歐盟發布資料法案草案

  2022年2月23日,歐盟委員會(European Commission,以下簡稱委員會)公開資料法案草案(Data Act,以下簡稱草案),基於促進資料共享的目的,草案其中一個目標是使不同規模的企業、用戶在資料利用上有著更加平等的地位,內容包含確保用戶資料可攜性、打破資料存取限制、推動大型企業的資料共享,扶植微/小型企業等幾大方向。

  以下就草案對大型企業要求的義務切入,說明草案所帶來的影響:

  1. 確保用戶訪問資料的權利:
    基本資訊的告知,包含所蒐集資料性質以及訪問方式、使用資料的目的;用戶可在不同產品/服務提供者(以下簡稱提供者)之間切換,且提供者須有技術支援;提供者需要有合理技術,避免資料在未經授權被查閱。
  2. 對於提供者的限制:
    提供者不得將所蒐集的資料用於取得用戶的經濟地位、資產、使用喜好;具守門人性質的企業不得採取獎勵措施以鼓勵用戶提供自其他提供者處所取得的資料;提供者提供資料可以收取補償,但必須以公平、合理、非歧視、透明的方式為之,需要提供補償計算方式與基礎。
  3. 對於微/小/中型企業的保護
    提供者對於微/小型企業所收取的資料補償,不得超過提供資料所需的成本;提供者利用市場優勢,對於微/小/中型企業的不合理/公平的約定無效(如單方面免除一方的重大過失/故意行為的責任)。

  該資料法案草案須經歐盟議會(European Parliament)通過後才會生效,目前草案規定只要有在歐盟提供物聯網產品或服務之企業,就須遵守草案內容規範,考量到網路服務可跨國提供服務,草案規範與進度仍值得國內企業關注。

「本文同步刊登於TIPS網站(https://www.tips.org.tw )」

相關連結
你可能會想參加
※ 歐盟發布資料法案草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8786&no=67&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
科法觀點
你可能還會想看
奈米產品蘊藏健康風險,其管理應更慎重

  許多天然或人造的成分被奈米化之後,物理和化學性質可能都會改變,今年三月底,在德國即出現一起疑似因為使用奈米科技製造的廁所清潔噴霧劑「魔術奈米」,陸續出現嚴重呼吸問題,被送往醫院診治,其中六人還因肺水腫住院的案例,可見奈米級產品的安全性應有更為審慎之把關。   在各式奈米級產品中,「添加顏料、金屬和化學藥劑,是奈米化妝品與保養品對人體健康的最大變數!」美國 FDA 規定, 1 到 100 奈米( nm )微粒的保養品、化妝品都算是奈米產品,用來防曬的二氧化鈦是最常被添加的金屬成分,傳統粗顆粒的防曬用品,利用二氧化鈦擋住紫外線傷害皮膚,但鈦成分變成超細微粒,進入皮膚底層後會不會沈澱、累積,衍生皮膚癌、中毒或過敏病變?或經由血液沈積在內臟?目前都沒有具公信力驗證單位可以說明。各式化妝品調色的顏料,以及美白等用途的化學藥劑也被奈米化,對塑造時下流行的「裸妝」效果,確實很有幫助,不過,一旦這些化學製成的奈米微粒粒徑小於 50 到 80 奈米,也就是小於角質細胞的間隙,就會對皮膚造成傷害。至於奈米化的蜜粉和粉餅,可能因為撲粉過程把奈米微粒吸入肺部,產生呼吸道病變,甚至有致命危機。因此,許多學者均強烈主張,化妝品、保養品要上市販售之前,必須完成醫學上的病理實驗,不要把人當白老鼠。   生活中已經有多種產品以奈米化之形式推出,例如:保養品、化妝品奈米化的速度很快,許多製造商推出的新保養品均號稱含有奈米微粒,可深入肌膚,達到防皺、除皺功效。但是,英國皇家學會和美國食品藥物管理局( FDA )相繼表示,醫學界對奈米微粒與肌膚相互作用的知識還相當貧乏,除了深入肌膚的功效有待驗證外,更要注意這些奈米微粒是否會對血液產生長期的影響。   奈米科技是否會步上基因改造食品的後塵,成為消費者對新科技存疑之另一項技術,值得注意。奈米科技在風險未被證實前,業者腳步走太快,而政府完全放手不管,一旦出現意外事故,就可能把這項新科技給毀了。故要求主管機關要有所作為呼聲已經陸續出現,繼英國皇家學會最早投入相關之健康風險研究後,美國消費者團體亦透過 petition 機制,要求 FDA 加強對奈米級產品之管理。

南韓個資保護委員會發布人工智慧(AI)開發與服務處理公開個人資料指引

南韓個資保護委員會(Personal Information Protection Commission, PIPC)於2024年7月18日發布《人工智慧(AI)開發與服務處理公開個人資料指引》(인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서)(以下簡稱指引)。該指引針對AI開發與服務處理的公開個人資料(下稱個資)制定了新的處理標準,以確保這些資料在法律上合規,且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中,會使用大量從網路上收集的公開資料,這些公開資料可能包含地址、唯一識別資訊(unique identifiable information, UII)、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資,內容不限於個資主體自行公開的資料,還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多,在現實中很難在處理這些公開個資以進行AI訓練之前,取得每個個資主體的單獨同意及授權,同時,南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題,PIPC制定了該指引,確認了蒐集及利用公開個資的法律基礎,並為AI開發者和服務提供者提供適用的安全措施,進而最小化隱私問題及消除法律不確定性。此外,在指引的制定過程中,PIPC更參考歐盟、美國和其他主要國家的做法,期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分,第一部分:應用正當利益概念;第二部分:建議的安全措施及保障個資主體權利的方法;及第三部分:促進開發AI產品或服務的企業,在開發及使用AI技術時,注意可信任性。 針對第一部分,指引中指出,只有在符合個人資料保護法(Personal Information Protection Act, PIPA)的目的(第1條)、原則(第3條)及個資主體權利(第4條)規定範圍內,並滿足正當利益條款(第15條)的合法基礎下,才允許蒐集和使用公開個資,並且需滿足以下三個要求:1.目的正當性:確保資料處理者有正當的理由處理個資,例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性:確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估:確保資料處理者的正當利益明顯超越個資主體的權利,並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定,其中,技術防護措施包括:檢查訓練資料來源、預防個資洩露(例如刪除或去識別化)、安全存儲及管理個資等;管理和組織防護措施包括:制定蒐集和使用訓練資料的標準,進行隱私衝擊影響評估(PIA),運營AI隱私紅隊等;尊重個資主體權利規定包括:將公開資料蒐集情形及主要來源納入隱私政策,保障個資主體的權利。 最後,在第三部分中,指引建議AI企業組建專門的AI隱私團隊,並培養隱私長(Chief Privacy Officers, CPOs)來評估指引中的要求。此外,指引亦呼籲企業定期監控技術重大變化及資料外洩風險,並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新,並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通,並密切關注技術進步及市場情況,進而推動PIPA的現代化。

美國有限合夥發展於我國之借鏡

歐洲議會近日通過《數位營運韌性法案》,堅守數位金融市場安全

  為因應金融產業數位化及鼓勵金融業創新,並在打造歐盟金融業競爭之同時,確保消費者之保護及金融市場之穩定,歐盟執委會於2020年9月間通過「數位金融整體計畫」(Digital Finance Package),該計劃包含之項目十分廣泛,建構了歐盟未來對於數位金融市場之整體性立法框架。   而2022年11月甫通過之「數位營運韌性法案」 (Digital Operational Resilience Act, DORA)便是數位金融整體計畫中之一分支,該法案預計將於2025年生效。有鑑於過去歐盟會員國各自對資通安全事件行動效果有限,且國家措施之不同調導致重疊、不一致、重複之要求而產生高昂之行政和法遵成本,此情況分裂了單一市場,破壞了歐盟金融機構之穩定性和完整性,並危及消費者和投資者保護,遂有本法案之誕生。   本法案主要之訂定目的在於建立資通安全事件之要求標準及通報流程機制以加強銀行、保險業、投信投顧等金融業者之資通安全,使其面臨網路攻擊時,能保有韌性及恢復力,並維持正常之營運狀態。具體而言,本法案為促金融業者達成高度數位經營韌性之統一要求,遂要求金融業者採取以下手段:   (一)資通風險管理監控   (二)資通事件之報告及建立於自願基礎上之重大網路威脅通報   (三)向主管機關通報重大營運或支付安全有關之事件   (四)數位營運韌性檢測   (五)有關網路威脅或漏洞有關之資訊情報共享   (六)健全控管對第三方資通技術供應者之機制。   總地而論,本法案透過建立歐盟統一之資通安全事件通報原則及營運韌性檢測標準等方式加強歐盟之眾金融機構在受網路攻擊之應對能力,且將可避免過去各國間無法取得共識,金融機構於發生資通安全事件時手足無措之窘境,值得讚許,或可為我國未來借鏡採納。

TOP