BS 10012：2017個人資訊管理系統新版標準已發布

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。

日本個人資料保護法啟動修法--放寬AI開發的本人同意要件 資訊工業策進會科技法律研究所 2026年06月18日 日本政府於2026年4月7日經閣議決定，提出由個人資料保護委員會（個人情報保護委員会，下稱PPC）研擬之《個人資料之保護等相關法律部分修正法律案》（個人情報の保護に関する法律等の一部を改正する法律案，下稱修正草案），並送請第221回特別國會審議；眾議院本會議已於同年5月26日表決通過，目前由參議院續審，預計於本會期內完成立法[1]。 壹、背景摘要 日本個資法於2020年修正時，於附則第10條明定政府應於施行後每三年檢視國際動向、資通訊技術進展及個人資料新型應用之發展，必要時採取必要措施[2]。PPC據此自令和5年（2023年）起展開檢討，歷經團體意見聽取、中間整理意見徵集，並於今年1月9日公布「三年一度檢討之制度改正方針」，4月7日內閣會議決定提出「個人資料保護法等之一部修正法律案」[3]。 此修正案之提出，主要源自於日本人工智慧基本計畫~以「可信賴AI」實現「日本再起」（令和7年12/23閣議決定）所提出的政策--就可整理為統計編製等之AI開發等所涉之本人同意方式、規範遵循之實效性確保等加以檢討，力求及早將「個人資料保護法」修正案提交國會[4]。 貳、重點說明 本次修正案之主要修正分為「適正(即正當)資料利用之推進」、「因應風險之妥適規範」、「不適正利用等之防止」及「法遵實效性確保之規範」四大面向。依據PPC前述「關於《個人資料之保護等相關法律部分修正法律案》(個人情報保護法等の一部を改正する法律案について)」之說明，有關放寬AI個資取得部分之重點如下： 一、就統計編製鬆綁第三人提供與要配慮個人資料取得之同意 依日本現行個資法規定，要配慮個人資料（信仰、病歷、犯罪歷等可能導致歧視之資訊）之取得（§20Ⅱ）、個人資料之第三人提供（§27Ⅰ）等，除符合例外規定外，原則需本人同意。為因應「多事業者共享資料、橫向解析以編製統計」之需求升高，且產出是統計、無法回頭對應到某個特定個人，對當事人權益的侵害風險較低，因此修正草案（§30之2、§31之3）於統計資訊等編製（含可整理為統計編製之AI開發等）的條件下，允許將個人資料提供第三人、取得已公開要配慮個人資料，得免本人同意；行政機關等保有之個資亦同。但為擔保資料僅用於統計編製，必須公告取得者、提供者與接收者之姓名名稱、擬進行之統計編製內容等一定事項；提供者與接收者須以書面約定僅以統計編製為目的；取得者及接收者禁止此目的外利用及再提供予第三人[5]。 二、不違反本人意思、明顯不害本人權利利益者免除同意 現行日本個資法就個人資料提供第三人（§27Ⅰ），原則需取得同意。此次修正草案規定：個人資料提供第三人（含§18Ⅲ目的外利用、§20Ⅱ要配慮個資取得；上開免同意例外分別定於修正草案第18條第3項第7款、第20條第2項第7款、第27條第1項第8款），於依取得狀況觀之，可認不違反本人意思因而明顯不害本人權利利益之情形，免本人同意。例如：訂房網站A依訂房利用契約，將訂房者姓名等提供予飯店B，或匯款來源金融機構C受託對D付款，將匯款人資訊提供予匯款目的金融機構D[6]。此外，就為保護生命、身體、財產，或為增進公眾衛生、推進兒童健全成長而處理個人資料之情形，於現行「難以取得本人同意時」之外，增列「有相當理由而未取得本人同意時」亦得免同意（第18條第2項第2款、第3款，第20條第2項第2款、第3款，第27條第1項第2款、第3款）。另草案並將「學術研究機關等」之學術研究例外，擴及以提供醫療為目的之機關或團體（如醫院，第16條第9項），俾醫學與生命科學研究得據以進行[7]。 參、事件評析 日本此次修正草案最具產業意義者，係將「可整理為統計編製等」之AI開發所需情況，明文納入免同意之第三人提供與要配慮個人資料取得範圍，直接回應AI開發對大量訓練資料之需求。有關已公開或既有個人資料得否用於AI訓練的合法依據，觀察近年國際動向明顯有朝向提供同意以外之合法路徑，並搭配保障措施例如當事人退出權的趨勢。 韓國個人資料保護委員會（PIPC）於2024年7月發布之指引，明確確認公開之個人資料得據以用於AI訓練，惟須符合正當利益存在、處理必要性、且該利益「明顯優越於」當事人權利之要件，並落實查證資料來源、產出過濾等技術措施，以及保障當事人權利行使之機制[8]。歐盟資料保護委員會（EDPB）於2024年12月17日通過第28/2024號意見，確認一般資料保護規則（GDPR）第6條第1項第f款之「正當利益」得作為AI模型開發與部署階段之合法依據，惟須逐案通過「正當利益之認定—處理必要性—與當事人基本權利之權衡」之保障措施[9]。 我國個資法並未如GDPR、韓國PIPA設有概括之「正當利益」合法事由，係規定一般個人資料之蒐集或處理個人資料可取自一般可得來源之依據，除非當事人對該資料之禁止處理或利用顯有更值得保護之重大利益[10]。但已取得的個人資料已無從識別特定當事人，可基於公共利益為統計或學術研究目的利用的，亦限於公務機關或學術研究機構[11]。而且取自一般可得來源的事由亦不適用於特種個資為學術研究目的所為蒐集處理，限於醫療、衛生或犯罪預防，範圍亦較一般個資為窄[12]。 相較韓、歐、日相繼就AI訓練的個人資料取得，提供明文之合法路徑並配套退出等保障機制，我國現行路徑要件若能進一步參考納入概括的正當利益或明文目的做有限豁免，並配套日本規範透明化、當事人退出與權利行使之配套，應有助於填補現行規範不足之缺口。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://keid.nat.gov.tw/tips/） [1]〈悪質業者に「課徴金」　個人情報保護法改正案、衆院通過〉，時事通信，2026年5月26日，https://www.jiji.com/jc/article?k=2026052600074&g=pol（最後瀏覽日：2026年6月11日）。 [2]個人情報保護委員会事務局，《個人情報保護法等の一部を改正する法律案について》（令和8年4月），頁1，https://www.ppc.go.jp/files/pdf/260407_kisyahaifusiryou.pdf（最後瀏覽日：2026年6月11日）。 [3]個人情報保護委員会事務局，前揭註2，頁1（「これまでの検討経緯」）。 [4]個人情報保護委員会事務局，前揭註2，頁2-4。（最後瀏覽日：2026年6月11日）。 [5]同前註，頁6。 [6]同前註，頁7。 [7]修正後第16條第9項明定「學術研究機關等」含以提供醫療為目的之機關或團體（如醫院）；其學術研究目的之目的外利用（修正後第18條第3項）、受保護個人資料取得（修正後第20條第2項）及第三人提供（修正後第27條第1項）之學術研究例外亦隨之適用；個人情報保護委員会事務局，前揭註2，頁9。 [8]대한민국 개인정보보호위원회（韓國個人資料保護委員會，PIPC），《인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서》（人工智慧〔AI〕開發・服務之公開個人資訊處理指引），2024年7月17日公開，明示個人資料保護法第15條第1項第6號「正當利益（정당한 이익）」為AI學習、服務蒐集利用公開個資之實質適法依據，https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10362（最後瀏覽日：2026年6月11日）。 [9]European Data Protection Board, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models，https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf（最後瀏覽日：2026年6月11日）。 [10]個人資料保護法第19條第1項第7款；個人資料保護法施行細則第19條規定，：「本法第19條第1項第7款所稱一般可得之來源，指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道」。 [11] 我國人資料保護法第 20 條第 1 項第 5 款。 [12] 我國人資料保護法第 6 條第 1 項第 4 款。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

英國資訊專員辦公室（Information Commissioner's Office，下稱ICO）於2025年8月18日讉責南約克郡警方（South Yorkshire Police，下稱SYP）刪除超過9萬6千筆穿戴式攝影機影片（body-worn video，下稱BWV）證據，強調SYP未落實資料識別、第三方監督及備份機制等資料管理措施。 警方使用BWV作為記錄警方執法過程之取證方式，目的為提高透明度、公眾信賴及取得最佳證據等。由於BWV證據具備公正性及準確性，亦可減低對於受害者證據之依賴。當警員換班時，需要將BWV證據下載至指定地點，先傳送至「數位證據管理系統（Digital Evidence Management，下稱DEM系統，該系統由第三方業者管理）」後，再傳輸至「儲存網格（Storage Grid）資料庫」。倘若發生爭議，SYP將檢視「儲存網格資料庫」中的BWV證據。 2023年SYP發生遺失大量BWV證據之爭議事件，事實整理如下： 2023年5月升級DEM系統後，SYP改將資料儲存於本地硬碟。同年8月7日時，SYP發現在儲存網格資料庫中，具錯誤刪除96,174筆原始BWV證據之紀錄，經調查發現，在同年7月26日，第三方將本地資料傳輸到儲存網格時，曾發生大規模的資料刪除事件。 由於在進行備份時，未使用特定的檔案名稱或其他可識別的資料標記等方式標記資料，即使SYP內部已針對95,033筆BWV證據進行備份，仍無法比對確認「已被永久刪除的BWV證據」數量，且遺失之資料共涉及126起刑案，其中更有3案受影響，甚至有1起案件指出，若BWV證據存在，則相關案件的檢調程序應能夠有所進展。 ICO亦指出SYP雖與第三方簽署契約，卻未明定處理程序，且未監督第三方的遠端存取行為。SYP早在2019年，已發現備份機制存在問題，但當時未向高階管理人員報告相關問題的完整狀況，導致未採取補救措施。 綜上述，ICO提出SYP應確保所有紀錄應以清晰、可識別的方式進行標記；在允許第三方存取系統前，應完成風險評估及確認管控要求，並持續監督第三方等改善建議；以及應建立能夠有效還原任何遺失BWV證據的備份方案。 另外依英國皇家檢察署（Crown Prosecution Service）的統計顯示，因缺乏定罪的必要證據，包含缺乏數位證據，如受害者詢問或隨身攝影機影片遺失等各類原因，導致無法進行審判的皇家檢察署案件，整體呈現上升趨勢，從2020年的7484起案件，上升到2024年的8180起案件。 為系統性建立及強化數位證據管理機制，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，其以「b-JADE證明標章」檢視既有的數位證據監管制度，其他司法機關亦可參照「b-JADE證明標章」以確保採取有效之資料識別、第三方監督及備份控管作法，除了控管數位證據的相關業務流程、內外部人員等，亦應促使內部滾動式檢視問題及須定期向主管回報，以利調整規劃。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）