英國取法美國國防先進研發署研發補助機制，提出先進研究發明署法案

南韓個資保護委員會（Personal Information Protection Commission, PIPC）於2024年7月18日發布《人工智慧（AI）開發與服務處理公開個人資料指引》（인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서）（以下簡稱指引）。該指引針對AI開發與服務處理的公開個人資料（下稱個資）制定了新的處理標準，以確保這些資料在法律上合規，且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中，會使用大量從網路上收集的公開資料，這些公開資料可能包含地址、唯一識別資訊（unique identifiable information, UII）、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資，內容不限於個資主體自行公開的資料，還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多，在現實中很難在處理這些公開個資以進行AI訓練之前，取得每個個資主體的單獨同意及授權，同時，南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題，PIPC制定了該指引，確認了蒐集及利用公開個資的法律基礎，並為AI開發者和服務提供者提供適用的安全措施，進而最小化隱私問題及消除法律不確定性。此外，在指引的制定過程中，PIPC更參考歐盟、美國和其他主要國家的做法，期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分，第一部分：應用正當利益概念；第二部分：建議的安全措施及保障個資主體權利的方法；及第三部分：促進開發AI產品或服務的企業，在開發及使用AI技術時，注意可信任性。 針對第一部分，指引中指出，只有在符合個人資料保護法（Personal Information Protection Act, PIPA）的目的（第1條）、原則（第3條）及個資主體權利（第4條）規定範圍內，並滿足正當利益條款（第15條）的合法基礎下，才允許蒐集和使用公開個資，並且需滿足以下三個要求：1.目的正當性：確保資料處理者有正當的理由處理個資，例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性：確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估：確保資料處理者的正當利益明顯超越個資主體的權利，並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定，其中，技術防護措施包括：檢查訓練資料來源、預防個資洩露（例如刪除或去識別化）、安全存儲及管理個資等；管理和組織防護措施包括：制定蒐集和使用訓練資料的標準，進行隱私衝擊影響評估（PIA），運營AI隱私紅隊等；尊重個資主體權利規定包括：將公開資料蒐集情形及主要來源納入隱私政策，保障個資主體的權利。 最後，在第三部分中，指引建議AI企業組建專門的AI隱私團隊，並培養隱私長（Chief Privacy Officers, CPOs）來評估指引中的要求。此外，指引亦呼籲企業定期監控技術重大變化及資料外洩風險，並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新，並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通，並密切關注技術進步及市場情況，進而推動PIPA的現代化。

新冠疫情下日本的數位經濟實踐之路 資訊工業策進會科技法律研究所 2021年3月9日 　　2021年2月，日本經濟團體聯合會（以下簡稱「經團聯」）發布其所舉辦有關「後疫情時代的數位政府與數位經濟」之座談會研討內容。該座談會於2020年12月舉辦，主旨為探討日本持續推進數位轉型與邁向社會5.0目標之過程中，面對新冠肺炎疫情之擴大，有何待解決之課題[1]。 壹、主要問題 　　數位轉型之層面所涉甚廣，本文認為可初步分為政府面、企業面及個人面。首先，就政府面而言，可探討如何建立e化政府並提供民眾便捷服務。其次，就個人面而言，則可能涉及消費者資料之蒐集與個人隱私資料保護之議題。最後，就企業面而言，則包含同種企業或不同企業間彼此蒐集到的資料共享、利用及分析。 　　針對企業間，擔任數位經濟推進委員長之篠原弘道於會中指出，數位轉型致力於價值創新，然而，日本業界間的數位轉型存在一極大的待突破問題，即是彼此對於資料資源之分享，尚存不信任甚且互相猜疑，此將不利於資料共享之發展。篠原弘道進一步說明，數位轉型以突破空間與距離之屏障為特色，欲突破此一屏障有賴於民間企業彼此間的合作與信賴，僅只單一企業的資料本身無法有效達至此目標，呼籲日本國內企業能協力合作，強化數位流通與交流[2]。 　　執此，如何促進企業間的資料分享，建立互相信賴的關係，突破業界間彼此藩籬，即為官方及民間所應努力的目標。 貳、具體案例 　　就民間而言，日本已有民間發起之企業共享平台，例如2018年5月至12月，三菱房地產於東京車站周邊之大丸有地區進行實驗性的OMY（大手町、丸之內到有樂町一帶的區域，日本俗稱Daimaruyu，簡稱OMY））資料活化計畫，驗證跨行業別企業間的資料利用分配與有效性，期盼能將資料應用於促進該地區的經濟成長、帶動觀光發展，甚至規劃災害措施[3]。 　　提供該計畫資料服務平台的富士通有限公司經理池田榮次指出，該計畫為了建立彼此信任感，而非一味地僅關注於資料的分析，進行了多達12間公司之間的對談，並也得到了一定的成效。 參、事件評析 　　有關企業面的資料活用，本文認為可大致分為「單一公司」、「同業種內」及「異業種間」三者。單一公司之資料活用，以壽司郎為例，其將每盤菜餚均以IC標籤管理，藉以蒐集每盤菜餚之新鮮度、銷售情況。從而，累積之資料即可運用於掌握消費者喜好，並避免食材之浪費等[4]。同業種內則涉及相同類別的企業間，藉由共享資料以減低成本。例如不同藥物研發公司，藉由樣本試驗共享，從而擴增實驗母群體之數量[5]。異業公司則可能由位於同一地區之不同企業所構成，例如前揭大丸有OMY資料活用計畫。 　　經團聯所提出之議題，乃著眼於同業種內及異業種間的跨公司間資料交流不易，因而提出民間企業積極跨越藩籬之呼籲。我國於推動資料共享平台等相關政策時，亦可思考政府端可提供何種支持及資源，以側面促進同種或不同種企業間之資料共享意願；同時，如何令企業理解到彼此間的合作協力，將是新興價值得以開拓的寶貴契機，亦是一大值得省思之重點。 參考連結 日本經濟團體聯合會2月份月刊特集〈後疫情時代的數位政府與數位經濟〉https://www.keidanren.or.jp/journal/monthly/2021/02_zadankai.pdf [1]〈ポストコロナのデジタルガバメントとデジタルエコノミー〉，《経団連月刊》，2月号期，（2021）。 [2]同前註，頁15。 [3]〈異業種データ活用で、東京のビジネスエリアが生まれ変わる【前編】〉，Fujitsu Journal，https://blog.global.fujitsu.com/jp/2019-07-26/01/，（最後瀏覽日：2021/03/09）。 [4]〈15社のビッグデータ活用事例から学ぶ、成果につながる活用の方法〉，https://liskul.com/wm_bd10-4861#3_IC（最後瀏覽日：2021/3/9）。 [5]独立行政法人情報処理推進機構，〈データ利活用における重要情報共有管理に関する調査 調査実施報告書〉，頁9（2018）。

　　這是客戶的資訊，該資訊如何被使用應為客戶的選擇。」於此一理念下，美國聯邦通訊委員會（Federal Communication Commission，FCC）於2016年10月27日通過了寬頻客戶隱私規定（Broadband Consumer Privacy Rules），該規定要求寬頻網路服務提供者（broadband Internet Service Providers，ISPs）應保護其客戶之隱私，該新通過的隱私規範非禁止使用及分享客戶的資訊，而係給予客戶有更多的選擇去決定自身的資訊該如何被分享及使用。以下簡介規範內容： 一、規範對象：寬頻網路服務提供者及其他電信營運商，例如Comcast、Verizon、AT&T等。規範對象未包含聯邦貿易委員會（Federal Trade Commission，FTC）所管轄的隱私保護措施下的網站或其他邊緣服務商（edge service），例如Google、Facebook、Amazon等。亦未規範寬頻網路服務提供者營運的社交媒體網站或政府監管、加密，執法等問題。 二、 主要規範內容：將ISP所蒐集得使用及分享的資訊分為三類，建立客戶同意要件，分類如下。 （一）敏感性資訊須事前取得客戶肯定地選擇同意加入（opt-in），才得為使用及分享。敏感性資訊包含精確的地理位置、金融資訊、健康資訊、孩童資訊、社會安全碼、網站瀏覽紀錄、app使用紀錄及通訊內容。 （二）非敏感性資訊，例如電子郵件地址或服務層資訊，得使用及分享，惟當客戶選擇退出（opt-out）則不得使用及分享。 （三）同意要件之例外。除了在建立客戶與ISP關係外，針對特定目的將會被推定為已取得客戶同意，包含寬頻服務之提供或針對服 三、 其他重要規範內容：清楚告知客戶收集的資訊、將如何使用、向誰分享；實施合理的資料安全準則；保密性違反之通知。 　　然而針對FCC是否具有相關管制權限，質疑聲浪仍存於本次規範之通過。亦有認為該規範與FTC的管制同時運行將形成疊床架屋，造成社會大眾之混淆。並且該規範未能真實反映網路生態，未將網路公司或社交網站公司列入管制對象，無法真正保護客戶隱私。

　　德國與愛爾蘭資料保護局對於資料保護指令所規定個人資料（以下簡稱個資）的處理（process），是否須取得資料當事人明示同意，表示不同的見解。德國資料保護局認為臉書網站所提供之人臉辨識（預設加入）選擇退出（opt out consent）的設定，並不符合資料保護指令（Data Protection Directive）對於同意（consent）的規範，且有違資訊自主權（self-determination）；然而，愛爾蘭資料保護局則認為選擇退出的機制並未牴觸資料保護指令。 　　德國資料保護局委員Johannes Caspar教授表示，預設同意蒐集、使用與揭露，再讓資料當事人可選擇取消預設的作法，其實已經違反資訊自主權（self-determination）。並主張當以當事人同意作為個人資料處理之法律依據時，必須取得資料當事人對其個資處理（processing）之明示同意（explicit consent）。對於部長理事會（Council of Ministers）認同倘資料當事人未表達歧見（unambiguous），則企業或組織即可處理其個人資料的見解，Caspar教授亦無法予以苟同。他認為部長理事會的建議，不但與目前正在修訂的歐盟資料保護規則草案不符，更是有違現行個資保護指令的規定。 　　有學者認為「同意」一詞雖然不是非常抽象的法律概念，但也不是絕對客觀的概念，尤其是將「同意」單獨分開來看的時候，結果可能不太一樣；對於「同意」的理解，可能受到其他因素，特別文化和社會整體，的影響，上述德國和愛爾蘭資料保護局之意見分歧即為最好案例。 　　對於同意（consent）的落實是否總是須由資料當事人之明示同意，為近來資料保護規則草案（The Proposed EU General Data Protection Regulation）增修時受熱烈討論的核心議題。資料保護規則草案即將成為歐盟會員國一致適用的規則，應減少分歧，然而對於企業來說，仍需要正視即將實施的規則有解釋不一致的情況，這也是目前討論資料保護規則草案時所面臨的難題之一。