澳洲政府提案立法強制要求跨國科技公司協助解密通訊APP訊息

  澳洲政府2017年07月14日宣布提案立法新資安法規,強制要求跨國科技公司如社群網站Facebook與設備製造廠商Apple等,需配合法院命令,協助解鎖通訊APP的加密訊息,利於政府監控攔截犯罪嫌疑人的加密訊息。澳洲政府同時宣布會在2017年11月前提案,預期在幾個月內通過。

  澳洲總理Turnbull表示相關提供加密語音及訊息的APP已在日常生活中使用,根據法案,前述相關網路科技公司,將與電信公司負有相同義務協助執法單位解讀加密訊息。Turnbull表示,儘管政府已成功阻止部分激進份子案例,但由於訊息加密技術日益發展,執法機構愈來愈難取得諸如恐怖分子、販毒者與戀童癖的聯絡訊息,執法單位需要更多支援,以確保網路不會成為犯罪溫床。

  澳洲預期成為首個立法監管網路加密語音及訊息APP的國家,目前英國與法國皆在研擬監管加密語音及訊息的法規,同時美國、英國、加拿大、澳洲與紐西蘭組成的「Five Eyes」情報共享聯盟,也在2017年07月將相關議題列入討論。

  Facebook表示將抵制Turnbull政府的反加密立法,認為現行已有與安全部門共同合作機制,該法案並無實際用途,在無配套措施的情況,該法也無法實施。Apple執行長Tim Cook 則堅定回應,排除任何可能損及產品安全性的政府合作關係。

相關連結
你可能會想參加
※ 澳洲政府提案立法強制要求跨國科技公司協助解密通訊APP訊息, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7858&no=0&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
法國CNIL認Google於Gmail中投放之偽裝廣告及個人化廣告因欠缺當事人有效同意而違法,開罰3.25億歐元

法國國家資訊與自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)於2025年9月1日針對一起由歐洲數位權利中心(noyb - The European Center for Digital Rights)提出的申訴做成決議,指Google未經Gmail使用者同意,將廣告偽裝為電子郵件進行「偽裝廣告」(Disguised Ads)投放,以及在對Gmail使用者投放個人化廣告前,未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告(generic ads)的選項,違反了《電子通訊法》(code des postes et des communications électroniques)與《資訊與自由法》(loi Informatique et Libertés)中關於歐盟《電子隱私指令》(ePrivacy Directive)之施行規定,對Google裁處了3.25億歐元的罰鍰,並要求改善。以下節錄摘要該裁決之重點: 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定,電子郵件直接推銷(direct marketing)僅在其目標是已事先給予同意的使用者時被允許。CNIL,依循歐盟法院(CJEU)判例法(C-102/20)見解,認為若廣告訊息被展示在收件匣中,且形式類似真實電子郵件,與真實電子郵件相同位置,則應被認為是電子郵件直接推銷,須得到當事人之事前同意。因此,CNIL認定偽裝廣告即便技術上不是狹義的電子郵件,僅僅因其在通常專門用於私人電子郵件的空間中展示,就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告,屬於電子郵件廣告,而與出現在郵件列表旁邊且獨立分開的廣告横幅不同,後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意:「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會(European Data Protection Board, EDPB)第2024/08號關於「同意與付費模式」意見,認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之,以「cookie wall」(註:拒絕cookie的蒐集即無法獲得服務之網站設計)取得之當事人「同意」,非當然不自由或無效。CNIL認為,在免費服務的框架下,cookie wall在維持提供服務與服務成本之間的經濟平衡上,要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為,這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求,當事人在cookie wall的框架內仍應享有選擇自由,才能取得蒐集為投放個人化廣告之cookies的當事人有效同意,亦即:在個人化廣告處理更多個資和對當事人造成更多風險的情況下,當事人應被給予機會選擇「等值的替代選項」,亦即通用廣告,並完全且清晰地了解其選擇的價值、範圍及後果。 然而,CNIL發現,Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜,實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意,從而影響了當事人的選擇自由。CNIL也發現,Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall,以及對此使用者享有甚麼選擇,而其提供的資訊更引導使用者選擇個人化廣告,導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會(Data Protection Commission, DPC)管轄? GDPR設有「單一窗口機制」,依據該合作機制,對Google進行的GDPR調查,應由作為主任監管機關(Lead Supervisory Authority)的愛爾蘭DPC管轄。惟在本案,CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇,而是適用電子隱私指令,CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制,但尚不足以弭平成員國間監管強度之差異。

英國發布《AI保證介紹》指引,藉由落實AI保證以降低AI系統使用風險

英國發布《AI保證介紹》指引,藉由落實AI保證以降低AI系統使用風險 資訊工業策進會科技法律研究所 2024年03月11日 人工智慧(AI)被稱作是第四次工業革命的核心,對於人們的生活形式和產業發展影響甚鉅。各國近年將AI列為重點發展的項目,陸續推動相關發展政策與規範,如歐盟《人工智慧法》(Artificial Intelligence Act, AI Act)、美國拜登總統簽署的第14110號行政命令「安全可靠且值得信賴的人工智慧開發暨使用」(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)、英國「支持創新的人工智慧監管政策白皮書」(A Pro-innovation Approach to AI Regulation)(下稱AI政策白皮書)等,各國期望發展新興技術的同時,亦能確保AI使用的安全性與公平性。 壹、事件摘要 英國科學、創新與技術部(Department for Science, Innovation and Technology,DSIT)於2024年2月12日發布《AI保證介紹》(Introduction to AI assurance)指引(下稱AI保證指引),AI保證係用於評測AI系統風險與可信度的措施,於該指引說明實施AI保證之範圍、原則與步驟,目的係為讓主管機關藉由落實AI保證,以降低AI系統使用之風險,並期望提高公眾對AI的信任。 AI保證指引係基於英國政府2023年3月發布之AI政策白皮書提出的五項跨部會AI原則所制定,五項原則分別為:安全、資安與穩健性(Safety, Security and Robustness)、適當的透明性與可解釋性(Appropriate Transparency and Explainability)、公平性(Fairness)、問責與治理(Accountability and Governance)以及可挑戰性 與補救措施(Contestability and Redress)。 貳、重點說明 AI保證指引內容包含:AI保證之適用範圍、AI保證的三大原則、執行AI保證的六項措施、評測標準以及建構AI保證的五個步驟,以下將重點介紹上開所列之規範內容: 一、AI保證之適用範圍: (一)、訓練資料(Training data):係指研發階段用於訓練AI的資料。 (二)、AI模型(AI models):係指模型會透過輸入的資料來學習某些指令與功能,以幫助建構模模型分析、解釋、預測或制定決策的能力,例如GPT-4。,如GPT-4。 (三)、AI系統(AI systems):係利用AI模型幫助、解決問題的產品、工具、應用程式或設備的系統,可包含單一模型或多個模型於一個系統中。例如ChatGPT為一個AI系統,其使用的AI模型為GPT-4。 (四)、廣泛的AI使用(Broader operational context):係指AI系統於更為廣泛的領域或主管機關中部署、使用的情形。 二、AI保證的三大原則:鑒於AI系統的複雜性,須建立AI保證措施的原則與方法,以使其有效執行。 (一)、衡量(Measure):收集AI系統運行的相關統計資料,包含AI系統於不同環境中的性能、功能及潛在風險影響的資訊;以及存取與AI系統設計、管理的相關文件,以確保AI保證的有效執行。 (二)、評測(Evaluate):根據監管指引或國際標準,評測AI系統的風險與影響,找出AI系統的問題與漏洞。 (三)、溝通(Communicate):建立溝通機制,以確保主管機關間之交流,包含調查報告、AI系統的相關資料,以及與公眾的意見徵集,並將上開資訊作為主管機關監理決策之參考依據。 三、AI保證的六項措施:主管機關可依循以下措施評測、衡量AI系統的性能與安全性,以及其是否符合法律規範。 (一)、風險評估(Risk assessment):評測AI系統於研發與部署時的風險,包含偏見、資料保護和隱私風險、使用AI技術的風險,以及是否影響主管機關聲譽等問題。 (二)、演算法-影響評估(Algorithmic-impact assessment):用於預測AI系統、產品對於環境、人權、資料保護或其他結果更廣泛的影響。 (三)、偏差審計(Bias audit):用於評估演算法系統的輸入和輸出,以評估輸入的資料、決策系統、指令或產出結果是否具有不公平偏差。 (四)、合規性審計(Compliance audit):用於審查政策、法律及相關規定之遵循情形。 (五)、合規性評估(Conformity assessment):用於評估AI系統或產品上市前的性能、安全性與風險。 (六)、型式驗證(Formal verification):係指使用數學方法驗證AI系統是否滿足技術標準。 四、評測標準:以國際標準為基礎,建立、制定AI保證的共識與評測標準,評測標準應包含以下事項: (一)、基本原則與術語(Foundational and terminological):提供共享的詞彙、術語、描述與定義,以建立各界對AI之共識。 (二)、介面與架構(Interface and architecture):定義系統之通用協調標準、格式,如互通性、基礎架構、資料管理之標準等。 (三)、衡量與測試方式(Measurement and test methods):提供評測AI系統的方法與標準,如資安標準、安全性。 (四)、流程、管理與治理(Process, management, and governance):制定明確之流程、規章與管理辦法等。 (五)、產品及性能要求(Product and performance requirements):設定具體的技術標準,確保AI產品與服務係符合規範,並透過設立安全與性能標準,以達到保護消費者與使用者之目標。 五、建構AI保證的步驟(Steps to build AI assurance) (一)、考量現有的法律規範(Consider existing regulations):英國目前雖尚未針對AI制定的法律,但於AI研發、部署時仍會涉及相關法律,如英國《2018年資料保護法》(Data Protection Act 2018)等,故執行AI保證時應遵循、考量現有之法律規範。 (二)、提升主管機關的知識技能(Upskill within your organisation):主管機關應積極了解AI系統的相關知識,並預測該機關未來業務的需求。 (三)、檢視內部風險管理問題(Review internal governance and risk management):須適時的檢視主管機關內部的管理制度,機關於執行AI保證應以內部管理制度為基礎。 (四)、尋求新的監管指引(Look out for new regulatory guidance):未來主管機關將制定具體的行業指引,並規範各領域實踐AI的原則與監管措施。 (五)、考量並參與AI標準化(Consider involvement in AI standardisation):私人企業或主管機關應一同參與AI標準化的制定與協議,尤其中小企業,可與國際標準機構合作,並參訪AI標準中心(AI Standards Hubs),以取得、實施AI標準化的相關資訊與支援。 參、事件評析 AI保證指引係基於英國於2023年發布AI政策白皮書的五項跨部會原則所制定,冀望於主管機關落實AI保證,以降低AI系統使用之風險。AI保證係透過蒐集AI系統運行的相關資料,並根據國際標準與監管指引所制定之標準,以評測AI系統的安全性與其使用之相關影響風險。 隨著AI的快速進步及應用範疇持續擴大,於各領域皆日益重要,未來各國的不同領域之主管機關亦會持續制定、推出負責領域之AI相關政策框架與指引,引導各領域AI的開發、使用與佈署者能安全的使用AI。此外,應持續關注國際間推出的政策、指引或指引等,研析國際組織與各國的標準規範,借鏡國際間之推動作法,逐步建立我國的AI相關制度與規範,帶動我國智慧科技產業的穩定發展外,同時孕育AI新興產應用的發展並打造可信賴、安全的AI使用環境。

歐盟法院法務官建議歐盟法院駁回有關德國乾酪商標之決議案

  歐盟法院法務官Jan Mazak建議歐盟法院駁回有關歐盟委員會否決對德國'Parmeggiano Reggiano' 為用於代表乾酪之商標名稱決議案。   歐盟委員會認為歐盟立法例對於有關地理名稱之保護應適用於’Parmesan Cheese’ 之商標案,委員會認為Parmesan Cheese 為地理名稱標示,係指出產於義大利之乾酪,故不得為商標名稱。因此,在德國即使是相類似之乾酪亦不允許標示為 ’Parmesan Cheese’。   德國抗辯縱使Parmigiano Reggiano應被予以保護,但單獨使用Parmigiano則應為通用名稱而不應予以限制;縱使Parmigiano 本身應被保護不得專用,但是和Parmesan兩者相比較係為不同字,不論是在德國或是歐盟各國都應被歸納為通用名稱,而應准予使用。   法務官認為,德國未證明Parmesan已成為通用名稱;而委員會未說明為何在德國Parmigiano Reggiano 或Parmesan係等同為乾酪地理來源標示。特別是,自10月正式通知本案爭議程序後,委員會亦未顯示任何其他事證得證明Parmigiano Reggiano有任何商標侵權案例之前案,故建議歐盟法院駁回本件歐盟委員會決議案。

歐盟執委會通過數位歐洲計畫2023~2024年工作計畫

為促進歐洲的數位轉型,歐盟執委會(European Commission)在2023年3月24日於通過數位歐洲計畫(Digital Europe programme, DEP)下的2023~2024年工作計畫,預計投入12.84億歐元於「主要數位歐洲計畫工作計畫」(Main DEP programme)(下稱「主要工作計畫」)及「網路安全工作計畫」(Cybersecurity Work Programme),以延續之前投入之成果,並加強歐盟對抗網路威脅的集體韌性。 實際上歐盟於2018年即提出第一個數位歐洲計畫,並透過數位單一市場策略(Digital Single Market strategy)嘗試建立符合數位特性的監管框架,藉以提高歐盟的國際競爭力,發展及加強歐洲的數位能力。數位歐洲計畫包括五個重點領域:超級電腦(Supercomputers)、人工智慧(Artificial intelligence, AI)、網路安全及信任(Cybersecurity and trust)、數位技能(Digital skills),以及確保數位技術在經濟及社會中被廣泛使用。 前述所說的主要工作計畫,其投入資金為9.095億歐元,重要工作有三。首先,藉由關注氣候和環境保護技術、數據資料、人工智慧、雲端、網路安全、先進數位技能及部署此些技術之最佳方法,並加強歐盟的關鍵數位能力。第二,關注數位公共服務,強調具跨境互操作性(cross-border interoperability)的公部門解決方案(例如歐洲數位身份)。此外,也將透過歐洲數位媒體觀測站(European Digital Media Observatory, EDMO)打擊假訊息,並以InvestEU計畫下的策略數位技術投資平台,重點支持中小及新創企業關注網路安全。 其次,網路安全工作計畫的投入資金為3.75億歐元,由歐洲網路安全能力中心(European Cybersecurity Competence Centre)負責執行,將支援建立國家和跨境安全操作中心的能力,以打造最先進的威脅檢測及網路事件分析生態系統。網路安全工作計畫還將資助產業(特別是中小及新創企業)遵守網路安全法規要求的項目,特別是網路及資訊系統安全指令(Directive on Security of Network and Information Systems, NIS2)或網路韌性法案(Cyber Resilience Act)所要求的內容。 歐盟已在加強數位公共服務、數位技能及網路安全等方面投入許多資源,其中網路安全、資安威脅和打擊假消息等議題因其不受地區限制而更受到注目,未來仍待持續關注此些議題之發展。

TOP