強制蒐集人體生物資料的人權標準－聯合國人權事務委員會的見解

　　歐盟執委會下設機構策略與評估服務中心(CSES)在2016年2月向歐洲議會提出歐洲落實工業4.0政策執行分析報告，指出執行工業4.0帶來的科技、社會、以及商業環境變遷： （1）科技變遷 數位化將對中小企業帶來挑戰，其中涉及之法律議題包括：促進數位安全致生之企業成本或風險、智慧財產權保護、個人資料與隱私、環境保護、健康和安全等。 （2）社會變遷 企業應用工業4.0技術時將面臨工作方式上之調整，整體工業4.0技術分佈不均則有可能導致集中化競爭的情形增加。 （3）商業環境變遷 隨著中小企業參與供應鏈，將帶來成本、風險、缺乏彈性、缺乏政策性的單獨運作等各方面挑戰，而重點在於藉由標準化串起整體產業，與其他的企業競爭。 　　我國在2016年7月通過「智慧機械產業推動方案」，以精密機械之推動成果及我國資通訊科技能量為基礎，導入智慧化相關技術，建構智慧機械產業新生態體系，並且預期能打通供需生產資訊鏈，提升人均製造力，同時併以連結在地、連結未來、連結國際為推動策略主軸，其中相關的法律議題、以及對於社會或商業環境帶來的變遷影響評估，自屬重要。

　　加拿大政府由創新、科學和工業部長（Minister of Innovation, Science and Industry）代表，於2022年6月16日提交C-27號草案，內容包括聯邦的私部門隱私權制度更新，以及新訂的《人工智慧資料法案》（Artificial Intelligence and Data Act, 下稱AIDA）。如獲通過，AIDA將是加拿大第一部規範人工智慧系統使用的法規，其內容環繞「在加拿大制定符合國家及國際標準的人工智慧設計、開發與應用要求」及「禁止某些可能對個人或其利益造成嚴重損害的人工智慧操作行為」兩大目的。雖然AIDA的一般性規則相當簡單易懂，但唯有在正式發布這部包含絕大多數應用狀況的法規後，才能實際了解其所造成的影響。 　　AIDA為人工智慧監管所設立的框架包含以下六項： （1）方法 以類似於歐盟《人工智慧法案》採用的方式，建立適用於人工智慧系統具「高影響力」的應用方式的規範，關注具有較高損害與偏見風險的領域。 （2）適用範圍 AIDA將適用於在國際與省際貿易及商業行動中，設計、發展或提供人工智慧系統使用管道的私部門組織。「人工智慧系統」的定義則涵蓋任何「透過基因演算法、神經網路、機器學習或其他技術，自動或半自動處理與人類活動相關的資料，以產生結果、做出決策、建議或預測」的技術性系統。 （3）一般性義務 I 評估及緩和風險的措施 負責人工智慧系統的人員應評估它是否是一個「高影響系統」（將在後續法規中詳細定義），並制定措施以辨識、評估與減輕使用該系統可能造成的傷害風險或具有偏見的結果。 II 監控 對該「高影響系統」負責的人員應建立準則，以監控風險緩解措施的遵守情況。 III 透明度 提供使用管道或管理「高影響系統」運作的人員應在公開網站上，以清晰的英語揭露 　　i 系統如何或打算如何使用。 　　ii 系統所生成果的類型及它所做出的決策、建議與預測。 　　iii 為辨識、評估與減輕使用該系統可能造成的傷害風險或具有偏見的結果，而制定的緩解措施。 　　iv 法規明定應揭露的其他訊息。 IV 記錄保存 執行受規範活動的人員應遵守紀錄保存要求。 V 通知 若使用該系統將導致或可能導致重大傷害，「高影響系統」的負責人應通知部門首長。 VI 匿名資料的使用 從事法案所規定的活動及在活動過程中使用或提供匿名資料的人員，必須依據規範制定關於（a）資料被匿名化處理的方式（b）被匿名化資料的使用與管理，兩方面的措施。 （4）部長命令 部門首長可以透過命令要求（a）製作紀錄（b）從事審計或聘請一位獨立的審計師執行（c）成立一個專責執行審計程序的組織（d）成立一個在有理由相信「高影響系統」之使用可能造成急迫重大傷害風險時負責進行終止或准許的組織。 （5）行政管理 AIDA為部門首長制定一項，可指定其所管轄部門中一名高級官員為「人工智慧與資料專員」的權利，其職責在協助部門首長管理與執行AIDA。 （6）罰則 違反AIDA規範之罰則主要為按公司、個人之收入衡量的罰款。特定嚴重狀況如以非法方式取得人工智慧訓練用資料、明知或故意欺騙大眾造成嚴重或心理傷害或財產上重大損失，亦可能判處刑事監禁。

　　英國於今年5月26日通過「隱私及電子通訊規範」（The Privacy and Electronic Communications Regulations），實現隱私監督之責，以管控cookies或是侵害個人資料之行為。   　　新法納入歐盟於2009年e隱私指令中所決定之改變，旨在讓網路使用者自行決定資訊服務業或其他事業能儲存多少使用者之紀錄。但業者對此項新要求表示困惑，因此英國之隱私權主管監督機關資訊專員公署（Information Commissioner's Office，ICO）最近出版一份指引，指導網站如何遵守新法使用cookies功能之規定及履行告知義務之要求。然而指引中並未強制規定告知內容與方式，因此業者仍可自行決定如何最有效地履行告知義務。   　　ICO本週表示新法尚有一年之緩衝期間，讓業者調整使用cookies功能之方式。政府表示目前仍在與瀏覽企業者討論，如何透過瀏覽器頁面之設置取得當事人之同意，而此部分尚未規定在新法中。   　　「政府的指引太晚公布了，並且缺乏明確性，又無法確定新法是否能允許以瀏覽器技術作為解決之方法，這樣會讓業界無所適從」，任職於Pinsent Masons法律事務所的科技法律專家Clarie McCracken說，「此種非決定性之指引會使業者無法找到標準作法以避免觸犯新法。」。   　　ICO認為企業在新法正式施行前，最好趕快表明其如何使用cookies功能並制定相關規定以遵守新法。   　　新法同時要求特定企業當其所蒐集之個人資料遭受駭客攻擊或外洩時，其必須要告知消費者。根據新法，個人資料遭受侵害之定義為：某種安全狀態遭受攻擊，導致與公共電子通訊服務有關之個人資料被故意或不法毀損、滅失、竄改、越權揭露或存取、傳遞、儲存或其他相關利用。當上述情事發生時，公司必須通報ICO，說明大致情況及可能產生之結果，並提出公司將採取之因應措施，同時告知受害之消費者。