本文為「經濟部產業技術司科技專案成果」
2025年12月,日本人工智慧安全研究所(AI Safety Institute,下稱AISI)與日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency Japan,下稱IPA)共同發布《資料品質管理指引》(Data Quality Management Guidebook)。此指引旨於協助組織落實資料品質管理,以最大化資料與AI的價值。指引指出AI加劇了「垃圾進,垃圾出(Garbage in, Garbage out)」的難題,資料品質將直接影響AI的產出。因此,為確保AI服務的準確性、可靠性與安全性,《資料品質管理指引》將AI所涉及的資料,以資料生命週期分為8個階段,並特別強調透過資料溯源,方能建立透明且可檢核的資料軌跡。 1.資料規劃階段:組織高層應界定資料蒐集與利用之目的,並具體說明組織之AI資料生命週期之各階段管理機制。 2.資料獲取階段:此步驟涉及生成、蒐集及從外部系統或實體取得資料,應優先從可靠的來源獲取AI模型的訓練資料,並明確記錄後設資料(Metadata)。後設資料指紀錄原始資料及資料歷程之相關資訊,包含資料的創建、轉檔(transformation)、傳輸及使用情況。因此,需要記錄資料的創建者、修改者或使用者,以及前述操作情況發生的時間點與操作方式。透過強化來源透明度,確保訓練資料進入AI系統時,即具備可驗證的信任基礎。 3.資料準備階段:重點在於AI標註(Labeling)品質管理,標註若不一致,將影響AI模型的準確性。此階段需執行資料清理,即刪除重複的資料、修正錯誤的資料內容,並持續補充後設資料。此外,可添加浮水印(Watermarking)以確保資料真實性與保護智慧財產權。 4.資料處理階段(Data Processing):建立即時監控及異常通報機制,以解決先前階段未發現的資料不一致、錯漏等資料品質問題。 5.AI系統建置與運作階段:導入RAG(檢索增強生成)技術,檢索更多具參考性的資料來源,以提升AI系統之可靠性,並應從AI的訓練資料中排除可能涉及個人資料或機密資訊外洩的內容。 6. AI產出之評估階段(Evaluation of Output):為確保產出內容準確,建議使用政府公開資料等具權威性資料來源(Authoritative Source of Truth, ASOT)作為評估資料集,搭配時間戳記用以查核參考資料的時效性(Currentness),避免AI採用過時的資料。 7.AI產出結果之交付階段(Deliver the Result):向使用者提供機器可讀的格式與後設資料,以便使用者透過後設資料檢查AI產出結果之來源依據,增進透明度與使用者信任。 8.停止使用階段(Decommissioning):當資料過時,應明確標示停止使用,若採取刪除,應留存刪除紀錄,確保留存完整的資料生命週期紀錄。 日本《資料品質管理指引》強調,完整的資料生命週期管理、強化溯源為AI安全與創新的基礎,有助組織確認內容準確性、決策歷程透明,方能最大化AI所帶來的價值。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,同樣強調從源頭開始保護資料,歷程存證與溯源為關鍵,有助於組織把控資料品質、放大AI價值。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟人工智慧辦公室發布「通用人工智慧實踐守則」草案,更進一步闡釋《人工智慧法》之監管規範.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 歐盟人工智慧辦公室(European AI Office)於2024 年 11 月 14 日發布「通用人工智慧實踐守則」(General-Purpose AI Code of Practice)草案,針對《人工智慧法》(Artificial Intelligence Act, AIA)當中有關通用人工智慧(General Purpose Artificial Intelligence, GPAI)之部分,更進一步闡釋相關規範。 本實踐守則草案主要分為4大部分,分別簡介如下: (1)緒論:描述本守則之4個基本目標,包含協助GPAI模型提供者履行義務、促進理解人工智慧價值鏈(value chain)、妥適保障智慧財產權、有效評估且緩解系統性風險(systemic risks)。 (2)GPAI模型提供者:有鑒於GPAI模型對於下游系統而言相當重要,此部分針對模型提供者訂定具體責任。不僅要求其提供訓練資料、模型架構、測試程序等說明文件,亦要求制定政策以規範模型用途防止濫用。另於智慧財產權方面,則要求GPAI模型提供者遵守「歐盟數位單一市場著作權指令」(Directive 2019/790/EC)之規定。 (3)系統性風險分類法(taxonomy):此部分定義GPAI模型之多種風險類別,諸如可能造成攻擊之資訊安全風險、影響民主之虛假資訊、特定族群之歧視、超出預期應用範圍之失控情形。 (4)高風險GPAI模型提供者:為防範系統性風險之危害,針對高風險GPAI模型提供者,本守則對其設立更高標準之義務。例如要求其於GPAI模型完整生命週期內持續評估風險並設計緩解措施。 本守則發布之次週,近千名利害關係人、歐盟成員國代表、國際觀察員即展開討論,透過參考此等回饋意見,預計將於2025年5月確定最終版本。
日本個人資料保護法啟動修法--放寬AI開發的本人同意要件日本個人資料保護法啟動修法--放寬AI開發的本人同意要件 資訊工業策進會科技法律研究所 2026年06月18日 日本政府於2026年4月7日經閣議決定,提出由個人資料保護委員會(個人情報保護委員会,下稱PPC)研擬之《個人資料之保護等相關法律部分修正法律案》(個人情報の保護に関する法律等の一部を改正する法律案,下稱修正草案),並送請第221回特別國會審議;眾議院本會議已於同年5月26日表決通過,目前由參議院續審,預計於本會期內完成立法[1]。 壹、背景摘要 日本個資法於2020年修正時,於附則第10條明定政府應於施行後每三年檢視國際動向、資通訊技術進展及個人資料新型應用之發展,必要時採取必要措施[2]。PPC據此自令和5年(2023年)起展開檢討,歷經團體意見聽取、中間整理意見徵集,並於今年1月9日公布「三年一度檢討之制度改正方針」,4月7日內閣會議決定提出「個人資料保護法等之一部修正法律案」[3]。 此修正案之提出,主要源自於日本人工智慧基本計畫~以「可信賴AI」實現「日本再起」(令和7年12/23閣議決定)所提出的政策--就可整理為統計編製等之AI開發等所涉之本人同意方式、規範遵循之實效性確保等加以檢討,力求及早將「個人資料保護法」修正案提交國會[4]。 貳、重點說明 本次修正案之主要修正分為「適正(即正當)資料利用之推進」、「因應風險之妥適規範」、「不適正利用等之防止」及「法遵實效性確保之規範」四大面向。依據PPC前述「關於《個人資料之保護等相關法律部分修正法律案》(個人情報保護法等の一部を改正する法律案について)」之說明,有關放寬AI個資取得部分之重點如下: 一、就統計編製鬆綁第三人提供與要配慮個人資料取得之同意 依日本現行個資法規定,要配慮個人資料(信仰、病歷、犯罪歷等可能導致歧視之資訊)之取得(§20Ⅱ)、個人資料之第三人提供(§27Ⅰ)等,除符合例外規定外,原則需本人同意。為因應「多事業者共享資料、橫向解析以編製統計」之需求升高,且產出是統計、無法回頭對應到某個特定個人,對當事人權益的侵害風險較低,因此修正草案(§30之2、§31之3)於統計資訊等編製(含可整理為統計編製之AI開發等)的條件下,允許將個人資料提供第三人、取得已公開要配慮個人資料,得免本人同意;行政機關等保有之個資亦同。但為擔保資料僅用於統計編製,必須公告取得者、提供者與接收者之姓名名稱、擬進行之統計編製內容等一定事項;提供者與接收者須以書面約定僅以統計編製為目的;取得者及接收者禁止此目的外利用及再提供予第三人[5]。 二、不違反本人意思、明顯不害本人權利利益者免除同意 現行日本個資法就個人資料提供第三人(§27Ⅰ),原則需取得同意。此次修正草案規定:個人資料提供第三人(含§18Ⅲ目的外利用、§20Ⅱ要配慮個資取得;上開免同意例外分別定於修正草案第18條第3項第7款、第20條第2項第7款、第27條第1項第8款),於依取得狀況觀之,可認不違反本人意思因而明顯不害本人權利利益之情形,免本人同意。例如:訂房網站A依訂房利用契約,將訂房者姓名等提供予飯店B,或匯款來源金融機構C受託對D付款,將匯款人資訊提供予匯款目的金融機構D[6]。此外,就為保護生命、身體、財產,或為增進公眾衛生、推進兒童健全成長而處理個人資料之情形,於現行「難以取得本人同意時」之外,增列「有相當理由而未取得本人同意時」亦得免同意(第18條第2項第2款、第3款,第20條第2項第2款、第3款,第27條第1項第2款、第3款)。另草案並將「學術研究機關等」之學術研究例外,擴及以提供醫療為目的之機關或團體(如醫院,第16條第9項),俾醫學與生命科學研究得據以進行[7]。 參、事件評析 日本此次修正草案最具產業意義者,係將「可整理為統計編製等」之AI開發所需情況,明文納入免同意之第三人提供與要配慮個人資料取得範圍,直接回應AI開發對大量訓練資料之需求。有關已公開或既有個人資料得否用於AI訓練的合法依據,觀察近年國際動向明顯有朝向提供同意以外之合法路徑,並搭配保障措施例如當事人退出權的趨勢。 韓國個人資料保護委員會(PIPC)於2024年7月發布之指引,明確確認公開之個人資料得據以用於AI訓練,惟須符合正當利益存在、處理必要性、且該利益「明顯優越於」當事人權利之要件,並落實查證資料來源、產出過濾等技術措施,以及保障當事人權利行使之機制[8]。歐盟資料保護委員會(EDPB)於2024年12月17日通過第28/2024號意見,確認一般資料保護規則(GDPR)第6條第1項第f款之「正當利益」得作為AI模型開發與部署階段之合法依據,惟須逐案通過「正當利益之認定—處理必要性—與當事人基本權利之權衡」之保障措施[9]。 我國個資法並未如GDPR、韓國PIPA設有概括之「正當利益」合法事由,係規定一般個人資料之蒐集或處理個人資料可取自一般可得來源之依據,除非當事人對該資料之禁止處理或利用顯有更值得保護之重大利益[10]。但已取得的個人資料已無從識別特定當事人,可基於公共利益為統計或學術研究目的利用的,亦限於公務機關或學術研究機構[11]。而且取自一般可得來源的事由亦不適用於特種個資為學術研究目的所為蒐集處理,限於醫療、衛生或犯罪預防,範圍亦較一般個資為窄[12]。 相較韓、歐、日相繼就AI訓練的個人資料取得,提供明文之合法路徑並配套退出等保障機制,我國現行路徑要件若能進一步參考納入概括的正當利益或明文目的做有限豁免,並配套日本規範透明化、當事人退出與權利行使之配套,應有助於填補現行規範不足之缺口。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://keid.nat.gov.tw/tips/) [1]〈悪質業者に「課徴金」 個人情報保護法改正案、衆院通過〉,時事通信,2026年5月26日,https://www.jiji.com/jc/article?k=2026052600074&g=pol(最後瀏覽日:2026年6月11日)。 [2]個人情報保護委員会事務局,《個人情報保護法等の一部を改正する法律案について》(令和8年4月),頁1,https://www.ppc.go.jp/files/pdf/260407_kisyahaifusiryou.pdf(最後瀏覽日:2026年6月11日)。 [3]個人情報保護委員会事務局,前揭註2,頁1(「これまでの検討経緯」)。 [4]個人情報保護委員会事務局,前揭註2,頁2-4。(最後瀏覽日:2026年6月11日)。 [5]同前註,頁6。 [6]同前註,頁7。 [7]修正後第16條第9項明定「學術研究機關等」含以提供醫療為目的之機關或團體(如醫院);其學術研究目的之目的外利用(修正後第18條第3項)、受保護個人資料取得(修正後第20條第2項)及第三人提供(修正後第27條第1項)之學術研究例外亦隨之適用;個人情報保護委員会事務局,前揭註2,頁9。 [8]대한민국 개인정보보호위원회(韓國個人資料保護委員會,PIPC),《인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서》(人工智慧〔AI〕開發・服務之公開個人資訊處理指引),2024年7月17日公開,明示個人資料保護法第15條第1項第6號「正當利益(정당한 이익)」為AI學習、服務蒐集利用公開個資之實質適法依據,https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10362(最後瀏覽日:2026年6月11日)。 [9]European Data Protection Board, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models,https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf(最後瀏覽日:2026年6月11日)。 [10]個人資料保護法第19條第1項第7款;個人資料保護法施行細則第19條規定,:「本法第19條第1項第7款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道」。 [11] 我國人資料保護法第 20 條第 1 項第 5 款。 [12] 我國人資料保護法第 6 條第 1 項第 4 款。
美國高速公路運輸安全局(NHTSA)發佈針對車輛對車輛間溝通的研究報告國家高速公路運輸安全局(NHTSA)發佈即將針對車輛與車輛間通訊訂立規則的訊息,以管理車對車之間(V2V)通訊技術,V2V技術最主要著眼在於避免碰撞,根據調查百分之94的車禍事故都有人為因素牽涉其中,V2V技術可以讓車輛有效的認知碰撞的情況與潛在威脅。V2V技術仰賴的是鄰近車輛之間的通訊溝通並交換訊息,以警告駕駛潛在的導致碰撞安全威脅,例如:V2V可以警告駕駛前車正在煞停,所以候車必須隨之減速以免碰撞,或是警告駕駛在經過十字路口的時候處於不安全的情況,因為有一輛看不見的車輛正以高速朝路口靠近。V2V通訊技術使用精密的短距離通訊技術以交換車與車子之間的基本訊息,諸如:位置、速度、方向已決定是否要警告駕駛以避免碰撞。本項規則制訂的提案可謂是數十年來NHTSA與各部門間合作努力的成果,包含汽車產業界、各州運輸交通部門、學術機構以建立共識的標準。NHTSA的提案當中規制運用在所有輕型車輛V2V技術使用無線電傳輸協定與光譜頻寬總稱為精密短距通訊技術(DSRC)。這項立法規制要求所有的車輛都應該要透過標準化技術講共同的語言,並且要求所有車輛均要納入安全與隱私保護的措施。本次即將管制的車輛包括一般轎車、多功能車(MPV)、卡車、公車,車輛在4536公斤以下的車輛未來必須配備V2V的通訊系統。 ●交換資訊部分 僅交換基本安全訊息,其中包含車輛的動態訊息諸如行進方向、速度、位置。這些基本的安全訊息每秒交換高達10次,裝有V2V裝置的車輛將保留這些訊息,去評判是否有碰撞的威脅。如果系統覺得有必要,將立即發出訊息警告駕駛採取必要措施避免立即碰撞。 ●V2V未來可能應用 ■十字路口動態輔助:車輛進入十字路口前,如果會發生碰撞會加以警示。 ■左轉輔助:駕駛一旦左轉會撞上來車的時候,特別在於駕駛視線被擋住的情況下,會加以警示。 ■警急電子煞車燈:同方向行進車輛,前車忽然減速的情況下,V2V技術可以允許使經過透視前車的情況下,知道駕駛目前正在減速,所以可以針對視線外的急煞車預先因應。 ■前端碰撞警示:前端碰撞警示將警告駕駛即將到來的撞擊,避免撞擊前車。 ■盲點警示與變換車道警示:車輛變換車道的時候系統將警告位於盲點區域的車輛即將靠近,避免在變換車道的時候發生碰撞。 ■超車警示:警告駕駛超車並不安全,因為對向車道正有車輛往此方向前進。 ●面對網路攻擊 ■設計訊息認證方案,確保交換訊息時的安全性。 ■每一項交換的訊息均會經過偵測避免惡意攻擊。 ■惡意攻擊的回報機制:諸如身份錯誤配置的訊息、惡意車輛阻擋V2V訊息。 ●隱私保護 在設計最初期即導入V2V僅允許分享蒐集通用的安全資訊,對於個人或其他車輛的資訊不能加以蒐集與傳輸。 目前NHTSA將針對本項提案蒐集公眾意見(預計將進行九十天),並審核公眾所提交意見是否可行,在發佈最終的規則。