日本「未來投資戰略2017」

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日 　　歐盟執委會(European Commission，以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1]，旨在說明歐盟執委會將如何透過資料治理及相關政策，轉型為資料驅動型組織(data-driven organization)，並提供一致的方向或原則，促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的 　　「促成歐洲適應數位時代，並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展，透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術，「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度，首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理，有助於此願景之達成。 　　因此，執委會提出「資料治理與資料政策」，建立執委會統一的資料治理架構與政策原則，幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時，執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程，改善資料品質，提升資料管理及共享之效率。 貳、內容摘要 　　「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集，包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上，則導入「遵守或解釋」(comply-or-explain)原則，除非法律明示規定為選擇性適用，否則執委會轄下相關部門機構皆需遵守；倘未遵守，則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理 　　主要目的在建構執委會統一的資料治理架構，釐清相關角色的責任與相互依賴關係。依角色與任務的不同，執委會將資料治理分為三層級，並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 （一）策略層級(strategic level) 　　由資訊管理指導委員會(Information Management Steering Board, IMSB)，處理資料治理與資料政策相關議題，界定長期推動願景、提供政策方向、監督推動與執行之進程，並作出策略決定。 （二）管理階層(managerial level) 　　由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board)，以及策略層級就各資料集所指定之資料擁有者(data owner)，依策略層級所提出之願景與政策方向，在各處建立並執行資料政策、監督執行進度，並向策略層級報告執行進度及任何超出其決策權限之問題。 （三）運作階層(operational level) 　　由資料擁有者選出或指派資料管理員(data steward)，並與資料利用者(data user)實際執行資料政策，必要時將相關議題提到管理層級解決。 二、資料政策 　　就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向，建立上位原則。 　　其中關於「資料管理」部分，又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則，故執委會轄下相關部門機構在建立、蒐集或取得資料之前，需探詢必要資料或資訊是否已存在，避免重複取得。主要需求資料集的部門機構，應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面，除非歐盟相關的執委會決定、指令或規則另有規定[3]，否則以「需要共享」(need to share)或「預設共享」(share by default)為原則，並使用一致化的資料管理與視覺化工具或資料平台。 　　針對「資料互通性與標準」與「資料品質」兩部分，著重在執委會內部的共通一致性，包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面，則強調「歐盟機關個人資料保護規則」[4]相關義務，以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析 　　觀察歐盟執委會的「資料治理與資料政策」，可知其資料治理架構與相關政策，是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則，更從組織管理角度，界定不同單位或角色的任務與責任，並凸顯資料治理管理組織的建構，對資料政策執行之重要性。 　　我國政府長期致力於數位國家之發展，在政府資料開放政策推動上已有不少成果，例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量，建議未來可進一步完善政府資料治理構面，兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向，借鏡歐盟執委會之作法，確立資料共享再利用之管理架構及原則，提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等，有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

　　美國聯邦運輸部（US Department of Transportation）於2021年1月11日發布「自駕車全面性計畫（Automated Vehicles Comprehensive Plan, AVCP）」，建立了交通部促進合作、透明性與管制環境現代化，並將自動駕駛系統（Automated Driving Systems）安全整合入交通系統之策略。基於過去「自駕車政策4.0」建立之原則上，自駕車全面性計畫定義了三個目標以達成其願景： 促進合作與透明性：交通部將會促進其合作單位與利益相關人可取得清楚且可靠之資訊，包含自駕系統的能力與限制。 使管制環境現代化：交通部將會現代化相關規範並移除對創新車輛設計、特性與運作模組之不必要障礙，並發展專注於安全性之框架與工作以評估自駕車技術的安全表現。 運輸系統之整備：交通部將會與利害相關人合作實施安全的評估與整合自駕系統於運輸系統之基礎研究與行動，並促進安全性、效率與可取得性。 　　政策文件中也就相關目標提出了關鍵目的以及行動，包含先前交通部所提出的「自駕系統安全性框架（Framework for Automated Driving System Safety）」草案，將透過建立框架定義、評估並提供自駕系統的安全性需求，並同時保留創新發展之彈性；另外此政策文件也提出了如何將自駕系統融合現有技術應用之實際案例。交通部將會定期的檢視相關行動與計畫，以反應技術與產業發展，並減少重複性之行動，並將資源投注於重要領域。

　　美國華府行政管理與預算辦公室（Office of Management and Budget）頒布執行M-13-13 Open Data政策備忘錄之指導綱要（Supplemental Guidance on the Implementation of M-13-13 “Open Data Policy－Managing Information as an Asset”），目的在於澄清問題及提供執行細節以協助政府部門實施執行命令第13642號及M-13-13 Open Data政策備忘錄。透過實踐本指導綱要，各政府部門將能確保用以盤點、管理及開放資料的基礎設施之完備，進而開創因開放資料所產生之價值。 　　資料在依據本綱要進行盤點時，主管機關必須一併予以分級，其近用層級（Access Levels），區分為公開（Public）、限閱（Restricted Public）、非公開資料（Non-public）。資料公開前會經過完整之隱私權保護及資訊安全事項檢視，無違反相關法律和政策規範者，始釋出予大眾。 　　針對備忘錄之五項執行要求，本指導綱要即分為五項對應指導，介紹如下： 1.建立及維運大型資料盤點目錄：目的在使聯邦政府部門建立清楚且完整之資料資產目錄，而在製作盤點目錄後，必須持續改進、維護資料，並以擴展、豐富、開放三種面向來評估檢視盤點目錄之成熟度。 2.建立及維運公開資料清單：為增進資料查詢之容易度及可用性，各部門須篩選上述資料盤點目錄中屬於公開層級或可以被公開之資料，並建立及發布公開資料清單，作為盤點目錄之子目錄，使民眾得以知悉現有公開資料，及接續地將被公開之資料。各部門基於裁量權，亦可決定是否列入限閱或非公開資料資產，使民眾能知悉該筆資料之存在以及近用該資料之程序。 3.建立用戶參與資料釋出程序：此程序將提供資料用戶參與促進資料釋出及認定釋出之優先順序。由關鍵的資料用戶來幫助聯邦政府認定資料資產價值，而被認定最高價值之資料將優先、快速釋出。 4.當資料無法釋出時，須以文件證明：政府部門必須確認資料經過完整之隱私權保護及資訊安全事項檢視，無違反相關法律和政策規範者，才能公開資料。當認定資料涉及違反上述規範時，則須以文件證明其諮詢該政府部門中所設之法律顧問單位（Office of General Counsel）或同類單位後之決定，再依據三種資料近用資層級予以分類。 5.指導綱要中要求列出各部門應該負責管理資訊之窗口。 　　原定11月1日為完備上述基礎設施建置之最後期限，然為因應美國自10月1日起聯邦政府關門，特寬限延期至11月30日；在11月30日後，各部門將於每季報告執行進展，而部門開放資料之績效將被列為跨部門優先追蹤對象。

　　美國加州州長於2021年10月6日正式簽署《基因資訊隱私法》（Genetic Information Privacy Act, GIPA）， 將於2022 年 1 月 1 日生效。GIPA在聯邦法和州隱私法的框架下，補充建立基因資訊保護機制，規範無醫護人員參與的「直接面對消費者基因檢測公司」（Direct-to-consumer genetic testing company，下稱DTC公司）之個資保護義務，並要求DTC公司執行下列消費者基因資料（去識別化資料除外）之蒐集、利用、揭露，須獲消費者明示同意： 利用DTC公司產品或服務所蒐集之基因資料，應取得同意。其同意書須載明近用對象、共享方式，以及具體利用目的。 初步測試完成後儲存生物樣本，應取得同意。 目的外利用該基因資料或樣本，應取得同意。 向服務提供商外之第三方傳輸或揭露該基因資訊或樣本，應取得同意。其同意書須載明該第三方之名稱。 分析行銷或第三方依消費紀錄所進行之促銷，應取得同意。 　　上開同意之取得，不可使用黑暗模式（dark patterns）誤導消費者，並必須針對資料或樣本採取合理安全維護措施。 　　GIPA也新增消費者權利，保障消費者近用權和刪除權，DTC公司須制定政策，使消費者易於近用基因資料、刪除帳戶與基因資料、銷毀生物樣本等，並須於消費者依法撤回同意後30日內銷毀之，不得因行使權利而有差別待遇。DTC公司若GIPA違反規定，消費者擁有私人訴訟權。