英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件

  2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。

  在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策:

  1. 為簽訂或履行契約所必要;
  2. 歐盟或會員國法律所授權;
  3. 基於個人明示同意。

  英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。

  根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有:

  1. 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。
  2. 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。
  3. 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。
  4. 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。

  指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。

相關連結
相關附件
你可能會想參加
※ 英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8063&no=645&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
歐盟《5G網絡安全風險聯合評估報告》

  歐盟執委會(European Commission, EC)於2019年10月9日發布《5G網絡安全風險聯合評估報告》(report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks),為執委會調查歐盟成員國家5G網路安全風險評鑑。該評估報告將由歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)後續進一步分析歐盟發展5G行動通訊所帶來的網路安全威脅。   報告中顯示,5G網路的安全挑戰,主要來自(1)5G技術關鍵創新:尤其是5G軟體重要組成部分與5G廣泛的服務和應用等技術創新,以及技術創新所帶來的安全性更新;(2)供應商:若5G通訊營運業者對供應商過度依賴,會導致攻擊者可利用的攻擊路徑的增加。   5G網路開展將帶來許多影響,包含: 隨著5G網路軟體發展,攻擊者有更多潛在切入點;與軟體有關的安全風險漏洞管理十分重要,供應商內部不良的軟體開發流程會使攻擊者容易將惡意軟件植入後門,且難以被發現。 對單一供應商的依賴也會帶來風險增加,包含供應鏈中斷風險、增加供應商變更成本、供應商受到非歐盟國家有意介入的可能性、以及在產品供應瑕疵的情況下營運業者難以採行應變措施等。 隨著5G網絡作為許多關鍵資通訊應用的骨幹,對5G網路可用性、完整性、機密性的威脅將成為國家安全隱憂,也是歐盟未來需要面對的最大的網路安全挑戰。

奈米產業民間導引規範先行-以美國推動奈米保險機制及自願性計畫法制為例

美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告

美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告 資訊工業策進會科技法律研究所 2024年09月16日 隨著地緣政治局勢升溫,國際主要國家為強化技術保護,並防止資源持續流入國族國家敵對勢力(Nation-state adversaries),有研議新增「對外投資審查」為監管工具的趨勢,例如歐盟執委會(European Commission)於2024年1月發布「對外投資白皮書」(White Paper on Outbound Investments),以及美國總統拜登於2023年8月9日發布《第14105號行政命令》(Executive Order 14105,以下簡稱《對外投資命令》),確立美國應增設對外投資審查制度之目標。 壹、事件摘要 為了落實《對外投資命令》,美國財政部(Department of the Treasury)投資安全辦公室(Office of Investment Security)於2024年7月5日發布「有關美國於關切國家投資特定國家安全技術與產品」的法規預告(Notice of Proposed Rulemaking:Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern,以下簡稱法規預告),將半導體與微電子、量子資訊技術以及人工智慧列為三大目標監控領域。 依據法規預告,未來「美國人」(U.S. Person)若從事涉及「特定外國人」(Covered Foreign Person)的三大「特定領域活動」(Covered Activity)投資交易,除合乎例外交易(Excepted Transactions)情形外,皆屬未來對外投資審查法規的管轄範圍。 貳、重點說明 以下簡介法規預告的重點規範內容: 一、三大特定領域活動:包含半導體與微電子、量子資訊技術以及人工智慧三個領域。 二、美國人:指美國公民、美國法定永久居留權人、任何依照美國法律設立或受美國管轄的法人實體(Entity),及任何在美國境內的自然人。 三、關切國家:指中國大陸,並包含香港及澳門地區。 四、特定外國人:指「屬於關切國家的個人或法人實體,並從事三大特定領域活動者」,具體而言包含關切國家公民或法定永久居留權人、政府單位或人員、依關切國家法律設立的法人實體、總部位於關切國家的法人實體等。 五、雙軌制:法規預告將對外投資分為兩大交易類別,即「禁止交易」(Prohibited Transactions)及「通報交易」(Notifiable Transactions)。原則上投資若涉及三大特定領域活動且屬於法規預告指定之「先進技術項目」者,為禁止交易;未涉及先進技術項目,則屬通報交易。 六、半導體領域之禁止交易: 鑒於半導體產業對於我國影響重大,且亦為我國管制重點項目,以下簡要說明半導體領域之禁止交易: (一)先進設計:禁止任何涉及超出美國《出口管制規則》(Export Administration Regulation, EAR)的「出口管制分類代碼」(Export Control Classification Number, ECCN)3A090.a技術參數,或可於4.5克耳文(Kelvin)以下溫度運作的半導體先進設計相關投資。ECCN 3A090.a技術參數係指半導體「總處理效能」(Total Processing Performance, TPP)為4800以上;或TPP為1600以上且「性能密度」(Performance Density, PD)為5.92以上者。 (二)先進製造: 禁止涉及以下項目的先進半導體製造相關投資: 1.使用非平面晶體管架構(non-planar transistor architecture)或16奈米、14奈米或以下製程技術的邏輯晶片。 2.具有128層以上的快閃(NOT-AND)記憶半導體。 3.使用18奈米以下半週距製程技術的動態隨機存取記憶體(dynamic random-access memory)晶片。 4.使用鎵化合物(gallium-based compound)的化合物半導體。 5.使用石墨稀電晶體(graphene transistors)或奈米碳管(carbon nanotubes)的半導體。 6.能於4.5克耳文以下溫度運行的半導體。 (三) 先進封裝:法規預告禁止任何使用先進封裝技術的半導體封裝相關投資。先進封裝係指「以2.5D及3D進行半導體封裝」,例如透過矽穿孔(through-silicon vias)、黏晶或鍵合技術(die or wafer bonding)、異質整合等先進技術進行半導體封裝。 (四) 電子設計自動化軟體(electronic design automation software,以下簡稱EDA軟體):禁止開發、生產用於先進半導體設計或先進封裝的任何EDA軟體。 七、不採取逐案審查模式:法規預告不採取逐案審查模式,而係由美國人自行判斷投資類型為禁止或通報交易。 八、通報程序:原則採取「事後通報」模式,美國人應於通報交易完成日(completion date)後的30個日曆天(calendars day)內,透過財政部對外投資安全計畫(Department of the Treasury’s Outbound Investment Security Program)網站進行通報,並應將相關需求文件提供予財政部,如投資交易雙方的交易後組織結構圖(post-transaction organizational chart)、交易總價值及其計算方式、交易對價描述、交易後對特定外國人的控制狀況等。 九、例外交易: 法規預告的例外交易主要包含兩大類別,分述如下: (一) 技術不當外流風險較低的例外交易:某些交易類型的技術不當移轉風險較低,若實質上亦未賦予美國人超出「標準少數股東保護範圍之權限」(rights beyond standard minority shareholder protections),則此種投資即可排除於法規預告外,例如於公開交易市場的證券買賣、買斷關切國家法人實體的所有權,以及不取得管理決策權或出資金額低於100萬美元的有限合夥投資等。 (二) 基於其他外交、政治因素的例外交易:若交易發生於美國境外,且經財政部部長認為該國或地區已具備足以應對國安威脅的措施,或經財政部認定為對國家安全有利的交易,皆可排除於法規預告的管轄之外。 參、事件評析 美國財政部發布對外投資的法規預告,顯示出美國政府認為既有技術管制措施,如出口管制、營業秘密及對內投資審查等,已不足以涵蓋對外投資所生之技術外流風險,且對外投資若涉及關鍵領域的先進技術,所帶來的無形技術移轉利益,可能遠大於投資資金本身。 我國基於兩岸情勢及國安考量,自1992年以來即透過《臺灣地區與大陸地區人民關係條例》第35條,就赴中國大陸之投資進行審查。隨著地緣政治複雜化,加諸我國處於半導體等關鍵產業供應鏈的重要地位,我國應持續關注及研析美國等國家之對外投資審查制度發展,以利定期檢視相關機制的妥適性,並達到維護產業競爭力及防範先進技術遭到不當外流之目標。

阿爾卡特朗訊上訴要求微軟支付15億美元的損害賠償

  對於微軟的Windows Media player侵害MP3科技的兩項專利,阿爾卡特朗訊公司7月7日向美國巡迴上訴法院提起訴訟,要求回復對微軟的專利侵權懲罰。     聖地牙哥陪審團在去年2月裁定微軟應就侵害兩項專利權支付15億美元賠償金。微軟爭執這項裁定沒有任何法律或事實上的依據,對此,美國地方法院法官Brewster同意微軟的主張,認為兩項專利侵權的標的中,微軟並未侵害其中一項,而另一項專利,微軟擁有德國Fraunhofer公司的授權,因此法官判定陪審團的裁定並無充足的證據支持,微軟無須支付15億美元的損害賠償。     阿爾卡特朗訊公司宣稱MP3的專利在1989年由AT&T的研發部門貝爾實驗室與Fraunhofer公司共同研發,但朗訊科技在1996年脫離AT&T成為一家獨立的公司,並保留貝爾實驗室的多項專利資產。2006年阿爾卡特與朗訊合併為阿爾卡特朗訊公司,所以該項專利係屬阿爾卡特朗訊公司所有。     微軟發言人表示,Brewster法官的判決是正確的。其中一項專利是微軟向Fraunhofer支付一千六百萬美元授權金而獲得的授權。     阿爾卡特朗訊和微軟對於這場專利爭訟都十分堅持自己的立場,目前尚未有任何跡象顯示未來雙方有和解的可能,看來這場專利戰爭還會持續很久。

TOP