Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者（Data Controller）責任

　　越南公共安全部（The Ministry of Public Security）於 2022 年 2 月 2 日發布了一份關於提供電子身分識別和認證的法令草案。該法令草案訂定之目的係為電子識別和認證服務的管理、提供與使用奠定其法律基礎。 　　隨著網路與電子交易日漸流行，尤其在COVID-19疫情期間，驗證與識別交易之人顯得格外重要。在越南，雖然在眾多的法律與規範下一般性地承認電子交易的有效性，但在實務上，僅有數位簽章所進行之交易才被越南當局廣泛接受且認定其有效性。然而，對於個人而言，註冊數位簽章可能複雜、成本高且耗時，故根據法令草案，越南公共安全部提議將電子身份作為個人在電子交易中識別身分的一種更簡單的方式。 　　以下為此次草案之主要重點： 一、根據法令草案，隨著安全性和可靠性的等級提升，電子身分被分為從一級到四級的四個不同級別。第一級為從註冊者獲取數位資訊；第二級除了符合第一級以外，同時直接或線上檢查註冊者提供的個人資訊與政府當局出具的文件副本是否相符；第三級除了符合第二級外，透過直接核對公民身分證、與公民身分證電子連接以及與國家人口數據庫連接藉此蒐集數位資訊；第四級除了符合第三級以外，註冊者即時於線上或是親自現身。 二、除非法律另有規定，服務提供商可以規定其服務所需的電子身分級別。當設置了級別並且客戶已經提供了相關的電子身分時，服務提供商不能要求客戶提供進一步的資訊。 三、雖然法令非具有強制性，但鼓勵公司使用電子身分來驗證電子交易中的用戶與客戶。 四、該法令草案規定提供電子身分識別和驗證服務的公司需取得相關執照之需求，且該法令草案還規範了公司獲取、交換有關電子身分識別和驗證資訊的平台。

　　經過兩年的研議溝通，由國際食品標準委員會（Codex Alimentarius Commission，CODEX）生技衍生食品小組（Task Force on Foods Derived from Biotechnology，TFFBT）所研擬的「重組DNA植物成分低量摻雜之重組DNA植物來源食品安全評估準則之附件草案」（Draft Annex to the Guideline for the Conduct of Food Safety Assessment of Foods Derived from Recombinant-DNA Plants on Low-Level Presence of Recombinant-DNA Plant Material，LLP草案），終於日前送交CODEX大會決議通過。 　　關於植物來源食品內基改物質低量呈現（Low-Level Presence）的問題之所以受到國際間高度關切，其背景因素，其實是來自於全球各地域對於基因改造食品之食品安全審查進度狀態不一之情況使然。以最明顯的美國和歐盟為例，因為，對於植物來源食品而言，其所使用的植物原料，例如穀物、豆類、油菜種子等，在種植、運送至成品途中，尤其是在採收過程中，無可避免地均有可能會混雜到某些鄰近的合法基改植物原料；而目前國際現況是，許多在美國已通過食品安全評估之基改食品植物原料，在歐盟卻遲未獲得許可，而那些意外混雜了在美國為合法基改植物原料的食品，出口至尚未核准那些經混雜基改原料食品之國家時，則會因此被拒絕進口，而形成貿易上阻礙。 　　針對此問題，自2006年起，TFFBT特別召集成立一個工作小組，由美國出任小組主席，並與德國及泰國擔任共同主席，負責研擬LLP草案，以提供一套較簡易評估程序，專門針對這些混雜了低量的在出口國家已經合法、但在進口國家尚未通過食品安全檢驗之重組DNA植物成分食品之情形，提俱一套安全評估方法供進口國家政府參考，藉此，一方面確保這些摻雜低量重組DNA食品之安全性，另方面也不致令進口者因其產品含有低度摻雜而銷耗掉太過的貿易利益。 　　LLP草案對於摻雜低量重組DNA成份之進口國家而言，其較重要具實質意義的部份，係在於資料庫之建立、共享資訊之快速使用（rapid access）等機制的導入。研議期間，工作小組即表示會與相關國際組織聯繫，搭配建立適當之資訊資料庫。而負責籌設該資料庫的國際糧農組織（FAO）則表示，其除將運用其已建立的「國際食品安全及動植物健康入口網」（International Portal on Food Safety, Animal and Plant Health，IPFSAPH）外，並計劃與經濟合作發展組織（OECD）進行合作，引用「OECD生物追蹤產品資料庫」（OECD BioTrack Database）內依CODEX「重組DNA植物來源食品安全評估準則」（Guideline for the Conduct of Foods Safety Assessment of Foods Derived from Recombinant-DNA Plants (CODEX Plant Guideline)，CODEX植物準則）所蒐羅之資訊，彙集各類相關資訊為一整合網站，並開放給公眾使用。

　　歐盟「Enforcement-Ricgtlinie 2004/48/EG指令」於德國國內法，而採取所謂「條款立法Artikelgesetz」之綜合立法方式＊，包括「專利法」、「商標法」、「實用新型專利法」、「半導體保護法」、「外觀設計專利法」、「品種保護法」、「非訟事件費用法」以及「著作權法」等相關條文之修正。 　　其中涉及「著作權法」相關重要修正條文包括「他人資訊提供請求權」，主要是賦予著作權人在主張權利侵害時，得向ISP業者要求提供可以辨明侵權者之身分資料（§101 UrhG），惟須符合特定條件，例如，侵權者須有營業行為（in geweblichem Ausmaß）。然而，就何謂「營業行為」在立法過程中爭議迭起，最後達成協議，決定認定「營業行為」之判斷標準包括：上傳、下載或公開傳輸檔案的數量、電影影片是否為全片供下載、錄音專輯是否整張專輯均提供下載等。簡言之，判斷標準將交由司法單位自被下載檔案的「量」與「質」加以衡量。 　　不同於歐盟Enforcement-Ricgtlinie指令，新修正之著作權法規定在侵害利益輕微案件中，權利人得向侵權人主張存證信函相關費用之上限為100歐元（§97a UrhG），此規定目的在預防權利人相關費用的主張權利遭致濫用。惟於立法過程中遭權利人及律師代表極力反對，認為如權利人堅持捍衛其權利，則超過100歐元之費用部分需由權利人自行吸收，顯不公平。 　　在著作權保障意識高漲的現代，有關著作權侵害判斷標準以及賠償方式爭議不斷，德國著作權法亦在相關壓力下持續修正著作權法相關條文，擴大對著作權人之保護。這一波修正條文於8月1日正式施行後成效如何，值得後續觀察。 ＊ 主要是將原本散落在不同法律規範中之條文，以組成「條款」的方式將修正的條文。立法過程完成後，該法的 「架構」是由各個「條款」所組成，而每個條款是代表一個（遭到修正之）法律條文。

G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢 資訊工業策進會科技法律研究所 2025年03月10日 七大工業國組織（Group of Seven，下稱G7）於2024年10月10日至11日在義大利羅馬舉辦第四屆資料保護與隱私機構圓桌會議（Data Protection and Privacy Authorities Roundtable，下稱圓桌會議），並發布「G7 DPAs公報：資料時代的隱私」（G7 DPAs’ Communiqué: Privacy in the age of data，下稱公報）[1]，特別聚焦於人工智慧（AI）技術對隱私與資料保護的影響。 壹、緣起 由美國、德國、英國、法國、義大利、加拿大與日本的隱私主管機關（Data Protection and Privacy Authorities, DPAs）組成本次圓桌會議，針對數位社會中資料保護與隱私相關議題進行討論，涵蓋「基於信任的資料自由流通」（Data Free Flow with Trust, DFFT）、新興技術（Emerging technologies）、跨境執法合作（Enforcement cooperation）等三大議題。 本次公報重申，在資通訊技術主導的社會發展背景下，應以高標準來審視資料隱私，從而保障個人權益。而DPAs作為AI治理領域的關鍵角色，應確保AI技術的開發和應用既有效且負責任，同時在促進大眾對於涉及隱私與資料保護的AI技術認識與理解方面發揮重要作用[2]。此外，公報亦強調DPAs與歐盟理事會（Council of Europe, CoE）、經濟合作暨發展組織（Organisation for Economic Co-operation and Development, OECD）、亞太隱私機構（Asia Pacific Privacy Authorities, APPA）、全球隱私執行網路（Global Privacy Enforcement Network, GPEN）及全球隱私大會（Global Privacy Assembly, GPA）等國際論壇合作的重要性，並期望在推動資料保護與建立可信賴的AI技術方面作出貢獻[3]。 貳、重點說明 基於上述公報意旨，本次圓桌會議上通過《關於促進可信賴AI的資料保護機構角色的聲明》（Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI）[4]、《關於AI與兒童的聲明》（Statement on AI and Children）[5]、《從跨國角度觀察降低可識別性：G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》（Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions）[6]，分別說明重點如下： 一、《關於促進可信賴AI的資料保護機構角色的聲明》 繼2023年第三屆圓桌會議通過《關於生成式AI聲明》（Statement on Generative AI）[7]後，本次圓桌會議再次通過《關於促進可信賴AI的資料保護機構角色的聲明》，旨在確立管理AI技術對資料保護與隱私風險的基本原則。G7 DPAs強調許多AI技術依賴個人資料的運用，這可能引發對個人偏見及歧視、不公平等問題。此外，本聲明中還表達了擔憂對這些問題可能透過深度偽造（Deepfake）技術及假訊息擴散，進一步對社會造成更廣泛的不良影響[8]。 基於上述考量，本聲明提出以下原則，納入G7 DPAs組織管理的核心方針[9]： 1. 以人為本的方法：G7 DPAs應透過資料保護來維護個人權利與自由，並在AI技術中提供以人權為核心的觀點。 2. 現有原則的適用：G7 DPAs應審視公平性、問責性、透明性和安全性等AI治理的核心原則，並確保其適用於AI相關框架。 3. AI核心要素的監督：G7 DPAs應從專業視角出發，監督AI的開發與運作，確保其符合負責任的標準，並有效保護個人資料。 4. 問題根源的因應：G7 DPAs應在AI的開發階段（上游）和應用階段（下游）找出問題，並在問題擴大影響前採取適當措施加以解決。 5. 善用經驗：G7 DPAs應充分利用其在資料領域的豐富經驗，謹慎且有效地應對AI相關挑戰。 二、《關於AI與兒童的聲明》 鑒於AI技術發展可能對於兒童和青少年產生重大影響，G7 DPAs發布本聲明表示，由於兒童和青少年的發展階段及其對於數位隱私的瞭解、生活經驗有限，DPAs應密切監控AI對兒童和青少年的資料保護、隱私權及自由可能造成的影響程度，並透過執法、制定適合年齡的設計實務守則，以及發佈面向兒童和青少年隱私權保護實務指南，以避免AI技術導致潛在侵害兒童和青少年隱私的行為[10]。 本聲明進一步闡述，當前及潛在侵害的風險包含[11]： 1. 基於AI的決策（AI-based decision making）：因AI運用透明度不足，可能使兒童及其照顧者無法獲得充足資訊，以瞭解其可能造成重大影響的決策。 2. 操縱與欺騙（Manipulation and deception）：AI工具可能具有操縱性、欺騙性或能夠危害使用者情緒狀態，促使個人採取可能危害自身利益的行動。例如導入AI的玩具可能使兒童難以分辨或質疑。 3. AI模型的訓練（Training of AI models）：蒐集和使用兒童個人資料來訓練AI模型，包括從公開來源爬取或透過連線裝置擷取資料，可能對兒童的隱私權造成嚴重侵害。 三、《從跨國角度觀察降低可識別性：G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》 考慮到個人資料匿名化、假名化及去識別化能促進資料的創新利用，有助於最大限度地減少隱私風險，本文件旨在整合G7成員國對於匿名化、假名化與去識別化的一致理解，針對必須降低可識別性的程度、資訊可用於識別個人的程度、減少可識別性的規定流程及技術、所產生的資訊是否被視為個人資料等要件進行整理，總結如下： 1. 去識別化（De-identification）：加拿大擬議《消費者隱私保護法》（Consumer Privacy Protection Act, CPPA）、英國《2018年資料保護法》（Data Protection Act 2018, DPA）及美國《健康保險可攜性及責任法》（Health Insurance Portability and Accountability Act , HIPAA）均有去識別化相關規範。關於降低可識別性的程度，加拿大CPPA、英國DPA規定去識別化資料必須達到無法直接識別特定個人的程度；美國HIPAA則規定去識別化資料須達到無法直接或間接識別特定個人的程度。再者，關於資料去識別化的定性，加拿大CPPA、英國DPA認定去識別化資料仍被視為個人資料，然而美國HIPAA則認定去識別化資料不屬於個人資料範疇。由此可見，各國對去識別化規定仍存在顯著差異[12]。 2. 假名化（Pseudonymization）：歐盟《一般資料保護規則》（General Data Protection Regulation, GDPR）及英國《一般資料保護規則》（UK GDPR）、日本《個人資料保護法》（個人情報の保護に関する法律）均有假名化相關規範。關於降低可識別性的程度，均要求假名化資料在不使用額外資訊的情況下，須達到無法直接識別特定個人的程度，但額外資訊應與假名化資料分開存放，並採取相應技術與組織措施，以確保無法重新識別特定個人，因此假名化資料仍被視為個人資料。而關於假名化程序，日本個資法明定應刪除或替換個人資料中可識別描述或符號，歐盟及英國GDPR雖未明定具體程序，但通常被認為採用類似程序[13]。 3. 匿名化（Anonymization）：歐盟及英國GDPR、日本個資法及加拿大CPPA均有匿名化相關規範。關於降低可識別性的程度，均要求匿名化資料無法直接或間接識別特定個人，惟可識別性的門檻存在些微差異，如歐盟及英國GDPR要求考慮控管者或其他人「合理可能用於」識別個人的所有方式；日本個資法則規定匿名化資料之處理過程必須符合法規標準且不可逆轉。再者，上述法規均將匿名化資料視為非屬於個人資料，但仍禁止用於重新識別特定個人[14]。 參、事件評析 本次圓桌會議上發布《關於促進可信賴AI的資料保護機構角色的聲明》、《關於AI與兒童的聲明》，彰顯G7 DPAs在推動AI治理原則方面的企圖，強調在AI技術蓬勃發展的背景下，隱私保護與兒童權益應成為優先關注的議題。與此同時，我國在2024年7月15日預告《人工智慧基本法》草案，展現對AI治理的高度重視，融合美國鼓勵創新、歐盟保障人權的思維，針對AI技術的應用提出永續發展、人類自主、隱私保護、資訊安全、透明可解釋、公平不歧視、問責等七項原則，為國內AI產業與應用發展奠定穩固基礎。 此外，本次圓桌會議所發布《從跨國角度觀察降低可識別性：G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》，揭示各國在降低可識別性相關用語定義及其在資料保護與隱私框架中的定位存在差異。隨著降低可識別性的方法與技術不斷創新，這一領域的監管挑戰日益突顯，也為跨境資料流動越發頻繁的國際環境提供了深化協調合作的契機。在全球日益關注資料保護與隱私的趨勢下，我國個人資料保護委員會籌備處於2024年12月20日公告《個人資料保護法》修正草案，要求民間業者設置個人資料保護長及稽核人員、強化事故通報義務，並針對高風險行業優先實施行政檢查等規定，以提升我國在數位時代的個資保護水準。 最後，本次圓桌會議尚訂定《2024/2025年行動計畫》（G7 Data Protection and Privacy Authorities’ Action Plan）[15]，圍繞DFFT、新興技術與跨境執法合作三大議題，並持續推動相關工作。然而，該行動計畫更接近於一項「基於共識的宣言」，主要呼籲各國及相關機構持續努力，而非設定具有強制力或明確期限的成果目標。G7 DPAs如何應對數位社會中的資料隱私挑戰，並建立更順暢且可信的國際資料流通機制，將成為未來關注的焦點。在全球共同面臨AI快速發展所帶來的機遇與挑戰之際，我國更應持續關注國際趨勢，結合自身需求制訂相關法規以完善相關法制，並積極推動國際合作以確保國內產業發展銜接國際標準。 [1]Office of the Privacy Commissioner of Canada [OPC], G7 DPAs’ Communiqué: Privacy in the age of data (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/communique-g7_241011/ (last visited Feb 3, 2025). [2]Id. at para. 5. [3]Id. at para. 7-9. [4]Office of the Privacy Commissioner of Canada [OPC], Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_ai/ (last visited Feb 3, 2025). [5]Office of the Privacy Commissioner of Canada [OPC], Statement on AI and Children (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_child-ai/ (last visited Feb 3, 2025). [6]Office of the Privacy Commissioner of Canada [OPC], Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/de-id_20241011/ (last visited Feb 3, 2025). [7]Office of the Privacy Commissioner of Canada [OPC], Statement on Generative AI (2023), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2023/s-d_20230621_g7/ (last visited Feb 3, 2025). [8]Supra note 4, at para. 11. [9]Supra note 4, at para. 18. [10]Supra note 5, at para. 5-6. [11]Supra note 5, at para. 7. [12]Supra note 6, at para. 11-15. [13]Supra note 6, at para. 16-19. [14]Supra note 6, at para. 20-25. [15]Office of the Privacy Commissioner of Canada [OPC], G7 Data Protection and Privacy Authorities’ Action Plan (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/ap-g7_241011/ (last visited Feb 3, 2025).