強制蒐集人體生物資料的人權標準－聯合國人權事務委員會的見解

　　印度民航局（Directorate General of Civil Aviation，以下簡稱DGCA）在禁止公眾使用無人機多年後，終於在2017年11月1日發布無人機使用規則（草案），並於網站上公開徵求意見。民航局部長P Ashok Gajapathi Raju表示，草案將於接下來的30日內，與所有利益相關者進行交流，一旦協商完成，將會確定無人機監管框架。預計今年12月底前完成訂定無人機使用管理規範，包含商業用途無人機。 　　根據規則草案，無人機依照最大起飛重量將其分為五類，分別為： 奈米（nano）無人機：重量小於250克； 微型（micro）無人機：重量在250克和2公斤之間； 迷你無人機（mini）：重量介於2公斤至25公斤； 小型無人機：重量25公斤至150公斤； 大型無人機：重量150公斤以上。 　　除了飛行能力不超過50英尺高度的奈米無人機，所有無人機必須依照DGCA規定取得識別碼（Unique Identification Number）。針對2公斤以上的無人機需有無人機操作員許可證（Unmanned Aircraft Operator Permit），任何無人機的遙控飛行員必須年滿18歲，且需受過規定的培訓。 　　另，基於安全考量，草案規定禁止飛行無人機之區域，例如：機場範圍半徑5公里內、國際邊界50公里範圍內、戰略區域500公尺以內的國家重地、人口稠密地區、影響公共安全或正在進行緊急行動的地區、移動式平台（如：汽車、飛機或輪船）、及國家公園和野生動物保護區等生態敏感區域（eco-sensitive areas）等，違規者將依印度刑法之規定起訴。

　　韓國政府在今（2019）年1月立法施行四種監理沙盒機制（규제샌드박스），包含「金融監理沙盒」、「資通訊（ICT）監理沙盒」、「產業融合監理沙盒」及「地方專業化特區」機制，於施行半年後在同年7月16日公告成果報告，未來監理沙盒將加強尋求社會共識與區域衡平發展。 　　韓國為推動「製造業創新3.0」（제조업혁신 3.0）政策，強化產業創新與競爭力、重點發展人工智慧及物聯網，並打造友善法制環境來減少監管障礙。因此以鬆綁法規與鼓勵創新為目的，由韓國國務總理室於2018年初統籌各相關部會機關規劃全國性之監理沙盒機制，而於同年年底國會修正通過以下法律，泛稱「管制創新五法」（규제혁신 5법）： 《資通訊融合法》（정보통신융합법），由「科學技術資訊通訊部」主管，建立「ICT監理沙盒」，鬆綁資通訊相關規範為主要範圍。 《金融創新支援法》（금융혁신지원 특별법），由「金融委員會」主管，建立「金融監理沙盒」，作為金融規範鬆綁之依據。 《地區特區法》（지역특구법），由「中小企業創業部」主管，主要由地方政府提出並建立具地方特色的專業化特區，如共享經濟特區、能源特區等，透過特區鬆綁地方與中央法規，由地方政府主導、中央協助推動當地產業發展。 《產業融合促進法》（산업융합 촉진법），由「產業通商資源部」主管，就前述以外之產業建立監理沙盒機制。 《行政管制基本法》（행정규제기본법은），鬆綁上述四個監管與行政程序相關法律。 　　在施行半年以來，成果顯示已受理81件申請案例，企業規模以中小企業佔80%為大宗，而申請之產業領域多集中於金融科技領域（46%）、其次為非特定領域（32%）、資通訊領域（22%），並以共享經濟、區塊鏈、大數據、物聯網、人工智慧、虛擬實境（VR）、5G等創新產品或服務為主。在申請時程上，從受理案件至批准進行實證或發給臨時許可證允許在市場販售，僅須約44個工作天。而在法規鬆綁上，多數涉及法規命令與機關行政函釋層級。另外為鼓勵創新業者申請監理沙盒，針對實證完成之產品或服務，將給予「優良採購產品」（우수 조달물품）證明，政府機關可於採購平台上優先採購該產品或服務。 　　另外成果報告說明，由於許多創新實證與現行社會體制與規範造成破壞式衝突，例如「共享廚房」與現有《食品衛生法》規定餐廳須有獨立廚房有違，或者消費者直接在家進行基因檢測（Direct-to-Consumer Testing, DTC）創新服務與現有醫療規範與體制不符等，韓國政府將透過客觀實證數據與宣導來尋求社會共識或使用其他替代方案來降低衝突。同時將於今年下半年由中央主導指定特定區域作為專業化特區，以衡平區域發展。

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。

　　中國大陸網路安全法於去（2016）年11月通過，於今（2017）年6月1日正式施行，該法主要係為了保障網路安全，維護網路空間主權與國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，為第一個國家層級處理網路安全問題的法律，旨在確保維護網路空間的國家主權、保護使用者個資、防範網路攻擊及網路詐騙。 　　中國大陸網路安全法共七章79條，包括第一章總則、第二章網路安全支持與促進、第三章網路運行安全、第四章網路訊息安全、第五章監測預警與應急處置、第六章法律責任、第七章附則。其規範重點之一為關鍵資訊基礎設施正式納入網路安全保護範圍內，關鍵資訊基礎設施之定義不僅包括電力、運輸和金融等傳統關鍵行業，還包括法律規定涉及民生的其他基礎設施，表示任何關鍵資訊基礎設施相關廠商、供應商等外國公司，以及擁有大量中國大陸訊息的廠商，都有可能成為中國大陸網路安全法監管、執法調查、強制執行的主要對象。 　　中國大陸網路安全法亦要求關鍵資訊基礎設施相關廠商將個資與重要數據資料在地化，或是將這些數據資料傳輸至國外前，必須經過相關的監管機構進行自我安全評估或先加以批准。