開放非銀行事業從事預付式行動付款服務法制議題之研究

　　伴隨IoT和AI等技術發展，業者間被期待能合作透過資料創造新的附加價值及解決社會問題，惟在缺乏相關契約實務經驗的狀況下，如何締結契約成為應首要處理的課題。 　　針對上述狀況，日本經濟產業省於2017年5月公布「資料利用權限契約指引1.0版」（データの利用権限に関する契約ガイドラインVer1.0），隨後又設置AI、資料契約指引檢討會（AI・データ契約ガイドライン検討会），展開後續修正檢討，在追加整理資料利用契約類型、AI開發利用之權利關係及責任關係等內容後，公布「AI、資料利用契約指引草案」（AI・データの利用に関する契約ガイドライン（案）），於2018年4月27日至5月26日間公開募集意見，並於2018年6月15日正式公布「AI、資料利用契約指引」（「AI・データの利用に関する契約ガイドライン）。 　　「AI、資料利用契約指引」分為資料篇與AI篇。資料篇整理資料契約類型，將資料契約分為「資料提供型」、「資料創造型」和「資料共用型（平台型）」，說明個別契約架構及主要的法律問題，並提示契約條項及訂定各條項時應考慮的要點，希望能達成促進資料有效運用之目的。 　　AI篇說明AI技術特性和基本概念，將AI開發契約依照開發流程分為（1）評估（assessment）階段；（2）概念驗證（Proof of Concept, PoC）階段；（3）開發階段；（4）進階學習階段，並針對各階段契約方式和締結契約時應考慮的要點進行說明，希望達成促進AI開發利用之目的。

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日 　　歐盟執委會(European Commission，以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1]，旨在說明歐盟執委會將如何透過資料治理及相關政策，轉型為資料驅動型組織(data-driven organization)，並提供一致的方向或原則，促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的 　　「促成歐洲適應數位時代，並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展，透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術，「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度，首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理，有助於此願景之達成。 　　因此，執委會提出「資料治理與資料政策」，建立執委會統一的資料治理架構與政策原則，幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時，執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程，改善資料品質，提升資料管理及共享之效率。 貳、內容摘要 　　「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集，包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上，則導入「遵守或解釋」(comply-or-explain)原則，除非法律明示規定為選擇性適用，否則執委會轄下相關部門機構皆需遵守；倘未遵守，則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理 　　主要目的在建構執委會統一的資料治理架構，釐清相關角色的責任與相互依賴關係。依角色與任務的不同，執委會將資料治理分為三層級，並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 （一）策略層級(strategic level) 　　由資訊管理指導委員會(Information Management Steering Board, IMSB)，處理資料治理與資料政策相關議題，界定長期推動願景、提供政策方向、監督推動與執行之進程，並作出策略決定。 （二）管理階層(managerial level) 　　由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board)，以及策略層級就各資料集所指定之資料擁有者(data owner)，依策略層級所提出之願景與政策方向，在各處建立並執行資料政策、監督執行進度，並向策略層級報告執行進度及任何超出其決策權限之問題。 （三）運作階層(operational level) 　　由資料擁有者選出或指派資料管理員(data steward)，並與資料利用者(data user)實際執行資料政策，必要時將相關議題提到管理層級解決。 二、資料政策 　　就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向，建立上位原則。 　　其中關於「資料管理」部分，又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則，故執委會轄下相關部門機構在建立、蒐集或取得資料之前，需探詢必要資料或資訊是否已存在，避免重複取得。主要需求資料集的部門機構，應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面，除非歐盟相關的執委會決定、指令或規則另有規定[3]，否則以「需要共享」(need to share)或「預設共享」(share by default)為原則，並使用一致化的資料管理與視覺化工具或資料平台。 　　針對「資料互通性與標準」與「資料品質」兩部分，著重在執委會內部的共通一致性，包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面，則強調「歐盟機關個人資料保護規則」[4]相關義務，以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析 　　觀察歐盟執委會的「資料治理與資料政策」，可知其資料治理架構與相關政策，是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則，更從組織管理角度，界定不同單位或角色的任務與責任，並凸顯資料治理管理組織的建構，對資料政策執行之重要性。 　　我國政府長期致力於數位國家之發展，在政府資料開放政策推動上已有不少成果，例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量，建議未來可進一步完善政府資料治理構面，兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向，借鏡歐盟執委會之作法，確立資料共享再利用之管理架構及原則，提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等，有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

　　瑞士的網路安全公司WSLabi於2007年7月9日宣佈一項訊息，未來將在線上公開交易或交換一些軟體的安全性漏洞和弱點予軟體相關研究人員、安全代理商和軟體公司，價格從數百美元至數萬美元不等。而此意謂拍賣軟體瑕疵的新興市場即將被打開。 　　WSLabi公開拍賣軟體弱點與漏洞的作法引起了很大的爭論。以往軟體安全業者於發現軟體的弱點後，會與軟體開發者合作修補安全性弱點和漏洞，待修補完成後再公開宣佈修補軟體安全性弱點之相關訊息。但該公司的新作法將導致軟體公司未來可能因為無法及時修補弱點而商譽受損。因此該項計畫雖尚未實行，卻引起了不同看法的爭辯：支持者表示，此一計畫將有助於改善軟體弱點及安全漏洞的問題，並可鼓勵對於軟體的弱點的深入研究；然反對者卻認為，如果軟體的弱點和安全漏洞因而落入有心人的手中，利用於犯罪或幫助他人犯罪，將會對資訊安全形成極大威脅。再者，把其他公司開發的軟體弱點在市場上交易，可能也會引發道德與合法性的問題。 　　WSLabi於瞭解這項做法可能引起侵害著作權(重製、散布、販賣軟體等行為)、營業秘密與犯罪防治等法律上的爭議及國家安全的問題後表示，他們將會審慎地過濾選擇買主，不會將研究之結果出售予犯罪者或敵國政府。雖然如此，他們的說法仍引起質疑，畢竟判斷買主是否為善意或確定身份並非易事。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國勞工部（Department of Labor）於2024年10月發布「人工智慧及勞工福祉：開發人員與雇主的原則暨最佳實務」（Artificial Intelligence and Worker Well-Being: Principles and Best Practices for Developers and Employers）參考文件（下稱本文件）。本文件係勞工部回應拜登總統2023年在其《AI安全行政命令》（Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence）中對勞工的承諾，作為行政命令中承諾的一部分，本文件為開發人員和雇主制定如何利用人工智慧技術開展業務的路線圖，同時確保勞工可從人工智慧創造的新機會中受益，並免受其潛在危害。 本文件以八項AI原則為基礎，提出最佳實踐作法，其重點如下。 1. 賦予勞工參與權（empowering workers）：開發人員和雇主履行各項原則時，應該秉持「賦予勞工參與權」的精神，並且將勞工的經驗與意見納入AI系統整個生命週期各環節的活動中。 2. 以合乎倫理的方式開發AI系統：開發人員應為AI系統建立標準，以利進行AI系統影響評估與稽核，保護勞工安全及權益，確保AI系統性能符合預期。 3. 建立AI治理和人類監督：組織應有明確的治理計畫，包括對AI系統的人類監督機制與定期評估流程。 4. 確保AI使用透明：雇主應事先告知員工或求職者關於AI系統之使用、使用目的及可能影響。雇主及開發人員應共同確保以清晰易懂的方式公開說明AI系統將如何蒐集、儲存及使用勞工的個資。 5. 保護勞工和就業權利：雇主使用AI系統時，除應保障其健康與安全外，不得侵犯或損害勞工的組織權、法定工資和工時等權利。 6. 使用AI以提升勞工技能（Enable Workers）：雇主應先了解AI系統如何協助勞工提高工作品質、所需技能、工作機會和風險，再決定採用AI系統。 7. 支援受AI影響的勞工：雇主應為受AI影響的勞工提供AI技能和其他職能培訓，必要時應提供組織內的其它工作機會。 8. 負責任使用勞工個資：開發人員和雇主應盡責保護和處理AI系統所蒐集、使用的勞工個資。