香港公告金融科技監管沙盒2.0版、保險科技沙盒以及證監會監管沙盒

法國國家資訊自由委員會（CNIL）於2023年10月16日至11月16日進行「人工智慧操作指引」（AI how-to sheets）（下稱本指引）公眾諮詢，並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則（GDPR）之作法，以期在支持人工智慧專業人士創新之外，同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下： 1.指引涵蓋範圍：本指引限於AI開發階段（development phase），不包含應用階段（deployment phase）。開發階段進一步可分為三階段，包括AI系統設計、資料蒐集與資料庫建立，以及AI系統學習與訓練。 2.法律適用：當資料處理過程中包含個人資料時，人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的：CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則，由於資料應該是基於特定且合法的目的而蒐集的，因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何，方能決定GDPR與其他原則之適用。 4.系統提供者的身分：可能會是GDPR中的為資料控管者（data controller）、共同控管者（joint controller）以及資料處理者（data processor）。 5.確保資料處理之合法性：建立AI系統的組織使用的資料集若包含個人資料，必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估（DIPA）。 7.在系統設計時將資料保護納入考慮：包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護：具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的，以及設定明確的資料保留期限，實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說，更新AI相關規範知識非常重要，CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。

　　中華人民共和國第12屆全國人民代表大會常務委員會第18次會議於2015年12月27日通過並公布《中華人民共和國反恐怖主義法》(以下簡稱反恐法)，並自2016年1月1日開始施行。反恐法第18條與第19條要求電信業務經營者與互聯網服務提供者，應當為公安機關、國家安全機關依法進行防範、調查恐怖活動「提供技術接口和解密等技術支持和協助」，並應當依照法律與行政法規規定，「落實網絡安全、信息內容監督制度和安全技術防範措施，防止含有恐怖主義、極端主義內容的信息傳播；發現含有恐怖主義、極端主義內容的信息的，應當立即停止傳輸，保存相關記錄，刪除相關信息，並向公安機關或者有關部門報告。」倘有違反以上規定且情節嚴重者，反恐法第84條授權由主管部門對該公私處50萬人民幣以上罰款，並對該公司直接負責之主管人員與其他直接責任人員處10萬元人民幣以上50萬人民幣以下罰款，並可由公安機關對該等人員處5日以上15日以下之拘留。 　　我國刻正進行資通安全管理法之制定，以為範圍更廣之資訊基本法的作用法。資通安全管理法當中考量納入與關鍵基礎建設相關之民間產業，使之成為資安通報之一環，政府需要民間企業配合時也將於法有據。於恐怖攻擊事件頻傳之今日，倘我國需要就此等事件要求電信業者或服務提供者進行通報時，相關國際立法例及其實踐，即值參酌。

　　三螺旋理論，又稱三螺旋創新模型理論（Triple Helix Theory），主要研究大學、產業以及政府以知識經濟為背景之創新系統中之型態關係，由Etzknowitz與Leydesdorff於1995年首次提出。 　　因應知識經濟時代來臨，三螺旋理論著重於政府、學術界與產業界（即為產、官、學）三者在創新過程中互動關係的強化。該理論探討如何協調產業、政府、學界三方於知識運用和研發成果產出上的合作；當社會動態產生改變，過去單一強大的領域將不足以帶動創新活動，推動創新也非單一方的責任，此時產業、政府、學界的三螺旋互動便隨之發生：大學透過創新育成機構孕育企業創新，而產業則扮演將研發成果商業化之要角，政府則透過研發相關政策、計畫或法規制定，鼓勵企業和大學間研究發展合作。 　　有別於早期經濟合作暨發展組織（OECD）將「產業」作為主要研發創新主體，三螺旋理論更重視產業、政府、學界三大主體均衡發展，三方主體各自獨立發展，且同時與其他方維持相互協力合作，共同推進經濟與社會之創新發展。 　　在三螺旋理論下，產、官、學因其強弱不等的互動狀態，形成不同的動態模型（例如國家干預模型、自由放任模型、平衡配置模型等等），這些動態模型被認為是產生創新的主要動力來源，對未來新知識和科技創造與擴散的能力以及績效具有決定性的影響力。

2024年3月6日，南韓個資保護委員會（Personal Information Protection Commission, PIPC）宣布通過個人資料保護法施行法（Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree）修正案，並於2024年3月15日正式實行。 本次修法重點如下： 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策，個資主體（即，個人）有權要求解釋決策過程並進行審查，尤其當決策結果對個資主體權益有重大影響時（例如：不通過其社福補助申請），個資主體可拒絕自動化決策結果，並要求改為人為決策及告知重新決策結果。另為確保透明、公平，自動化決策依據的標準與程序亦須公開，並於必要時向公眾說明決策過程。 2.確立隱私長（Chief Privacy Officers, CPOs）的資格要求及適用範圍 為確保CPO能順利開展個資保護工作，要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗，且個資經驗至少2年。適用機關包括：年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者；學生超過2萬人的大學；處理大量特種個資的教學醫院或大型私人醫院等；疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定，PIPC每年需對公共機構（如：中央行政機關及其所屬機關、地方政府及總統令規定者）進行個資保護程度評估，而為使評估作業有所依循，本次新增評估標準及相關程序包括：政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任，將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時，調整適用門檻，將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人，以減輕小型企業負擔。另亦明訂可豁免責任的對象包括：不符合CPO資格的公共機構，公益法人或非營利組織，及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案，內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等，並舉行說明會來收集回饋意見。