德國「真實實驗室」

　　歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則（GDPR）第22條規定發布「自動化個人決策和分析指引」（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，2018年2月6日進一步修正，下稱指引），處理對個人資料自動化決策（automated decision-making）和個人檔案剖析（Profiling）的建立。 　　指引分為五個部分與最佳實踐建議，旨在幫助資料控制者（controller）合乎GDPR對個人資料自動化決策和分析的要求，內容包括下幾點：1.定義自動化決策和分析，以及GDPR對這些概念的處理方法；2.對GDPR第22條中關於自動化決策的具體規定；3.對自動決策和分析的一般規定；4.兒童和個人檔案剖析（Profiling）的建立；5.資料保護影響評估。 　　指引的主要內容包括： 　　個人檔案剖析（Profiling），意謂收集關於個人（或一群個人）的資料，並分析他們的特徵或行為模式，加以分類或分群，放入特定的類別或組中，和/或進行預測或評估（例如，他們執行任務的能力，興趣或可能的行為）。 　　禁止對個人資料完全自動化決策，包括有法律上法或相類重大影響的檔案剖析，但規則也有例外。應有措施保障資料主體的權利，自由和合法利益。 　　GDPR第22條第二項a之例外規定，（履行契約所必需的），自動化個人決策時，應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性，同時考慮是否可以採取侵害隱私較少之方法。 　　工作小組澄清，關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時，控制者應以簡單的方法，告訴資料主體其背後的理由或依據的標準，而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。 　　對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料，其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如，在信用評等的情況下，應有權知道其資料處理的基礎，資料主體並能對其作出正確與否的決定，而不僅僅是關於決策本身的資料。 　　「法律效果」是指對某人的法律權利有影響，或者影響到個人法律關係或者其契約上權利。 　　工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定，指出僅在某些情況下才有其適用（例如，保護兒童的福利）。 　　在基於自動化處理（包括分析）以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下，進行資料保護影響評估並不局限於「單獨」自動化處理/決定。

　　在世界各國，無論是公務機關或非公務機關，均無可避免地大量蒐集個人資料，這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此，加拿大隱私委員會辦公室（Office of the Privacy Commissioner of Canada,簡稱OPC）發布關於「個人資料保存與處理指引文件：原則與良好實作」（Personal Information Retention and Disposal：Principles and Best Practices），以協助聯邦機構與私人機構對組織內部保有之個人資料，做好妥善保存與處理。 　　OPC建議組織應在內部制定相關管理政策與程序，並於指引文件中提出11項參考要點，其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性？多久審查一次；2.對於保有之個人資料及保存目的是否進行清查與盤點？多久確認一次？3.個人資料儲存的形式與地點為何？是否有備份？4.法律是否有規定最低保存期限？5.組織如何處理個人資料與相關備份檔案？6.對於儲存個人資料之裝置或設備，是否採行適當地安全維護措施？7.個人資料保管與處理相關政策的核決人為誰？8.對於利用資料生命週期追蹤資料，是否存在適當管制程序？9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定？；是否有制定文件銷毀之安全措施？10.資料等候處理期間是否受到安全妥善之保管？11.對於使用資料之第三方，是否有透過合約或其他機制進行有效監督管控措施？是否制定定期查核機制？等，期以協助組織掌握政策與程序制定要領。

　　為重塑美國先進製造技術領導地位，發展創新研發與就業，美國總統歐巴馬陸續啟動先進製造國家戰略計畫、先進製造夥伴計畫（Advanced Manufacturing Partnership, AMP）與國家製造創新網絡（National Network of Manufacturing Innovation, NNMI）等框架計畫，並於2014年10月由美國總統執行辦公室和科技顧問委員會發布「先進製造夥伴2.0」（Advanced Manufacturing Partnership 2.0, AMP2.0）。 　　其中新版的先進製造夥伴計畫，除續行原先之計畫目標，例如：對於「研發技術政策形成」、「區域創新機構」與「全國製造創新網絡」等要項外，「先進製造夥伴2.0」框架強調「製造業資源如何有效匯集」，另透過「組織角度設計」、「法制環境建構」與「商業化運用促進」等面向提出具體執行建議。

歐洲區塊鏈夥伴關係（European Blockchain Partnership, EBP）的成員於2023年6月正式向歐盟執委會（European Commission, EC）申請成立區塊鏈的「歐洲數位基礎設施聯盟」（European Digital Infrastructure Consortium, EDIC），若審核通過，未來歐盟將有一個正式的機構負責推動區塊鏈的發展與應用。 歐盟執委會於2023年1月發布了「2030年數位十年政策計畫」（Digital Decade Policy Programme 2030, DDPP），為促進歐盟數位轉型的大規模部署及能力建構，達到DDPP所設定的具體目標，執委會提出跨（多）國專案（Multi-Country Projects, MCPs）的概念，期待整合歐盟、各成員國、私部門的資源，以實現單一成員國無法獨立部署的數位化基礎設施。 執委會參考2009年開始陸續成立的「歐洲研究基礎設施聯盟」（European Research Infrastructure Consortium, ERIC），提出了「歐洲數位基礎設施聯盟」（EDIC）的規劃。EDIC並非由歐盟的資助計畫支持，而是由成員國申請（至少要包含3個成員國）成立以執行MCPs，EDIC具有法人格，並有獨立的財務來源；此外，EDIC成立後開放私部門參加。 2023年3月執委會發布的「數位歐洲2023~2024年工作計畫」（Digital Europe Work Programme 2023-2024）中，即將「區塊鏈」列為MCPs的重要發展項目之一。2023年6月15日於瑞典舉辦的歐盟數位大會（Digital Assembly 2023）上，執委會表示EBP及歐洲區塊鏈服務基礎設施（European Blockchain Services Infrastructure, EBSI）的相關成員國已遞交EDIC的申請。 斯洛維尼亞共和國（Republic of Slovenia）的區塊鏈小組負責人Nena Dokuzov是成立聯盟的主要推動者之一，其受訪時表示，EBSI從2018年以來，主要是由執委會以專案方式支持，未來聯盟成立以後，將能集結更充足的資源，強化歐洲區塊鏈的治理和穩定性，進一步地擴大推動歐洲區塊鏈的公共應用服務。我國「司法聯盟鏈」於2022年成立，為我國第一個跨部會、大規模的區塊鏈應用案例，並制定了跨組織協作標準規範（簡稱b-JADE），未來可持續觀測歐盟區塊鏈聯盟的發展，作為我國的參照。 本文同步刊登於TIPS網站（https://www.tips.org.tw）