法國國民議會通過反仇恨言論立法提案

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

　　澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme)，該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。 　　根據該計畫，受APPs約束的機構於發生個資洩露事件時，必須通知當事人以及可能會造成的相關損害，另外也必須通知澳洲私隱辦公室（Office of the Australian Information Commissioner, OAIC）相關資訊。 　　NBD計畫主要內容如下: 　　一 、規範對象: 包括澳洲政府機構，年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號（TFN）受領人。 若數機構共享個人資料，則該告知義務由各機構自行分配責任。 關於跨境傳輸，根據APPs原則，於澳洲境外之機構必須以契約明定受澳洲隱私法規範，原則上若因境外機構有洩漏之虞，澳洲機構也必須負起責任。 　　二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。 　　三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。 　　四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。 　　五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動，避免再度造成損害。 　　惟NBD 計畫對於個人資料的安全性沒有新的要求，主要是對APPs的補充，針對持有個人資料的機構採取合理措施，保護個人資料免遭濫用、干擾或損失， OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。

　　墨西哥的聯邦資料保護法在二０一０年四月經墨西哥國會通過後，已於同年七月六日生效。這個新法旨在保護個人的隱私權並強化個人對自身資訊的掌控。與我國新近通過的個人資料保護法相同，墨西哥的這個新法所規範的範圍也包括了私部門對個人資料的蒐集、處理與利用。 　　在新法通過之後，原本的聯邦公共資訊近用機構（Federal Institute for Access to Public Information），亦擴張執掌並更名為聯邦公共資料近用及資料保護機構（Federal Institute of Access to Information and Data Protection）。在新制下，該機構將在原有負責事務外，另肩負起監督私部門就個人資料保護的相關事務。 　　此外，該法設計了一個雙重的監督機制：當資料的蒐集、處理或利用人，也就是所謂的資料控制者（Data Controller）出現可能違反聯邦資料保護法的狀況，將先由各相關部門的主管機關，例如主管經濟事務的機關或主管交通事務的機關來介入處理，而非由聯邦公共資料近用及資料保護機構立刻介入。

　　歐盟法院(Court of Justice of the European Union, CJEU)於2018年11月13日針對食品味道是否受著作權保護做出判決，其起因於荷商Levola Hengelo BV (“Levola”)認為同屬荷商之Smilde Foods BV (“Smilde”)所生產與銷售的起司“Witte Wievenkaas”，與Levola的起司產品“Heksenkaas”味道相同，因而控告Smilde侵害其“Heksenkaas”起司味道的著作權。 　　本案Levola於荷蘭地方法院中主張：食品味道著作權的定義，是指食用食品所產生之味覺整體印象，包括食品於嘴巴的口感，且該食品味道是製造者基於自身知識所創造。Levola並提出2006年6月16日荷蘭最高法院於原則上認定香水味道具有著作權的判決來支持其論點。 　　然而歐盟法院於本判決中指出，如果食品味道要受到著作權保護，那就必須符合「協調資訊社會下之著作權及相關權利指令」(Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society)(下稱2001/29/EC指令)對於著作(works)的定義，意即該著作應滿足原創性的要求，與著作能藉由精準並客觀的表達方式來識別。 　　係以，就本案所爭執之起司味道是否具有著作權，歐盟法院認為：因起司味道取決於消費者的味覺，其屬主觀且可變的，此缺乏精確性與客觀性，故並非2001/29/EC指令所認定之著作而受著作權保護。 　　不過讓人關注的是，歐盟法院特別於本判決中提到：在目前科學發展狀況下，尚無法透過一些技術或手段準確並客觀的辨識食品的味道，並就該味道與其他同類產品做區隔，所以在整體綜合考量下，才排除食品味道受著作權的保護。 　　基此，如果在未來科技能準確並客觀區別各種食品味道的時候，歐盟法院是否會承認食品味道符合2001/29/EC指令對於著作的定義，而讓其受到保護，此或許值得期待。