加拿大配合數位隱私法之推行，公告安全防護措施違反之規則草案

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。

經濟合作與發展組織（Organisation for Economic Co-operation and Development, OECD）於2025年2月9日發布《抓取資料以訓練AI所衍生的智慧財產問題》報告（Intellectual property issues in artificial intelligence trained on scraped data），探討AI訓練過程中「資料抓取」對智慧財產之影響，並提出政策建議，協助決策者保障智財權的同時推動AI創新。 資料抓取是獲取AI大型語言模型訓練資料之主要方法，OECD將其定義為「透過自動化方式，從第三方網站、資料庫或社群媒體平臺提取資訊」。而未經同意或未支付相應報酬的抓取行為，可能侵害作品之創作者與權利人包括著作權、資料庫權（database rights）等智慧財產及相關權利。對此，報告分析各國政策法律的因應措施，提出四項關鍵政策建議： 一、 訂定自願性「資料抓取行為準則」 訂定適用於AI生態系的準則，明確AI資料彙整者（aggregators）與使用者的角色，統一術語以確保共識。此外，準則可建立監督機制（如登記制度），提供透明度與文件管理建議，並納入標準契約條款。 二、 提供標準化技術工具 標準化技術工具可保護智財權及協助權利人管理，包括存取控制、自動化契約監控及直接支付授權金機制，同時簡化企業合規流程。 三、 使用標準化契約條款 由利害關係人協作訂定，可解決資料抓取的法律與營運問題，並可依非營利研究或商業應用等情境調整。 四、 提升法律意識與教育 應提升對資料抓取及其法律影響的認知，協助權利人理解保護機制，教育AI系統使用者負責任地運用資料，並確保生態系內各方明確瞭解自身角色與責任。

　　日前有新聞報導，google將推出「+1」按鈕功能，用戶可以點擊該按鈕，向好友推薦特定的搜尋結果，市場上普遍預測google新增此「+1」按鈕功能，主要是用來跟facebook「讚」按鈕（Like Button）競爭。facebook「讚」按鈕功能已成為時下潮流新用語，諸如「給你一個讚」；而且還可以將facebook「讚」按鈕安裝在個人的部落格網頁、文章中。惟facebook的這項功能，一直以來也存在著侵害用戶個人隱私之疑慮。 　　德國柏林地方法院於今年（2011）03月14日針對facebook「讚」按鈕功能作出一則判決（LG Berlin, Beschluss vom 14.03.2011 - 91 O 25/11）。本案被告經營一項與原告相同的電子商務業務，並在其線上商店網頁中，安裝facebook「讚」按鈕（Gefällt-mir-Button）功能。判決中指出，安裝facebook「讚」按鈕，須運用facebook內建框架（iframe）語法，一旦安裝後，只要是登錄facebook的用戶，同時瀏覽被告網頁時，即使未點擊被告網頁上的「讚」按鈕，用戶的使用記錄都會回傳至facebook。但被告網頁上並未刊登任何有關提醒用戶注意該項資料蒐集、回傳之訊息。 　　原告因而主張，被告未盡到告知用戶有關個人資料蒐集、加工資訊之義務，已經違反電信服務法（Telemediengesetz，以下簡稱TMG）第13條規定，因而構成不正競爭防止法（Gesetz gegen den unlauteren Wettbewerb，以下簡稱UWG）第4條第11款規定之不允許交易行為。UWG第4條第11款規定「違反本質上涉及交易相對人（Marktteilnehmer）之利益的市場行為（Marktverhalten）有關之法律規定，亦屬於不允許的交易行為（unlautere geschäftliche Handlungen）。」 　　柏林地方法院認為，TMG第13條本質上係與個人資料保護有關之規定，與涉及交易相對人之利益的市場行為無關，故本案無UWG第4條第11款規定之情形，與不正競爭行為無關，原告之主張因欠缺請求權基礎而敗訴。 　　然而，值得注意的是，本案法院並未進一步針對被告行為是否違反TMG第13條「有關個人資料保護」之規定提出其見解。TMG第13條係依據「歐盟1995年個人資料保護指令」轉換而來，TMG第13條規定，若網站涉及個人資料的蒐集、加工行為，電信服務提供者（Diensteanbieter）有義務明確告知用戶相關訊息（包括明確告知用戶其可隨時撤回許可相關資料蒐集之表示等）。 　　爰此，被告於個人網頁安裝facebook「讚」按鈕功能，卻未告知用戶個人資料蒐集、加工之相關訊息，是否違反TMG第13條規定之告知義務，尚有待上級審加以定奪。而判決出爐後，也有專家建議，為避免有侵害個人資料之虞，在社群網站安裝facebook「讚」按鈕時，宜加註個人資料處理、保護之相關聲明。