數位商品交易金流機制之法律問題

　　英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國，英國仍需要明確有效的資料保護法，而關於公投退出歐盟(Brexit)結果，ICO發言人表示：「資料保護法是屬地的，不問公投結果為何，若英國不再是歐盟的成員國，即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易，我們必須證明資料保護是充足的，亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言，遵循資料保護法律與歐盟一致性規範，既是企業組織，亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作，而且未來亦是如此。目前明確的法律保護相當重要，且考量到經濟發展，ICO會向政府提出建議，英國相關法規之改革仍屬必要。」 　　Brexit後，英國企業資料仍需傳輸至第三國，因此英國可能需爭取類似於瑞士、加拿大等，由歐盟執委會認定資料保護符合充足保護水準之模式；或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性，而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses)，或英國授權有約束力的企業自我拘束規則(Binding Corporate rules)，然而目前英國退出歐盟程序進行中，相關資料保護傳輸之法規範，仍待後續密切觀察。

世界衛生組織（World Health Organization, WHO）於2023年10月19日發布「人工智慧於健康領域之監管考量因素」（Regulatory considerations on artificial intelligence for health）文件，旨在協助各國有效監管健康領域之人工智慧，發揮其潛力同時最大限度地降低風險。本文件以下列六個領域概述健康人工智慧之監管考量因素： （1）文件化與透明度（Documentation and transparency） 開發者應預先規範（pre-specifying）以及明確記錄人工智慧系統（以下簡稱AI系統）之預期醫療目的與開發過程，如AI系統所欲解決之問題，以及資料集之選擇與利用、參考標準、參數、指標、於各開發階段與原始計畫之偏離及更新等事項，並建議以基於風險之方法（Risk-based approach），根據重要性之比例決定文件化之程度、以及AI系統之開發與確效紀錄之保持。 （2）風險管理與AI系統開發生命週期方法（Risk management and AI systems development lifecycle approaches） 開發者應在AI系統生命之所有階段，考慮整體產品生命週期方法（total product lifecycle approach），包括上市前開發管理、上市後監督與變更管理。此外，須考慮採用風險管理方法（risk management approach）來解決與AI系統相關之風險，如網路安全威脅與漏洞（vulnerabilities）、擬合不足（underfitting）、演算法偏差等。 （3）預期用途、分析及臨床確效（Intended use, and analytical and clinical validation） 開發者應考慮提供AI系統預期用途之透明化紀錄，將用於建構AI系統之訓練資料集組成（training dataset composition）之詳細資訊（包括大小、設定與族群、輸入與輸出資料及人口組成等）提供給使用者。此外，可考慮透過一獨立資料集（independent dataset）之外部分析確效（external analytical validation），展示訓練與測試資料以外之效能，並考慮將風險作為臨床確效之分級要求。最後，於AI系統之上市後監督與市場監督階段，可考慮進行一段期間密集之部署後監督（post-deployment monitoring）。 （4）資料品質（Data quality） 開發者應確認可用資料（available data）之品質，是否已足以支援AI系統之開發，且開發者應對AI系統進行嚴格之預發布評估（pre-release evaluations），以確保其不會放大訓練資料、演算法或系統設計其他元素中之偏差與錯誤等問題，且利害關係人還應考慮減輕與健康照護資料有關之品質問題與風險，並繼續努力創建資料生態系統，以促進優質資料來源之共享。 （5）隱私與資料保護（Privacy and data protection） 開發者於AI系統之設計與部署過程中，應考慮隱私與資料保護問題，並留意不同法規之適用範圍及差異，且於開發過程之早期，開發者即應充分瞭解適用之資料保護法規與隱私法規，並應確保開發過程符合或超過相關法規要求。 （6）參與及協作（Engagement and collaboration） 開發者於制定人工智慧創新與部署路線圖之期間，需考慮開發可近用且具有充足資訊之平台，以於適合與適當情況下促進利害關係人間之參與及協作；為加速人工智慧領域實務作法之進化，透過參與及協作來簡化人工智慧監管之監督流程即有必要。

　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料，故處以罰款385,000英鎊。 　　ICO調查發現Uber的諸多過失，包含系統存有一系列原可避免的數據安全漏洞，使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統，下載大約270萬筆英國客戶個人資料，例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄，如旅程詳情及支付金額。然而，受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的，Uber反而向攻擊者妥協並支付了10萬美元，以銷毀被盜取的數據。 　　ICO認為，這不僅為Uber資料安全之問題，且當時未採取任何措施通知可能受影響的人，或對其提供任何協助，已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默，亦非對於網路攻擊之適當反應，Uber未完善的數據保護措施，以及隨後的決策與行為，反將可能會加劇受害者權益的受損。 　　因此，ICO認為該事件已嚴重違反了英國1988年資料保護法（Data Protection Act 1998, DPA）第7條的原則，有可能使受影響的客戶和司機面臨更高的詐欺風險，故從嚴判處Uber高達385,000英鎊罰款。

　　德國今年1月底通過新修法，使國際知名生技公司孟山都主要用做於飼料的基改抗蟲玉米MON810得以在德國更加順利種植。 　　原來德國法律規定基改作物與其相同種類傳統非基改作物間的種植距離為150公尺，與有機作物間的距離則為300公尺；但這項距離的規定對於農田面積多數不大的德國西部來說始終是一個問題，新法為此提供了一項新的出路，亦即基改作物種植者可與其相鄰傳統作物種植者簽訂契約來排除前述種植距離的限制，此項契約雖可能使傳統作物必須標示成為基改作物，但預估仍不會減低傳統作物種植者簽訂契約的意願。 　　專家評論德國這項新的立法仍然為德不卒，由於新立法並未將德國公開註冊制度中基改作物需揭露詳細的種植地點改為只需揭露種植地區，使得反基改分子仍將得以順利找到基改作物並加以破壞。另外，此次亦未修正的鄰田污染賠償責任使專家擔憂基改研究仍將限於校園內。 　　MON810在另一端的法國則顯得命運多舛，自去年秋天起，法國引用歐盟法的防衛條款（Articles 23 of the EU Deliberate Release Directive）來暫時禁種此一抗蟲玉米，於今年1月初，法國政府為此項問題所組成的委員會向環境部長提交調查結果，委員會主席並對外表示嚴重質疑MON810的安全性，並已取得大量MON810對動、植物負面影響的科學證據，使法國政府於1月中宣佈延續去年的禁種令。但專家質疑委員會主席對於調查報告之陳述失之客觀，由於調查報告中關於MON810商業種植對於環境影響的問題仍懸而未定，事實上並未存有委員會主席所謂的「嚴重質疑」。