歐盟針對數位革命之法制障礙展開討論

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。

我國電子遊戲場業管理條例修法研析 -參考美國佛州Family Amusement Games Act 資策會科技法律研究所 法律研究員　王凱嵐 105年04月06日 　　去年七月，美國佛州政府簽屬一份Family Amusement Games Act 法案，條文部份針對電子遊戲機做完整的定義解釋，及遊戲機所擺放的場域做限制。特別的是此法案排除博弈遊戲，僅針對非博弈遊戲做獨立規範。 　　新修法案之目的在於解決相關遊戲業者面對舊法時的疑惑。修法後將博弈性遊戲與技術性遊戲做出區分，另關於遊戲擺放的場域以及遊戲獎賞都有明確的立法條文。法案做出明確規範後，大幅度的降低遊戲機業者對於政府法規的不確定感，在遊戲產業上能夠有更多的空間去發展及調整。 　　在我國，長久以來電子遊戲場所給大眾多為不良的印象，政府雖然早已制定「電子遊戲場業管理條例」作為規範，但自民國八十九年二月三日公布施行至今已超過十五年，立法時之管制目的及作法與現今社會風氣、產業趨勢已不盡相符，本文擬藉由參考美國佛州對於遊戲機的定義及限制規定，就未來可能之修法方向提出建議。首先論我國現行條例之問題，再論美國佛州立法可採之處，最後將針對現行條例未來修正提供建議。 壹、美國佛州Family Amusement Games Act: 　　美國佛州Family Amusement Games Act (以下簡稱「親子遊戲機法」)對於遊戲機台做以下的文字解釋：「可供一般民眾單純娛樂之遊戲，得使用鈔票、硬幣、卡片、彩券、代幣、籌碼或相似的替代物進入遊戲，並能以遊戲技術控制遊戲結果。排除任何其它具有博弈性質的遊戲。」從佛州法條上的解釋可以看出，此立法上將遊戲區分技術性與博弈性兩種類型，遊戲者必須是以自身遊戲技巧控制遊戲並能影響其結果，且非只靠運氣或投機心態遊戲。與佛州舊法相比，新法之遊戲機不僅以使用硬幣為限，允許使用其它相類似的替代物遊戲。提高了彩券獎品的金額限制，並新增遊戲機得放置的場域(保齡球館、旅館、餐廳)。 　　為了使定義更加完善，美國佛州新法僅針對博弈性遊戲做解釋:「1.遊戲以機械式或影像上具有吃角子老虎機的捲軸或符號，或以視頻模擬任何其他賭場遊戲，包括撲克、賓果、拉霸機、樂透、輪盤賭、擲骰子，但不僅限於上述之遊戲。2.遊戲中玩家無法以自身技巧控制結果或其遊戲結果為不可目測、不可知悉、不可預見。3.視頻撲克遊戲或任何遊戲或機器可被本州法律解釋為賭博設備。4.任何遊戲或設備被規定在15 U.S.C. s. 1171，除非排除在15 U.S.C. s. 1178。」從以上的條文可以看出，佛州在博奕性遊戲上，完整的做出定義，使遊戲業者能清楚的知道遊戲機的類別區分，對於機台發展和市場推廣上有相當大的助益。 　　美國佛州將非博奕性遊戲機區分為A、B、C三類。首先A類為得重複遊戲獎勵遊戲機，其遊戲結果不得以現金、彩券、籌碼、點數、折價卷或任何有兌換價值之電子點數當作獎勵。此類遊戲機，因其遊戲性質僅以單純地重複性遊戲，在擺放區域上並無限制。B類為得以彩券做為遊戲獎勵之遊戲機。C類為得以直接獲取獎勵物品之遊戲機，但其商品價值不得超過一定之金額限定。B、C兩類遊戲機，其擺放場域相似度高，僅有部分場域另做規定。區分此三類之目的，在於規範不同遊戲結果之遊戲機台。又關於彩券及獎勵物品在佛州新法中，也有詳盡的規範，具體的勾勒出三種遊戲機三種不同的遊戲態樣。 貳、我國電子遊戲場業管理條例 　　我國電子遊戲場業管理條例第4條所稱之電子遊戲機「指利用電、電子、電腦、機械或其它類似方式操縱，以產生或顯示聲光影像、圖案、動作、之遊樂機具，或利用上述方式操縱鋼珠或鋼片發射之遊樂機具。但未具影像、圖案，僅供兒童騎乘者，不包括在內。」關於電子遊戲機的認定，判斷上以是否利用電、電子、電腦、機械或其它類似方式操縱，若是符合以上要件，應屬於本條例所稱之電子遊戲機。 　　我國「電子遊戲場業管理條例」採營業分級、機具分類之制度，依據遊戲之內容之暴露、暴力、血腥、恐怖程度及操作結果區分將電子遊戲機分為三類:益智類、鋼珠類、娛樂類。所謂益智類遊戲其內容無任何暴露、暴力、血腥或恐怖，亦無任何渲染妨害風化之元素在內，且其操作結果所得之分數僅得作為兌換獎品之憑證，不得作為轉押住使用，判斷標準相當嚴格。 　　關於遊戲營業場再區分成兩類，我國電子遊戲場業管理條例第5條:「普通級：指僅設置益智類電子遊戲機，供兒童、少年及一般大眾遊藝者。限制級：指設置鋼珠類、娛樂類或附設益智類遊戲電子遊戲機，僅供十八歲以上之人遊藝者」而又同條例第9條之規定:「電子遊戲場業之營業場所，應距離國民中、小學、高中、職校、醫院五十公尺以上。」，由此可知我國雖將電子遊戲機依內容區分為三類，但其遊戲場所只區分兩類，且在設置地區之限制是相同的。 參、小結 　　數位休閒產業現階段發展所遇到的問題，除了先前提到的負面形象外，還包含法制規範已不符合潮流，此現象造成產業被法律嚴格管理、地方政府限制發照、人才投入意願低落。因此，修改現行管理條例以及匡正產業形象已有其必要性與重要性。 　　前述美國佛州的立法例，在遊戲機的定義上即與我國有明顯不同。佛州以進入遊戲的方式定義新法所規範的遊戲機類別。我國可考慮參考此分類方式，將遊戲類別的區分單純技術性與射倖性遊戲(博弈目前在我國不合法)，並在益智類遊戲分類項下針對暴露、暴力、血腥或恐怖等要素，參考遊戲軟體分級之作法再作進一步的區分，同時搭配擺放遊戲機台場域的限制規定，不再用原則限制的角度去立法，而是回歸到遊戲場業管理制度上做規範，使遊戲機台開發商或製造業者能按其公司營運方向進行內容種類的規劃，以追求產業發展與安全監管上的平衡。

　　歐盟執委會於2021年4月21日提出「人工智慧規則」（AI regulation）草案，成為第一個結合人工智慧法律架構及「歐盟人工智慧協調計畫」（Coordinated Plan on AI）的法律規範。規範主要係延續其2020年提出的「人工智慧白皮書」（White Paper on Artificial Intelligence）及「歐盟資料策略」（European Data Strategy），達到為避免人工智慧科技對人民基本權產生侵害，而提出此保護規範。 　　「人工智慧規則」也依原白皮書中所設的風險程度判斷法（risk-based approach）為標準，將科技運用依風險程度區分為：不可被接受風險（Unacceptable risk）、高風險（High-risk）、有限風險（Limited risk）及最小風險（Minimal risk）。 　　「不可被接受的風險」中全面禁止科技運用在任何違反歐盟價值及基本人權，或對歐盟人民有造成明顯隱私風險侵害上。如政府對人民進行「社會評分」制度或鼓勵兒童為危險行為的語音系統玩具等都屬於其範疇。 　　在「高風險」運用上，除了作為安全設備的系統及附件中所提出型態外，另將所有的「遠端生物辨識系統」（remote biometric identification systems）列入其中。規定原則上禁止執法機構於公眾場合使用相關的生物辨識系統，例外僅在有目的必要性時，才得使用，像尋找失蹤兒童、防止恐怖攻擊等。 　　而在為資料蒐集行為時，除對蒐集、分析行為有告知義務外，也應告知系統資料的準確性、安全性等，要求高度透明化（Transparency obligations）。不只是前述的不可被接受風險及高風險適用外，有限風險運用中的人工智慧聊天系統也需要在實際和系統互動前有充足的告知行為，以確保資料主體對資料蒐集及利用之情事有充足的認知。 　　在此新人工智慧規範中仍有許多部份需要加強與討論，但仍期望在2022年能發展到生效階段，以對人工智慧科技的應用多一層保障。

　　美國聯邦商務部（Department of Commerce, DOC）下之工業及安全局（Bureau of Industry and Security, BIS）於2021年10月20日公布一暫行最終規則（interim final rule），對出口管制規則（Export Administration Regulation, EAR）進行修訂，其於商品管制清單（Commerce Control List）中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼（Export Control Classification Number, ECCN）項目及說明文字，並增訂「授權網路安全出口（Authorized Cybersecurity Exports, ACE）」的例外許可規定（15 CFR §740.22），該暫行最終規則將於2022年1月19日生效。 　　被列入商品管制清單內的項目，原則上即不允許出口（或再出口、於國內移轉，以下同），惟透過ACE之例外許可，使前述項目可出口至大多數國家，僅在下列「再例外」情況需申請出口許可： 出口地為反恐目的地：出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時，須申請出口許可。 出口對象為國家類別D之政府終端使用者（Government end user）：政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體，當政府終端使用者歸屬於國家類別D時，須申請出口許可。惟若類別D之國家同時被歸類於類別A:6（如賽普勒斯、以色列及台灣），在特定情況下，如為弱點揭露、犯罪調查等目的，出口予該國之電腦安全事件回應小組；為犯罪調查、訴訟等目的，出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品（digital artifacts）予警察或司法機關；或出口數位製品予前述政府，而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者（favorable treatment cybersecurity end user）擁有或操作資訊系統相關之網路安全事件時，不適用ACE之再例外規定，而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位：結合上述第二點之說明，不論出口至國家類別D:1、D:5之政府或非政府單位，皆受ACE之「再例外」拘束，而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位，或對非政府單位的視同出口（deemed export）行為，方不適用再例外規定，而不須申請出口許可。 終端使用者限制：已知或可得而知該物品將在未獲授權之情況下，被用於影響資訊系統或資訊之機密性、完整性或可用性時，須申請出口許可。