影響。 　　以上乃GDPR要求通報監管機關之最基本事項，在必要時，控制者仍應盡力提供其他細節。舉例而言，控制者如認為其處理者係個資侵害事件之根因（root cause），此時通報並指明對象即可警示委託同一處理者之其他控制者。 六、分階段通知 　　鑒於個資事故之性質不一，控制者通常需進一步調查始能確定全部相關事實，GDPR第33條（4）爰設有得分階段通知（notification in phases）之規定。凡於通報時，無法同時提供之資訊，得分階段提供之。但不得有不必要之遲延。同理，在首次通報後之後續調查中，如發現該事件業已受到控制且並未實際發生個資侵害情事，控制者可向監管機關為更新。 七、免通報事由 　　依據GDPR第33（1）條規定，個資侵害不會對自然人之權利和自由造成風險者，毋庸向監管機關通報。如：該遭洩露之個人資料業經公開使用，故並未對個人資料當事人構成可能的風險。 　　必須強調的是，在某些情形下，未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報（監管機關）或通知（當事人），以及安全維護措施之缺乏或不足，以違反第33條或（及）34條與第32條等獨立義務規定為由，而依第83條4（a）之規定，併予裁罰。 參、事件評析 一、我國企業於歐盟設有分支機構或據點者，宜指派專人負責法遵事宜 　　揆諸GDPR前揭規定，當個資侵害發生時，控制者應即時且不得無故拖延於知悉時起72小時內，將個資侵害情事通報監管機關。未能履踐義務者，將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元，取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等，均或有於歐盟成員國境內或歐洲經濟區（European Economic Area）當地設立子公司或營業據點。因此，在GDPR法遵衝擊的倒數時刻，指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及，未能及時處置而致罹法典之憾。 二、全面檢視個資業務流程，完備個資盤點與風險評鑑作業，掌握企業法遵現況 　　企業應全面檢視業務流程，先自重要核心業務中析出個資作業流，搭配全面個資盤點，並利用盤點結果進行風險評鑑，再針對其結果就不同等級之風險採行相對應之管控措施。此外，於全業務流程中，亦宜採行最小化蒐集原則，避免蒐集過多不必要之個人資料，尤其是GDPR所定義之敏感個資（如：種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料，及遺傳資料的處理，用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等）或犯罪前科資料，俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。 三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認（驗）證，並建置認證資訊公開平台 　　鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升，我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應，更有賴政府透過法令（如：修正個人資料保護法）強制要求一定規模以上之企業通過第三方專業驗證，俾消弭風險於日常準備之中。蓋我國具一定規模以上企業，無論其係屬何種業別，一旦違反國際法遵要求，遭致鉅額裁罰，其影響結果將不僅止於單一企業，更將嚴重衝擊該產業乃至於國家整體經貿發展。職是，採法律強制要求企業定期接受獨立、公正及專業第三方認（驗）證，咸有其實益性與必要性。

南韓個資保護委員會（Personal Information Protection Commission, PIPC）於2024年7月18日發布《人工智慧（AI）開發與服務處理公開個人資料指引》（인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서）（以下簡稱指引）。該指引針對AI開發與服務處理的公開個人資料（下稱個資）制定了新的處理標準，以確保這些資料在法律上合規，且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中，會使用大量從網路上收集的公開資料，這些公開資料可能包含地址、唯一識別資訊（unique identifiable information, UII）、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資，內容不限於個資主體自行公開的資料，還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多，在現實中很難在處理這些公開個資以進行AI訓練之前，取得每個個資主體的單獨同意及授權，同時，南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題，PIPC制定了該指引，確認了蒐集及利用公開個資的法律基礎，並為AI開發者和服務提供者提供適用的安全措施，進而最小化隱私問題及消除法律不確定性。此外，在指引的制定過程中，PIPC更參考歐盟、美國和其他主要國家的做法，期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分，第一部分：應用正當利益概念；第二部分：建議的安全措施及保障個資主體權利的方法；及第三部分：促進開發AI產品或服務的企業，在開發及使用AI技術時，注意可信任性。 針對第一部分，指引中指出，只有在符合個人資料保護法（Personal Information Protection Act, PIPA）的目的（第1條）、原則（第3條）及個資主體權利（第4條）規定範圍內，並滿足正當利益條款（第15條）的合法基礎下，才允許蒐集和使用公開個資，並且需滿足以下三個要求：1.目的正當性：確保資料處理者有正當的理由處理個資，例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性：確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估：確保資料處理者的正當利益明顯超越個資主體的權利，並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定，其中，技術防護措施包括：檢查訓練資料來源、預防個資洩露（例如刪除或去識別化）、安全存儲及管理個資等；管理和組織防護措施包括：制定蒐集和使用訓練資料的標準，進行隱私衝擊影響評估（PIA），運營AI隱私紅隊等；尊重個資主體權利規定包括：將公開資料蒐集情形及主要來源納入隱私政策，保障個資主體的權利。 最後，在第三部分中，指引建議AI企業組建專門的AI隱私團隊，並培養隱私長（Chief Privacy Officers, CPOs）來評估指引中的要求。此外，指引亦呼籲企業定期監控技術重大變化及資料外洩風險，並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新，並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通，並密切關注技術進步及市場情況，進而推動PIPA的現代化。

　　越來越多消費者由網際網路觀賞視訊內容，保護新興視訊業者之市場競爭力也越加重要。美國參議員John D. Rockefeller於2013年11月發佈「消費者網路視訊選擇法（Consumer Choice in Online Video Act）」草案，塑造一個以消費者需求為中心的視訊市場，提供完全的單頻單賣（a la carte），使消費者有權力選擇想看的節目、決定想看的時間、挑選收看的方式，並且只為真正收看的內容付費。 　　此外，本法案亦規範網路服務業者必須提供消費者更完整精確的帳單資訊，以增進消費者權益。在促進市場競爭的目的下，本法案也賦予新興視訊產業基本的保護，防止既有業者之反競爭行為，使市場能有效競爭，帶給消費者更多利益。 　　該法案的主要規範內容簡介如下： ‧管制既有之有線電視、衛星電視與大型媒體公司對網路視訊服務業者的反競爭行為。 ‧提供網路視訊服務業者合理的取得各種節目內容之能力，使他們能提供給消費者更多節目與服務的選擇。 ‧管制寬頻服務業者不得降低其市場競爭者之網路傳輸品質，以保護網路視訊業者接觸消費者、提供服務的管道。 ‧提供消費者更為透明與容易理解的帳單資訊。消費者在申請網路服務時，將能得到更為清晰易懂的服務契約與條款的資訊。 ‧指示聯邦通信委員會持續監督寬頻服務之資費條件，確保這些資費條件不被用於反市場競爭行為。 　　隨著寬頻服務的普及，網際網路能夠提供更多元的內容，一方面消費者能夠有更多的選擇，確保市場持續有效競爭是非常重要的，本法案對我國而言亦有相當參考價值。