澳洲國家交通委員會發布管制政府近用C-ITS和自駕車資料政策文件，提出政府近用自駕車蒐集資料規範原則

歐盟執委會於2025年2月4日發布「關於禁止的人工智慧行為指引」（Commission Guidelines on Prohibited Artificial Intelligence Practices）（下稱「指引」）」，以因應歐盟《人工智慧法》（AI Act，下稱AIA）第5條關於「禁止的人工智慧行為」之規定。該規定自2月2日起正式實施，惟其內容僅臚列禁止行為而未深入闡釋其內涵，執委會特別制定本指引以避免產生歧義及混淆。 第5條明文禁止使用人工智慧系統進行有害行為，包括：利用潛意識技術或利用特定個人或群體之弱點進行有害操縱或欺騙行為、實施社會評分機制、進行個人犯罪風險預測、執行無特定目標之臉部影像蒐集、進行情緒識別分析、實施生物特徵分類、以及為執法目的而部署即時遠端生物特徵識別系統等。是以，指引就各禁止事項分別闡述其立法理由、禁止行為之具體內涵、構成要件、以及得以豁免適用之特定情形，並示例說明，具體詮釋條文規定。 此外，根據AIA規定，前述禁令僅適用於已在歐盟境內「投放市場」、「投入使用」或「使用」之人工智慧系統，惟對於「使用」一詞，並未予以明確定義。指引中特別闡明「使用」之定義，將其廣義解釋為涵蓋「系統投放市場或投入使用後，在其生命週期任何時刻的使用或部署。」 指引中亦指出，高風險AI系統的特定使用情境亦可能符合第5條的禁止要件，因而構成禁止行為，反之亦然。因此，AIA第5條宜與第6條關於高風險AI系統的規定交互參照應用。 AIA自通過後，如何進行條文內容解釋以及法律遵循義務成為各界持續討論之議題，本指引可提升AIA規範之明確性，有助於該法之落實。

　　隨著去年（ 93 ）「臺灣地區人民法人團體或其他機構擔任大陸地區法人團體或其他機構職務或為其成員許可管理辦法」的公佈，加上行政院十月已將「敏感科學技術保護法」列為立法院第 6 屆第 2 會期優先審議法案，若是完成立法程序後，將同步對敏感科學技術以及人才登陸進行嚴密管制。 　　這項管理措施雖在於避免大陸不正當的挖角行為、國家核心技術及人才外流等，但是截至目前為止，限制進出的高科技人才清單至今尚未公告；即便清單公告後，相信透過第三地進出等投機方式，政府在管理上應當會疲於奔命，增加執行困難。政府發展高科技經濟理應建立「吸引留下」的環境，而非以防堵心態限制人才登陸工作，如此只會加速人才的流失、國外人才或廠商來台工作或投資之意願降低，更遑論台灣永續發展的可能。

　　澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案（執法及其他措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ），並於11月28日正式通過，顯示澳洲政府對於近期多起大型個資事故的重視，以及民眾對於個資保護之公民意識逐漸成熟。 　　近期澳洲發生之兩起大規模個資事故，其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊，約有1,000萬人（約占澳洲人口40%）的個資遭到外洩，除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等；無獨有偶，於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故，被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料，因為此兩起大型個資事故的發生，促使澳洲政府不得不予以重視，在極短時間內通過新法修正。 　　此次修正案修改1988年《隱私法》（Privacy Act）、2010年《澳洲資訊委員法》（Australian Information Commissioner Act）和2005年《澳洲通訊及媒體管理局法》（Australian Communications and Media Authority Act 2005），修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。 　　一、加重裁罰之部分，依修正《隱私法》第13G條，當嚴重或反覆侵犯他人隱私事件發生時，若行為人為「非法人」（a person other than a body corporate，即我國法之自然人）時，其由行政機關課予當事人之罰金（civil penalty）上限提高到250萬澳幣（約新台幣5,200萬）；若行為人為「法人」（body corporate）時，罰金上限增加到5,000萬澳幣（約新台幣10億）或其所得利益價值的三倍（兩者取其高）。如果法院無法確定利益的數額，則取法人違規期間或事故發生後12個月內（擇其時間較長者）調整型營收（adjusted turnover*）的30%。 　　二、關於資訊委員執法權限強化部分，其擴大資訊委員與他公私部門間交換及查閱資訊之權限，資訊委員得向嫌疑人進行調查或要求交付相關證據，且賦予資訊委員得不待法院裁判，逕對妨害查辦者課以民事制裁，甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。 　　三、有關域外管轄權部分，原先僅適用於「未在澳洲設立登記，但有在澳洲境內蒐集個資且經營業務」之公司；現刪除「有在澳洲境內蒐集個資」之規定，故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資，若有在澳洲境內經營業務即受有域外效力之管轄，其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。 　　至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷，惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件，依我國《個人資料保護法》規定，個資事故發生時，若被害人不易或不能證明其實際損害額時，法院依侵害情節，以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件，原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額，相信有望遏止類似事故不斷發生。 　　*調整型營收（adjusted turnover）：指公司（及相關企業）在違規期間內營業額扣除應調整之稅額例外項目後，所有商品及服務價值的總和。

　　歐盟執委會以（EU）2021/914號執行決定（Implementing Decision）所發布的新版「向第三國傳輸個人資料標準契約條款（New Standard Contractual Clause for the transfer of personal data to third countries，下稱SCC）」已於9月27日起正式取代舊版條款。 　　新SCC發布於2021年6月27日，旨在滿足歐盟法院（the Court of Justice of the European Union, CJEU）以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分（substantially sufficient）」標準。該版SCC為因應不同情境之跨境資料傳輸，而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者（控制者與接收者）依循參採，包括： 規範模組一：從資料控制者（Data Controller）到資料控制者的資訊傳輸（Transfer from controller to controller, C2C） 規範模組二：從資料控制者到資料處理者（Data Processor）的資料傳輸（Transfer from controller to processor, C2P） 規範模組三：從資料處理者到資料處理者的資料傳輸（Transfer from processor to processor, P2P） 規範模組四：從資料處理者到資料控制者的資料傳輸（Transfer from processor to controller, P2C） 　　本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整：雖然舊版已於2021年9月27日廢止不再適用，原已適用舊版SCC之契約，至遲仍得實施至2022年12月27日止。（亦即新版SCC公佈後的18個月內）。 　　在此執行決定下，歐洲資料保護委員會 （European Data Protection Board）亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）」釐清GDPR「傳輸影響評估（Transmission Impact Assessment, TIA）之機制流程 。 　　隨著資通科技之快速崛起跨境個資傳輸已成為企業常態，而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別，其中全球航運和物流公司在全球範圍內傳輸個資，其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態，應儘速因應相關法制之發展，解決全球範圍內快速發展的隱私合規問題。