德國新聯邦個人資料保護法將於2018年5月施行

　　越南公共安全部（The Ministry of Public Security）於 2022 年 2 月 2 日發布了一份關於提供電子身分識別和認證的法令草案。該法令草案訂定之目的係為電子識別和認證服務的管理、提供與使用奠定其法律基礎。 　　隨著網路與電子交易日漸流行，尤其在COVID-19疫情期間，驗證與識別交易之人顯得格外重要。在越南，雖然在眾多的法律與規範下一般性地承認電子交易的有效性，但在實務上，僅有數位簽章所進行之交易才被越南當局廣泛接受且認定其有效性。然而，對於個人而言，註冊數位簽章可能複雜、成本高且耗時，故根據法令草案，越南公共安全部提議將電子身份作為個人在電子交易中識別身分的一種更簡單的方式。 　　以下為此次草案之主要重點： 一、根據法令草案，隨著安全性和可靠性的等級提升，電子身分被分為從一級到四級的四個不同級別。第一級為從註冊者獲取數位資訊；第二級除了符合第一級以外，同時直接或線上檢查註冊者提供的個人資訊與政府當局出具的文件副本是否相符；第三級除了符合第二級外，透過直接核對公民身分證、與公民身分證電子連接以及與國家人口數據庫連接藉此蒐集數位資訊；第四級除了符合第三級以外，註冊者即時於線上或是親自現身。 二、除非法律另有規定，服務提供商可以規定其服務所需的電子身分級別。當設置了級別並且客戶已經提供了相關的電子身分時，服務提供商不能要求客戶提供進一步的資訊。 三、雖然法令非具有強制性，但鼓勵公司使用電子身分來驗證電子交易中的用戶與客戶。 四、該法令草案規定提供電子身分識別和驗證服務的公司需取得相關執照之需求，且該法令草案還規範了公司獲取、交換有關電子身分識別和驗證資訊的平台。

　　現今生殖醫學進步相當快速，透過諸如胚胎殖入前之基因診斷（ PGD ）、組織配對（ tissue match ）等新興生物技術，人們將有能力選擇未來孩子的外表、智力、健康甚至性別等，故就現今的科技發展而言，篩選具有某種特徵之嬰兒的技術能力早已具備，反而是相關的倫理、道德及社會共識等等卻是最難的部分，這也是有關「訂製嬰兒」（ design babies ）之爭議焦點。 　　近幾年，訂製嬰兒的討論在英國非常熱烈，在英國，人工生殖之進行應依人工生殖與胚胎學法規定，獲得 「人類生殖與胚胎管理局」 （ Human Fertilization and Embryology Authority, HFEA ）之許可，至於進行人工生殖之同時，父母親是否得附加進一步的條件以「訂製嬰兒」，則一直有爭議。英國高等法院在 2002 年 12 月 20 日的一項判決中曾認為，國會制訂人工生殖與胚胎學法之目的，乃是在協助不孕婦女能夠生兒育女，至於組織配對的行為，則不在該法授權目的之內，因此 HFEA 無權就此等行為給予准駁。惟 2003 年 4 月 8 日 ，上訴法院推翻了高等法院的判決結果，但也進一步指出，這並不代表未來所有在進行 PGD 的同時加做組織配對之行為都是被允許的，想要施行這項技術之任何人，仍然需於事前取得 HFEA 的許可，新近 HFEA 已放寬管制規範，准許對更多種遺傳性疾病進行篩檢。 　　英國泰晤士報最近報導，一名英國女子已獲得英國 HFEA 同意 ，讓醫師將其透過體外受精方式培養出來的胚胎，利用基因篩檢技術，選擇出健康之胚胎植入其子宮內，以避免將她所罹患的遺傳性眼癌「視網膜母細胞瘤」基因傳給下一代。 　　本案婦女雖經 HFEA 同意「訂製嬰兒」，但仍會使「胚胎殖入前之基因診斷」（ PGD ）程序的爭議加劇，反對人士堅稱，基因篩檢的過程中勢必摧毀部分胚胎，且 為了某些目的而製造胚胎，將使人類被商品化，被訂製之嬰兒在長大成人後，若得知其出生之目的乃是在於治療其它親人，其心裡會對自己產生懷疑，並影響對自己人格的認同與其心理狀態。隨著生物技術發展飛快，許多可能背離社會良俗的行為恐將不斷出現，而法規能否隨之跟上則是生技產業能否興盛與倫理道德可否兼顧之重要關鍵。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。