英國個人資料保護最新案例發展及其對我國法制之啟示

歐洲議會通過《人工智慧法案》 朝向全球首部人工智慧監管標準邁進下一步 資訊工業策進會科技法律研究所 2023年06月26日 觀察今年的科技盛事屬ChatGPT討論度最高，將人們從區塊鏈、元宇宙中，帶入人工智慧（AI）領域的新發展。ChatGPT於2022年11月由OpenAI開發的生成式人工智慧，透過深度學習模型，理解和生成自然語言，其功能包含回答各類型問題（如科學、歷史）、生成邏輯結構之文章（如翻譯、新聞標題）、圖形、影像等內容。然而對於人工智慧的發展，究竟如何去處理人機間互動關係，對於風險之管理及相關應用之規範又該如何，或許可從歐盟的法制發展看出端倪。 壹、事件摘要 面對人工智慧的發展及應用，歐盟執委會（European Commission）早在2018年6月成立人工智慧高級專家組（AI HLEG），並於隔年（2019）4月提出「可信賴的人工智慧倫理準則」（Ethics Guidelines for Trustworthy AI），要求人工智慧需遵守人類自主、傷害預防、公平、透明公開等倫理原則。於2021年4月21日歐盟執委會提出「人工智慧法律調和規則草案」（Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts）（以下稱人工智慧法案），於2023年內部市場委員會（Internal Market Committee）與公民自由委員會（Civil Liberties Committee）通過並交由歐洲議會審議（European Parliament），最終《人工智慧法案》於2023年6月14日通過。後續將再歐盟理事會（Council of the European Union）與辯論協商，尋求具共識的最終文本[1]。 貳、重點說明 由於「歐盟議會通過」不等於「法案通過」，實際上歐盟立法機制不同於我國，以下透過法案內容說明的契機，概述一般情況下歐盟之立法流程： 一、歐盟立法過程 通常情況下，法案由歐盟執委會（下簡稱執委會）提出，送交歐盟理事會及歐洲議會，作為歐盟的「立法者」歐洲理事會（下簡稱理事會）與歐洲議會（下簡稱議會）將針對法案獨立討論並取得各自機關內之共識。大致上立法程序有可分為三階段，在一讀階段若理事會與議會對於執委會版本無修改且通過，則法案通過，若任一機關修改，則會進行到二讀階段。針對法案二讀若仍無法取得共識，則可召開調解委員會（Conciliation）協商，取得共識後進入三讀。簡單來說，法案是否能通過，取決於理事會與議會是否取得共識，並於各自機關內表決通過[2]。 目前《人工智慧法案》仍處於一讀階段，由於法案具備爭議性且人工智慧發展所因應而生之爭議迫在眉睫，議會通過後將與執委會、理事會進入「三方會談」（Trilogue）的非正式會議，期望針對法案內容取得共識。 二、人工智慧法案 （一）規範客體 《人工智慧法案》依風險及危害性程度分級，其中「不可接受風險」因抵觸歐盟基本價值原則禁止（符合公益目標，如重大或特定犯罪調查、防止人身安全遭受危害等例外許可）。「高風險」則為法案規範之重點，除針對系統技術穩健、資料處理及保存訂有規範外，針對人為介入、安全性等也訂定標準。 而針對高風險之範疇，此次議會決議即擴大其適用範圍，將涉及兒童認知、情緒等教育及深度偽造技術（Deepfake）納入高風險系統，並強調應遵循歐盟個人資料保護規範。此外對於社會具有高影響力之系統或社群平臺（法案以4500萬用戶做為判斷基準），由執委會評估是否列為高風險系統。針對目前討論度高的生成式人工智慧（ChatGPT），議會針對法案增訂其系統於訓練及應用目的上，應揭露其為生成式人工智慧所產出之內容或結果，並摘要說明所涉及之智慧財產權[3]。 （二）禁止項目 關於《人工智慧法案》對於高風險系統之要求，從執委會及理事會的觀點來看，原則上重點在於對弱勢的保護及生物資料辨識之權限。歐盟禁止人工智慧系統影響身理及心理，包含對於特定族群如孩童、身心障礙者等弱勢族群之不平等待遇。同時原則禁止即時遠端的生物辨識利用，包含對於人性分析、動作預測等對於人類評價、分類之應用，例外情況如犯罪調查、協尋失蹤兒童、預防恐怖攻擊、關鍵基礎設施破壞等情況時方被允許。此次議會決議提高禁止即時遠端生物辨識的標準，包含納入敏感資訊的蒐集如性別、種族、政治傾向等，及其他臉部辨識、執法、邊境管制、情緒辨識等項目[4]。 參、事件評析 有關《人工智慧法案》雖歐洲議會已一讀通過，然而後續仍要面對與歐盟理事會的協商討論，並取得共識才能規範整個歐盟市場。因此上述規範仍有變數，但仍可推敲出歐盟對於人工智慧（含生成式）的應用規範態度。在面對日新月異的新興科技發展，其立法管制措施也將隨著橫向發展，納入更多種面向並預測其走向趨勢。因人工智慧有應用多元無法一概而論及管制阻礙創新等疑慮，觀察目前國際上仍以政策或指引等文件，宣示人工智慧應用倫理原則或其風險之管理，偏重產業推動與自律。 觀察歐盟《人工智慧法案》之監管目的，似期望透過其市場規模影響國際間對於人工智慧的監管標準。倘若法案後續順利完成協商並取得共識通過，對於如OpenAI等大型人工系統開發商或社群平臺等，若經執委會評估認定為高風險系統，勢必對於未來開發、應用帶來一定衝擊。因此，歐盟對於人工智慧監管的態度及措施實則牽一髮而動全身，仍有持續觀察之必要。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The AI Act, Future of Life Institute, https://artificialintelligenceact.eu/developments/ (last visited Jun. 20, 2023) [2]The ordinary legislative procedure, Council of European Union, https://www.consilium.europa.eu/en/council-eu/decision-making/ordinary-legislative-procedure/ (last visited Jun. 19, 2023) [3]EU AI Act: first regulation on artificial intelligence, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence (last visited Jun. 21, 2023) [4]MEPs ready to negotiate first-ever rules for safe and transparent AI, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai(last visited Jun. 21, 2023)

　　日本經濟團體聯合會、環境省、經濟產業省於2021年3月設立「循環經濟夥伴」（JAPAN PARTNERSHIP FOR CIRCULAR ECONOMY，J4CE），其係為實現循環經濟（CE），而有賴政府、民間企業、國際機構等相關組織，建立劃時代的產官合作平台。 　　J4CE已成立一年，此段期間已進行三次產官間之對話，如於2021年12月21日係針對「實現循環經濟所新增之成本為何？」、「如何解決所生之成本？」為主題，提出促進循環經濟值幾個值得注意之企業事例。 　　例如：「新的商業模式」中，由損害保險日本興亞公司與Second Harvest Japan公司共同合作，當食品運送過程中發生事故，該食品被判定失去市場價值時，能將其捐贈給Second Harvest Japan公司，其捐贈花費之費用或損失，將由損害興亞公司負責給付其保險金，而Second Harvest Japan公司則將捐贈之食品提供給生活困窮家庭，其作法將有助社會支援、減少食品浪費；另有Panasonic等電器公司提供「照明」服務，但非燈泡的所有權出賣，而是以繳納使用費方式，提供LED燈給企業經營者，並提供相關修繕、動產綜合保險等服務，已達到省電效果、降低能源成本等。 　　而在2022年2月17日第3次產官對話中主要以「循環經濟的投資者觀點與資訊公開方法」為主題，為因應氣候變遷經濟產業省設立TCFD制度已受到企業經營者的高度關注，因此也期待J4CE在循環經濟中也能有相同作用。 　　然截至今日最大難題還是在於當使用再生資源應如何將同質材料作為資源來運用較為棘手，J4CE目前除了對研究開發給予支援外，亦考慮增加補助金及放寬其限制等方式進行。

　　澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為，在符合特定條件之情形下，亦即，去識別化過程符合OAIC認定之最高標準時，去識別化後之資料不適用「1988隱私法案」(Privacy Act)；澳洲企業組織目前所進行之個人資料去識別化，是否已符合「1988隱私法案」之規範要求，OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 　　澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs)，就非公務機關蒐集、利用、揭露與保存設有規定，APPs第6條更明文限制非公務機關揭露個人資料，於特定情況下，APPs允許個人資料經去識別化後揭露。例如，APPs第11.2條規定，若非公務機關當初之蒐集、利用目的已消失，須以合理方式將個人資料進行銷毀或去識別化。 　　如非公務機關係合法保有個人資料，即無銷毀或去識別化義務；此外，若所保有個人資料屬健康資料者，因係澳洲政府機關以契約方式委託非公務機關，非公務機關亦無銷毀或去識別化義務。應注意者，APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的，主動蒐集個人健康資料 (APPs第16B(2)條)，同時亦禁止基於學術研究、公共衛生或安全目的，就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的，且符合APPs第16B(2)條之要件者，非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 　　其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等，均就個人資料去識別化訂有相關規範。 　　未來以資料為導向之經濟發展，將需堅實的隱私保護作為發展基礎，澳洲去識別化個人資料認定標準之提出，以及標準之認定門檻，殊值持續關注。

資訊揭露與市場競爭評估– 研析英國水平協議指引中之資訊交換 資訊工業策進會科技法律研究所 2023年09月23日 英國競爭與市場管理局（Competition and Markets Authority，CMA）於2023年8月16日發布《1988年競爭法第一章禁令適用於水平協議之指引》（Guidance on the application of the Chapter I prohibition in the Competition Act 1998 to horizontal agreements，以下簡稱CMA水平協議指引），以規範實際或潛在競爭者間之協議[1]。CMA水平協議指引提供事業擬定協議內容的參考，事業間於業務合作的同時，亦能符合法遵之要求，以維護市場公平競爭。 壹、事件摘要 英國CMA水平協議指引解釋競爭法之適用，尤其是《1998年競爭法》（Competition Act 1998，CA98）第1章禁止水平協議。2023年1月1日，《1998年競爭法（專業協議集體豁免）2022年指令》（SABEO）與《1998年競爭法（研發協議集體豁免）2022年指令》（R&D BEO）生效，於2023年8月16日發布之CMA水平協議指引，協助事業評估特定類型的水平協議是否受益於SABEO和R&D BEO，和遵守競爭法之相關規範[2]。申言之，CMA水平協議指引協助事業評估其所簽訂之協議內容，是否屬於法規範豁免之類型，且合乎競爭法之規定。 CMA水平協議指引說明研發協議[3]、生產協議[4]、採購協議[5]、商業化協議[6]和標準化協議[7]之適用與範例。鑒於大數據分析與機器學習需使用大量的資料；而大數據分析的結果，或機器學習的應用，將影響決策的形成，資訊交換因而更顯重要[8]，CMA水平協議指引亦引導事業為合理的資訊交換。 資訊交換不僅為競爭市場的共同特徵，在一般的情形亦有利於消費者；例如資訊交換有助於解決資訊不對等而提升市場效率，事業能藉由比較最佳實踐方案，以提高內部效率；能減少庫存以節省成本，並處理不穩定的需求；或藉由演算法以開發新的產品或服務；[9]或減少搜尋成本，以提供消費者利益[10]。依據實際情況，資訊交換可以是有利於競爭，競爭中立或限制競爭[11]。換言之，競爭市場中適當的資訊交換，有助於事業降低成本，提升效率。 貳、重點說明 CMA水平協議指引第8章為資訊交換（Information Exchange），目的即在指導事業為資訊交換的競爭評估[12]。資訊交換是否會引發限制競爭之效應，取決於市場的特性，包含[13]： （1）市場透明度：越透明的市場，競爭之不確定性越小[14]。 （2）市場集中度：若市場中僅有少數事業，則易於達成共識，與控制市場偏差。若市場高度集中，則訊息的交換，將有助於事業了解競爭者的市場地位和策略，而扭曲競爭，甚而增加共謀（collusion）的風險；若市場分散，則競爭者間資訊的傳播與交換，對市場而言，可能為競爭中立或有利於競爭[15]。 （3）參進障礙：此使外部競爭者無法破壞市場中的共謀結果（collusive outcome）[16]。 （4）市場穩定度：在供需穩定的市場，亦可能有共謀的結果；而需求的波動、市場中事業內部的大幅成長、新事業的參進、顛覆性創新（disruptive innovation），均可能顯示市場的穩定度不足，需提升交流，以促進競爭[17]。 競爭對手間的資訊交換，依據共享資訊的內容、目的、法律與經濟背景，可能為侵權而應受限制。包含與競爭對手交換事業目前或未來的訂價方向、生產能力、商業策略、針對需求的規劃，對未來銷售的預測，和在特定市場上的財務狀況與經營策略[18]，提供價格資料而能預測事業未來的行為，和與競爭對手交換潛在參進者所提出之計畫要點[19]。申言之，事業應避免資訊所生之侵權行為；並需考量市場的特性，以評估資訊交換對競爭之限制。 參、事件評析 CMA水平協議指引第8章，提供事業間交換資訊的相關建議。為提升資訊交換對市場的效益，以資訊內容而言，事業須考量資訊交換的目的，以及藉由收集資訊、確認資訊交換的參與者係使用其具有所有權的原始資料、使用歷史資訊、僅交換與達到目標相符且必要的資訊，而能減少具有商業敏感性質的內容[20]。換言之，事業須避免機敏資料的流通，並具有使用資料的權限。 以資訊應用的角度，事業應採取措施，以控制資訊的交換與使用，包含減少頻繁的交換，以特定團隊（clean team）或信託方式進行資訊交換，或使用資料池（data pool）以確認近用資料之所有權[21]。亦即事業須確認資料的來源，與交換資料的相對人，並能管理資料流通的過程。 綜上所論，足夠的資料量，使大數據分析的結果能充分反映市場的實際需求，事業的決策和布局亦更為準確，適當的資訊交換有助於提升事業的市場競爭力。CMA水平協議指引協助事業評估資訊交換對競爭之影響，事業之資訊管理，除內部資訊之維護外，亦包含外部資訊之交換，如資訊交換之必要性，與資訊近用之權限、方式等，或可提供臺灣事業參考。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Guidance on Horizontal Agreements, GOV. UK, Competition and Markets Authority, https://www.gov.uk/government/publications/guidance-on-horizontal-agreements (last visited Aug. 23, 2023). [2]CMA COMPETITION & MARKETS AUTHORITY, Guidance on the application of the Chapter I prohibition in the Competition Act 1998 to horizontal agreements, CMA184 (Aug. 2023), 6, at 6, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1178791/Horizontal_Guidance_FINAL.pdf (last visited Sept. 01, 2023). [3]Id., at 35 below. [4]Id., at 83 below. [5]Id., at 124 below. [6]Id., at 145 below. [7]Id., at 203 below. [8]Id., at 165. [9]Id. [10]Id., at 166. [11]CMA Competition & Markets Authority, supra note 8. [12]Id. [13]Id., at 188. [14]Id. [15]Id., at 188-189. [16]Id., at 189. [17]Id. [18]Id., at 190. [19]Id., at 191. [20]Id., at 201. [21]Id.