英國資訊專員辦公室對連鎖藥局違反GDPR存放敏感個資作成裁罰首例

　　美國最高法院日前針對Brown v. EMA & ESA（即之前的Schwartzenegger v. EMA）一案作出決定，確認加州政府於2005年制定的一項與禁止販賣暴力電玩（violent video games）有關的法律，係違反聯邦憲法第一修正案而無效。 　　該加州法律係在阿諾史瓦辛格（Arnold Alois Schwarzenegger）擔任加州州長時通過。根據該法規定，禁止販售或出租暴力電玩給未滿18歲的未成年人，且要求暴力電玩應在包裝盒上加註除現行ESRB分級標誌以外的特別標誌，故有侵害憲法第一修正案所保障的言論自由之虞。本案第一審、第二審法院均認定加州「禁止暴力電玩」法案係屬違憲。 　　而最高法院日前於6月27日以7比2的票數判決，肯定下級審的見解。最高法院認為，電玩（video games）係透過角色、對話、情節和音樂等媒體，傳達其所欲表達的概念，就如同其他呈現言論的方式（如書本、戲劇、電影），皆應受到憲法言論表達自由原則之保護。 　　因此，對同樣受到憲法保障的遊戲內容表達，只有在有重大（值得保護）的公益須維護時，才能對其加以限制；同時，限制手段亦須通過最嚴格的審查標準（stringent strict scrutiny test）。最高法院認為，本案中加州政府並無法證明有重大（值得保護）的公益存在，且以法律禁止販賣的手段也無法通過審查標準。 　　如同美國娛樂軟體協會（ESA）CEO Michael D. Gallagher所說，政府不應採取立法禁止的方式，限制遊戲內容的表達自由；反之，美國電玩產業一直以來都遵守一套自願性的分級制度（Entertainment Software Rating Board rating system），藉以提供消費者有關遊戲內容的資訊。這套分級制度已足以協助家長從包裝盒上辨認出遊戲內容，確保未成年人不接觸不適宜的遊戲。 　　判決出爐後，產業界紛紛表示這是對遊戲產業的一大勝利。本案也證明，即使面臨日新月異科技發展的挑戰，憲法所保障的言論自由表達原則，同樣適用在新興科技的表現媒介。

　　歐盟執委會（European Commission）於2022年9月28日通過《人工智慧責任指令》（AI Liability Directive）之立法提案，以補充2021年4月通過之《人工智慧法》草案（Artificial Intelligence Act）。鑑於人工智慧產品之不透明性、複雜性且具自主行為等多項特徵，受損害者往往難以舉證並獲得因人工智慧所造成之損害賠償，《人工智慧責任指令》立法提案即為促使因人工智慧而受有損害者，得以更容易獲得賠償，並減輕受損害者請求損害賠償之舉證責任。 　　《人工智慧責任指令》透過引入兩個主要方式：（一）可推翻之推定（rebuttable presumptions）：人工智慧責任指令透過「因果關係推定（presumption of causality）」來減輕受損害者之舉證責任（burden of proof）。受損害者（不論是個人、企業或組織）若能證明人工智慧系統因過失或不遵守法規要求之義務，致其受有損害（包括基本權利在內之生命、健康、財產或隱私等），並且該損害與人工智慧系統之表現具有因果關係，法院即可推定該過失或不遵守義務之行為造成受損害者之損害。相對的，人工智慧之供應商或開發商等也可提供相關證據證明其過失不可能造成損害，或該損害係由其他原因所致，以推翻該損害之推定。（二）證據揭露機制（disclosure of evidence mechanism）：若受害者之損害涉及高風險人工智慧時，得要求自該供應商或開發商等處獲取證據之權利。受害者透過證據揭露機制能夠較容易地尋求法律賠償，並得以找出究責的對象。 　　歐盟執委會認為以安全為導向的《人工智慧法》，為人工智慧訂定橫向規則，旨在降低風險和防止損害，但仍需要《人工智慧責任指令》之責任規定，以確保損害風險出現時，相關賠償得以被實現。但歐盟執委會仍選擇了較小的干預手段，《人工智慧責任指令》針對過失之責任制度進行改革，並未採取舉證責任倒置（a reversal of the burden of proof）之作法，而是透過「可推翻之推定」，一方面減輕受損害者之舉證責任，使受損害者得對影響人工智慧系統並產生過失或侵害行為之人提出損害賠償；另一方面賦予人工智慧之供應商或開發商等有機會推翻前揭造成損害之推定，以避免人工智慧系統之供應商或開發商面臨更高的責任風險，可能阻礙人工智慧產品和服務創新。

　　德國聯邦經濟暨能源部（Bundesministerium für Wirtshaft und Energie）、德國聯邦工業聯盟（Bundesverband der Deutschen Industrie）、德國工業與商務部（Deutsche Industrie- und Handelskammertag）及德國工藝中心（Zentralverband des Deutschen Handwerks）針對共同之目標擬定中型企業發展政策。該規劃於2015年7月23日柏林提出。該規劃重點為以下五個方針： 1. 企業精神培育（Gründergeist）： 自1995至2014年德國新創企業的成長銳減30％。為要克服此問題，應讓德國學童在學校時就有「創業家」此一職涯選項。年輕的新創企業需要持續提升與企業合作與互動，並給予創新之顧問補助，像是新創顧問諮詢上的服務（該計畫名稱為Gründer Coaching Deutschland）。針對目前已經成立之中小型企業，相關補助及服務將自2016年會提出。 2. 數位化進程（Digitalisierung）： 為提升中型企業的科學技術轉移，透過該計畫預計將在今年全德國新設立至5座技轉中心（Technologietransfer）。透過該中心，各個企業及工藝業者可得取有關產業面現狀發展、新興科技及商業模式的最新訊息，為讓其裝備成具數位化能力的業者。 3. 融資（Finanzierung）： 透過歐盟投資及歐洲復甦基金（ERP/EIF）新興政策之發佈，將注入50億歐元用於輔助快速成長、資本集中之企業，以3至4百萬歐元的幅度做補助。此透過與歐盟投資銀行共同聚集的資金，將於2015年提供給企業申請。此次融資政策係歐盟投資及歐洲復甦基金從10億提升至17億歐元。 4. 勞工支配（Fachkräfte）： 德國勞工的質量與優勢將透過「聯盟教育培訓計畫2015-2018（Allianz für Aus- und Weiterbildung 2015-2016）」做提升。每位年輕學子在就學期間，就應透過學校的輔助認清其就業路線，以助未來專業領域培訓及發展。「輔助中小型企業得取切合相關職業培訓及外來勞動力引入」補助計畫導入，目的亦係為讓德國勞動力更具優勢及競爭力。 5. 行政成本降低（Bürokratieabbau）： 透過減免官僚程序法（Bürokratieentlastungsgesetz）的導入，將針對未來企業會計、紀錄、統計數據公開及回報的要求進行修改。此一法的導入將可讓德國中型企業7.44億歐元行政成本的減免。為了讓新創企業能夠更容易的開始營運，政府部門亦將更進一步的與業者接觸互動並連結，輔助新創企業中遇到創業程序上的服務及指導。透過相關行政程序的電子化管理，將可讓德國及至歐盟透過該新的管理標準省去過多的行政成本，並優化創業流程。

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。