歐盟第29條工作小組發布「自動化個人決策和分析指引」處理個人資料自動化決策與資料剖析風險問題
歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則(GDPR)第22條規定發布「自動化個人決策和分析指引」(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,2018年2月6日進一步修正,下稱指引),處理對個人資料自動化決策(automated decision-making)和個人檔案剖析(Profiling)的建立。
指引分為五個部分與最佳實踐建議,旨在幫助資料控制者(controller)合乎GDPR對個人資料自動化決策和分析的要求,內容包括下幾點:1.定義自動化決策和分析,以及GDPR對這些概念的處理方法;2.對GDPR第22條中關於自動化決策的具體規定;3.對自動決策和分析的一般規定;4.兒童和個人檔案剖析(Profiling)的建立;5.資料保護影響評估。
指引的主要內容包括:
個人檔案剖析(Profiling),意謂收集關於個人(或一群個人)的資料,並分析他們的特徵或行為模式,加以分類或分群,放入特定的類別或組中,和/或進行預測或評估(例如,他們執行任務的能力,興趣或可能的行為)。
禁止對個人資料完全自動化決策,包括有法律上法或相類重大影響的檔案剖析,但規則也有例外。應有措施保障資料主體的權利,自由和合法利益。
GDPR第22條第二項a之例外規定,(履行契約所必需的),自動化個人決策時,應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性,同時考慮是否可以採取侵害隱私較少之方法。
工作小組澄清,關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時,控制者應以簡單的方法,告訴資料主體其背後的理由或依據的標準,而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。
對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料,其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如,在信用評等的情況下,應有權知道其資料處理的基礎,資料主體並能對其作出正確與否的決定,而不僅僅是關於決策本身的資料。
「法律效果」是指對某人的法律權利有影響,或者影響到個人法律關係或者其契約上權利。
工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定,指出僅在某些情況下才有其適用(例如,保護兒童的福利)。
在基於自動化處理(包括分析)以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下,進行資料保護影響評估並不局限於「單獨」自動化處理/決定。
本文為「經濟部產業技術司科技專案成果」
洪政緯
法律研究員 編譯整理
1. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679,http://ec.europa.eu/newsroom/document.cfm?doc_id=47742
2. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01),http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49826
3. Bitkom views on Article 29 Working Party draft guidelines on automated individual decision-making including profiling, https://www.bitkom.org/noindex/Publikationen/2017/Positionspapiere/20171127-Bitkom-Position-Paper-WP251-Profiling-Engl-Final.pdf
2025年9月15日,韓國智慧財產局(Korean Intellectual Property Office,下稱KIPO)與韓國外交部轄下之海外僑胞廳 (Overseas Koreans Agency,下稱OKA)共同宣布:即日起,「營業秘密原本證明(Trade Secret Original Certificate)」無須經過公證人的公證程序,即可直接申請海牙認證(Apostille)。此項政策旨在簡化韓國企業在海外保護其營業秘密的程序,減輕企業的時間與金錢成本。 在KIPO與OKA尚未推出該新政策前,依據韓國《不正競爭防止法》第 9-2條第3款規定,推定註冊此營業秘密原本證明者在註冊的時點,已擁有該電子文件所記載的資訊。然而,海牙認證僅頒發給「官方文件」,非官方機構所核發的營業秘密原本證明在國際上不會被視為官方文件,即營業秘密原本證明僅在韓國國內生效。當韓國企業積極擴展海外市場或在海外面臨營業秘密侵權糾紛時,企業如欲將營業秘密原本證明申請海牙認證以作為跨國訴訟之證據,需經過以下3步驟: (1)將其含有營業秘密內容的電子文件,向KIPO指定的原本證明機構申請註冊「營業秘密原本證明」。 目前KIPO指定4家非官方\機構,如韓國智慧財產權保護院(한국지식재산보호원)、LG CNS、RedWitt、Onnuri 國際營業秘密保護中心。以韓國智慧財產權保護院之流程為例,該機構自電子文件生成獨一無二的數位指紋(Hash,或稱雜湊值),與時間戳技術結合,製作營業秘密原本證明,以確保在特定時間點,該文件確實存在,且之後未被變更。即使對文件的微小修改都會影響數位指紋,使營業秘密原本證明失效。 (2)將其營業秘密原本證明交由公證人公證。 (3)取得公證人公證後,方得依據《關於官方文件簽發海牙認證及領事認證規定》(總統令)(공문서에 대한 아포스티유 및 본부영사확인서 발급에 관한 규정」(대통령령))向主管機關(即OKA)申請海牙認證。 9月新政策將「營業秘密原本證明」納入「可直接申請海牙認證的文件範圍」,即企業在取得由 KIPO 指定機構所核發的原本證明後,不須經公證流程,可直接申請海牙認證。此舉簡化行政程序,且經海牙認證為韓國真實文件之營業秘密原本證明,在海外爭議中可作為官方文件,提升公信力。 綜上可得知,韓國營業秘密原本證明的服務僅留存電子文件的最終版本所生成之數位指紋,而非註冊當時的電子文件本身。因此,本文建議企業仍應先打好文件管理機制的地基,簡要說明如下: 1.第一步,選定有價值、有高度洩密風險或即將對外共享的數位資料(如研發紀錄、客戶名單、演算法等),明確該資料相關之權責人員與作業規範。 2.第二步,建立可行之重要數位資料的生命週期(自原始資料之生成、保護到維護,再延伸至存證資訊之取得、維護與驗證)流程化管理機制,確認具備與管理流程相應的資源(如人員面之保密契約、教育訓練以及環境面之系統備份等)。 3.第三步,檢視現行規範與實際執行之情況與分析落差原因。 4.第四步,因應管理機制落實之程度、內外部變動之需求,進而調整合適的管理作法。 前述建議之管理作法已為資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》所涵蓋,企業如欲強化數位資料管理機制,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
「品牌台灣」計畫啟動 業界攜手成立品牌台灣創投基金台灣產業近年來因製造的附加價值降低,基於產業發展前景考量,過去台灣資源的配置太偏重製造,未來產業發展應朝品牌行銷與研發智財領域發展,以台灣有限的資源才能創造更高的附加價值。 為推動更多台灣產業朝品牌之路邁進,並期許台灣有更多的品牌企業能夠在國際上發光發熱,成為國人的驕傲,因此,宏碁創辦人、智融集團董事長施振榮出面號召,在與經濟部及外貿協會、諸多產業、投資界先進共同討論後,決定籌設一個以專業品牌行銷事業為投資對象的創投基金。外貿協會、智融集團於 3 月 21 日 正式對外說明「品牌台灣創投基金」的募資計畫,預計將募集 20 億元資金投資台灣品牌企業。目前行政院開發基金與經濟部貿易推廣基金也正在評估這項投資計畫,主辦單位並積極爭取有意投資品牌事業的民間企業共襄盛舉,希望帶動台灣品牌事業的發展。 「品牌台灣創投基金」是台灣第一個為發展品牌而將成立的基金,除了催生台灣產業轉型,發展品牌風氣外,也是有鑑於國內的創投多以技術作為投資取向,較缺乏針對微笑曲線右端之品牌事業的投資,因此希望以此專門投資品牌事業的基金,帶動國內品牌事業投資的新風潮。 未來品牌基金的投資對象,將專注於品牌行銷事業的投資,投資台灣具發展優勢的產業,且其產品、服務及營運模式要具有實現品牌國際化的機會,因此相當注重被投資企業的國際行銷能力。此外,未來基金投資的對象將不限於台灣地區,只要是品牌經營之核心能力在台灣,並且能夠建立國際級的品牌,且以提升台灣整體形象及價值的企業,都是投資考量的對象。
澳洲詮釋自動駕駛「恰當駕駛」內涵澳洲國家交通委員會(National Transport Commission, NTC)2017年11月提出「國家自駕車實施指南(National enforcement guidelines for automated vehicles)」,協助執法單位適用目前道路駕駛法規於自駕車案例上。由於澳洲道路法規(Australian Road Rules)第297條第1項規範「駕駛者不得駕駛車輛除非其有做出恰當控制(A driver must not drive a vehicle unless the driver has proper control)」,此法規中的「恰當控制」先前被執法機關詮釋為駕駛者應坐在駕駛座上並至少有一隻手置於方向盤上。因此本指南進一步針對目前現行法規適用部分自動駕駛系統時,執法機關應如何詮釋「恰當駕駛」內涵,並確認人類駕駛於部分自動駕駛系統運作時仍應為遵循道路駕駛法規負責。 本指南僅提供「恰當控制」之案例至SAE J2016第一級、第二級和第三級之程度,而第四級與第五級之高程度自動駕駛應不會於2020年前進入市場並合法上路,因此尚未納入本指南之詮釋範圍之中。本指南依照採取駕駛行動之對象、道路駕駛法規負責對象(誰有控制權)、是否應將一隻手放置於方向盤、是否應隨時保持警覺以採取駕駛行動、是否可於行駛中觀看其他裝置等來區分各級自動駕駛系統運作時,人類駕駛應有之恰當駕駛行為。
韓國提出一系列新創支援措施,以躋身全球四大新創強國為目標韓國中小企業暨新創事業部(Ministry of SMEs and Startups)於2021年8月30日發布「使韓國躋身全球四大新創強國之新創支持措施」(Venture Complementary Measures for Korea to Become One of the Top 4 Global Venture Powerhouses)。韓國總統文在寅指出,第二波創業爆發期為立基於西元2000年的第一波創業爆發期之上,如今韓國企業數量較當時已增加四倍,創投投資額更突破4兆韓元,顯示韓國新創的蓬勃發展潛力。為了能在政策面有效支持韓國新創能在第二波創業爆發期(Second Venture Boom)獲得所需的人才與資金,韓國中小企業暨新創事業部規劃三大面向、十二項任務作為推動韓國躋身全球四大新創強國之新創支持措施: 在打造韓國新創國際競爭力面向,推動股票選擇權改革、全面修正《促進新創事業發展特別措施法》並廢除落日條款、提高由政府對高科技新創公司貸款提供擔保的技術擔保(technology guarantee)額度上限至200億韓元、安排國際創投媒合價值1兆韓元的全球創投資金,以及配合全球關注ESG趨勢,以碳價值(carbon value)評估為基礎,提供價值5000億韓元的氣候應對保證(climate response surety)。 在擴大創業投資市場面向,包含創造私人基金投資的誘因及允許對特定智慧財產權進行投資、進行矽谷式的(Silicon Valley-type)創投基金監管、為早期新創公司引進一兆韓元的創投資金,以及提供創業加速器租稅減免等措施。而在多元化新創出場措施面向,則規劃新增技術創新併購擔保以及增加新創併購基金、給予更多併購租稅優惠,以及提供價值1000億韓元的出場基金等。 韓國中小企業暨新創事業部指出,在第一波創業爆發期中,韓國新創打下了良好基礎,為了把握第二波創業爆發期的發展機會,韓國政府將加強與民間合作,以發展新創來創造就業機會並作為國家發展動能。為了達成躋身全球四大新創強國的目標,中小企業暨新創事業部將全力協助人才與資金的募集,從而完善韓國的新創生態系資源。