大阪框架(Osaka Track)
2019年6月28日於日本大阪舉行的G20高峰會上,大阪框架(大阪トラック、Osaka Track)再次躍上國際檯面,日本首相安倍晉三在G20高峰會的數位經濟議程當中,倡議建立大阪框架作為資料跨境流通之標準。安倍強調數位化對促進各國經濟發展與創新意義重大,而在數位時代下資料作為重要的成長動力來源,為了能最大化資料運用的可能性與發展潛力,建立一套國際通用的資料流通機制顯然已勢在必行。
「大阪框架」概念的首次提出,源自2019年1月23日安倍首相於瑞士達沃斯所舉辦的世界經濟論壇(World Economic Forum)中所發表的演講,強調資料將是21世紀經濟發展的關鍵資源,透過建立一套國際通用的資料自由流通機制,將有助於確保在數位時代下各種新興科技的創新與發展,不會受到各國管制措施及資料在地化(data localization)政策所阻礙。
「大阪框架」的核心為建立「可資信任的資料自由流通機制」(Data Free Flow with Trust,簡稱DFFT),透過建構國際所共同信任的資料跨境流通機制,將有助於推動包含電子商務在內等各式資料之流通與利用,進而促進數位創新;安倍宣示2019年大阪G20高峰會為大阪框架的起始點,並強調基於此前提出之WTO電子商務共同聲明,期許能透過WTO各會員國的合作,實現建立國際通用的資料跨境流通機制之目標。
本文為「經濟部產業技術司科技專案成果」
范晏儒
專案經理 編譯整理
地理空間資料(Geospatial Data),資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=57&tp=5&i=6&d=8202&lv2=6 (最後瀏覽日:2019/06/03)。
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2023年12月對《兒童線上隱私保護規則》(Children's Online Privacy Protection Rule, COPPA Rule)提出修法草案,並於2024年1月11日公告60日供公眾意見徵詢。 FTC依據兒童線上隱私保護法(Children's Online Privacy Protection Act, COPPA)第6502節授權,訂定COPPA Rule,並於2000年通過生效,要求網站或提供線上服務的業者在蒐集、使用或揭露13歲以下兒童的個人資訊之前必須通知其父母,並獲得其同意。本次提議除了限制兒童個人資訊的蒐集,亦限制業者保留此些資訊的期間,並要求他們妥善保存資料,相關規定如下: (1)置入固定式廣告時需經認證:COPPA所涵蓋的網站和線上服務業者現在需要獲得兒童父母的同意並取得家長的授權才能向第三方(包括廣告商)揭露資訊,除非揭露資訊是線上服務所不可或缺之部分。且因此獲悉的兒童永久身分識別碼(persistent identifier)也僅止於網站內部利用而已,業者不能將其洩漏予廣告商以連結至特定個人來做使用。 (2)禁止以蒐集個資作為兒童參與條件:在蒐集兒童參與遊戲、提供獎勵或其他活動的個資時,必須在合理必要的範圍內,且不能用個資的蒐集作為兒童參與「活動」的條件,且對業者發送推播通知亦有限制,不得以鼓勵上網的方式,來蒐集兒童的個資。 (3)將科技運用於教育之隱私保護因應:FTC提議將目前教育運用科技之相關指南整理成規則,擬訂的規則將允許學校和學區授權教育軟硬體的供應商將科技運用於蒐集、使用和揭露學生的個資,但僅限使用於學校授權之目的,不得用於任何商業用途。 (4)加強對安全港計畫的說明義務:COPPA原先有一項約款,內容是必須建立安全港計畫(Safe Harbor Program),允許行業團體或其他機構提交自我監督指南以供委員會核准,以執行委員會最終定案的防護措施,此次擬議的規則將提高安全港計畫的透明度和說明義務,包括要求每個計畫公開揭露其成員名單並向委員會報告附加資訊。 (5)其它如強化資訊安全的要求以及資料留存的限制:業者對於蒐集而來的資訊不能用於次要目的,且不能無限期的留存。 FTC此次對COPPA Rule進行修改,對兒童個人資訊的使用和揭露施加新的限制,除了將兒童隱私保護的責任從孩童父母轉移到供應商身上,更重要的是在確保數位服務對兒童來說是安全的,且亦可提升兒童使用數位服務的隱私保障。
義大利發布最新全國性AI法案,預計設立醫療AI用平臺,並強化權利保護與病患福利壹、義大利最新AI法案簡介 義大利於2025年9月17日通過《人工智慧規範與政府授權》立法法案(Disposizioni e delega al Governo in materia di intelligenza artificiale,下稱1146‑B法案),為該國首次針對AI全面立法,亦為歐盟成員國內AI專法先驅。義大利將歐盟《人工智慧法》(AI Act,下稱AIA)框架轉化為國內法,並設立獨立窗口與歐盟對接。為確保落地效率並兼顧國家安全與資料治理,本法採「雙主管機關制」,由隸屬於總理府(Presidenza del Consiglio dei Ministri)之數位局(Agenzia per l’Italia Digitale,AgID)及國家網路安全局(Agenzia per la Cybersicurezza Nazionale,ACN)共同執行。AgID 負責AI技術標準、互通性與公共行政實務執行;ACN則負責資安韌性、事故通報與高風險AI安全性。 目前該法案已由參議院(Senato della Repubblica)審議並表決通過,2025年9月25日已載於義大利《官方公報》(Gazzetta Ufficiale),再經過15天緩衝期後,預計於2025年10月10日正式生效。然截至2025年10月27日為止,未有官方宣布該法案正式生效之證明,故法案是否依該版本內容正式施行仍待確認。其中醫療為AIA顯示之高風險領域之一,亦涉及資料隱私與病患權益等敏感法益,可謂本法落地機制中具代表性之政策面向,故本文特以醫療AI應用為分析重點。 貳、設立醫療AI應用平臺,輔助專業醫護及強化醫療服務取得 1146‑B法案第10條規定,將由義大利衛生服務局(Agenzia nazionale per i servizi sanitari regionali,AGENAS)主導設立該國家醫療AI應用平臺。該平臺定位為全國級資料治理與AI導入審查機制工具,主要功能為對醫療專業人員提供照護病患與臨床實踐時無法律約束力之建議,並對病患提供接觸社區醫療中心AI服務之管道與機會。該平臺僅得依「資料最小化原則」(dati strettamente necessary)蒐集以上醫療服務所需之必要資料,經向衛生部(Ministero della salute)、資料保護局(Garante per la protezione dei dati personali)及CAN徵詢意見後,由 AGENAS 負責資料處理,並經地方常設協調會議同意後,得以公告方式制定符合歐盟《一般資料法規》(General Data Protection Regulation,GDPR)之風險控管與敏感健康資料處理細則。 在確保資料安全合規後,法案強調對醫療保健之服務可及性(accesso ai servizi)進行改善,病人能透過此平臺更便利地接觸到社區醫療中心所提供之各類AI健康醫療服務,如診斷輔助、數位健康檔案調閱等,亦符合AIA強調AI發展應確保社會公益等權利之宗旨。 參、醫療用AI之限制與目標 法案第7條第5項規定AI僅能作為醫療決策輔助工具提供無拘束力之建議,重申前述醫療平臺相關規定;AI亦不得根據歧視性標準選擇或限制病人獲取醫療服務。病人享有「知情權」(diritto di essere informato),即有權知悉診療過程中是否使用有使用AI、使用方式(如僅為輔助)及其限制。針對健康資料之隱私處理方面,如病歷、基因資料、診斷紀錄等,要求醫用AI系統須持續監測、定期驗證與更新,以降低錯誤風險,維護病人健康安全,亦明文強調醫療AI之使用應以改善身心障礙者生活為目標。 四、總結 1146-B法案在醫療 AI 治理上,透過雙主管機關制平衡歐盟對接、技術發展與風險控管,符合AIA要求並避免權責衝突。建立由 AGENAS 主導的醫療 AI 應用平臺,在相關部門意見下運作,確保資料處理與服務推動合規與安全。病人權利方面,強調知情權、健康資料隱私與地方醫療AI普及,符合資料最小化與 GDPR 規範,展現義大利在醫療 AI 上兼顧創新、透明與權益保障之立場,往後應持續關注AGENAS釋出之關於該平臺使用之相關細則。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
法國憲法委員會認定HADOPI法「三振條款」違憲延續本中心前幾期對於法國國會於今年5月所通過的「支持網路創作傳佈及保護法」(loi favorisant la diffusion et la protection de la création sur Internet,簡稱loi création et internet;又因該法中特別設立所謂的「網路著作散佈及權利保護高等署」(Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet,通常簡稱HADOPI)作為執行本法相關任務之獨立行政機關(autorité administrative indépendante),故本法又被稱為HADOPI法)中相關議題的報導,本次將簡要介紹法國憲法委員會(Conseil constitutionnel)於今年6月10日所作出(Décision n° 2009-580 DC du 10 juin 2009)對於該法所制定「三振條款」認定違憲之理由。 在進入憲法委員會此一決定前,須先說明HADOPI法的性質:依據本法第1條及第2條之指示,此一法律主要係修正及增補「法國智慧財產權法典」(Code de la propriété intellectuelle)之相關規定,特別是透過電子及網路傳輸之著作物(œuvres)的保護措施,並將原法典中「技術措施管理署」(l'Autorité de régulation des mesures techniques)更改為前述之「高等署」,並透過調整權限及組織內容之方式,賦予其「獨立行政機關」之地位─而特別值得注意的,則是此一獨立行政機關的9位委員中亦包括由中央行政法院(Conseil d'État)、法國最高法院(或稱「廢棄法院」;Cour de cassation )、審計法院(Cour des comptes)等指派之成員。而所謂的「三振條款」,即是本法第5條(亦為增補後之智慧財產權法典第L. 331-25〜331-27條、)中所規定之:如網路用戶於接獲兩次由HADOPI所寄發之「違反勸阻通知」(recommandation)後依然違反智慧財產權法典第L. 336-3條所賦予之義務(禁止透過網路傳送服務對於受著作權及其他相近權利保護之著作進行非法複製、再現等;最常見之形式即為非法下載)時,HADOPI即可在進行「對辯程序」(procédure contradictoire,包括事前通知、卷宗閱覽、書面陳述意見,以致若經當事人要求須進行有律師或輔佐人陪同之正式聽證程序)後,對其進行裁罰(sanctions),最長可處使用者全面中斷(suspension)一年的網路服務。 因此,在法國憲法委員會對於此一法案的審議中,其關注重點即落在對於HADOPI是否可做出此種對於網路服務使用者進行中斷服務的裁罰之上。而主要基於2項理由,憲法委員會認為此一裁罰違反憲法: 1.此一中斷服務之裁罰雖可視為係達成此一法律任務所必要之措施,但因其涉及限制人民之自由及權利,故其實具有刑罰(punition)之性質;從而依據權力分立原則,能夠享有判斷並做出此一裁罰決定之權限者,僅為法院,而非行政機關。 2.而就算強調此一裁罰係由包含司法部門成員的獨立行政機關所做成,其依然違反了憲法前言、1789年法國人權及公民權宣言中所指涉及保護的基本權利,其中包括宣言第9條的「無罪推定」,以及在本案中具備決定性之宣言第11條「思想及意見自由傳達」的權利:因為在現代民主社會發展中,使用傳播工具及網路服務已是實現此一自由所不可或缺者;從而政府中斷網路服務之裁罰行為本身,已損及人民接近使用網路服務的基本權利。 然而,儘管法國憲法委員會在其決定中否認了HADOPI法中「三振條款」的合憲性,但因除去此一部份違憲條文外,整體HADOPI法仍通過了本次的憲法考驗,且HADOPI此一機關本身之正當性亦藉此取得確定。從而,HADOPI於後續實際案例中將會如何解釋適用此一法律,顯然是日後必須持續關心的重要議題。