美國與歐盟宣布跨大西洋資料保護框架

英國技術大臣（U.K. Secretary of State for Science）蜜雪兒·多尼蘭（Michelle Donelan）和美國商務部長（U.S. Secretary of Commerce）吉娜·雷蒙多（Gina Raimondo）於2024年4月1日在華盛頓特區簽署一份合作備忘錄（MOU），雙方將共同開發先進人工智慧（frontier AI）模型及測試，成為首批就測試和評估人工智慧模型風險等進行正式合作之國家。 此備忘錄之簽署，是為履行2023年11月在英國的布萊切利公園（Bletchley Park）所舉行的首屆人工智慧安全峰會（AI Safety Summit）上之承諾，諸如先進AI的急速進步及濫用風險、開發者應負責任地測試和評估應採取之適當措施、重視國際合作和資訊共享之必要性等等，以此為基礎羅列出兩國政府將如何在人工智慧安全方面匯集技術知識、資訊和人才，並開展以下幾項聯合活動： 1.制定模型評估的共用框架（model evaluations），包括基礎方法（underpinning methodologies）、基礎設施（infrastructures）和流程（processes）。 2.對可公開近用模型執行至少一次聯合測試演習（joint testing exercise）。 3.在人工智慧安全技術研究方面進行合作，以推進先進人工智慧模型之國際科學知識，並促進人工智慧安全和技術政策的一致性。 4.讓英、美兩國安全研究所（AI Safety Institute）間的人員互相交流利用其團體知識。 5.在其活動範圍內，依據國家法律、法規和契約規定來相互共享資訊。 換言之，兩國的機構將共同制定人工智慧安全測試之國際標準，以及適用於先進人工智慧模型設計、開發、部署、使用之其他標準。確立一套通用人工智慧安全測試方法，並向其他合作夥伴分享該能力，以確保能夠有效應對這些風險。就如英國技術大臣蜜雪兒·多尼蘭強調的，確保人工智慧的安全發展是全球性問題，只有通過共同努力，我們才能面對技術所帶來的風險，並利用這項技術幫助人類過上更好的生活。

　　歐盟執委會於2019年6月正式通過「歐盟網路與資訊安全局暨網路安全認證規則(EU Regulation on ENISA and Cyber Security Certification)(Regulation (EU) 2019/881)。規則新增歐盟網路與資訊安全局（European Union Agency for Network and Information Security,ENISA）之職責，負責推行「網路安全認證機制(European cybersecurity certification scheme)」。 　　網路安全認證機制旨在歐盟層面針對特定產品、服務及流程評估其網路安全。運作模式是將產品或服務進行分類，有不同的評估類型（如自行評估或第三方評估）、網路安全規範（如參考標準或技術規範）、預期的保證等級（如低、中、高），並給予相關之認證。為了呈現網路安全風險的程度，證明書上可以使用三個級別：低、中、高（basic，substantial，high）。若資訊安全事件發生時，對產品、服務及流程造成影響時，廠商應依據其產品或服務之級別採行相對應的因應對策。若被認證為高等級的產品，則表示已經通過最高等級的安全性測試。 　　廠商之產品或服務被認可後會得到一張認證書，使企業進行跨境交易時，能讓使用者更方便理解產品或服務的安全性，供應商間能在歐盟市場內進行良好的競爭，從而產生更好的產品及性價比。藉由該認證機制所產生的認證書，對於市場方將帶來以下之效益： 一、產品或服務的提供商（包括中小型企業和新創企業）和供應商：藉由該機制獲得歐盟證書，可以在成員國中提升競爭力。 二、公民和最終使用者（例如基礎設施的運營商）：針對日常所需的產品和服務，能做出更明智的購買決策。例如消費者欲購買智慧家具，就可藉由ENISA的網路安全認證網站諮詢該產品網路安全資訊。 三、個人、商業買家、政府：在購買某產品或服務時，可以藉此機制讓產品或服務的資訊透明化，以做出更好的抉擇。

　　為期望能打破歐盟長久以來因是否種植基因改造作物所陷入的政治僵局，近來根據一份歐盟內部策略報告文件(internal strategy paper)指出，歐盟執委會針對未來的基因科技政策首次建議表示，未來將授權由各會員國自行決定將批准或禁止基因改造作物於境內種植，並且透過調整相關基因科技法管理規範的方式予以落實推動。 　　以目前歐盟各會員國觀之，境內支持基因改造科技(gene-technology-friendly)與反對基因改造科技(gene-technology-unfriendly)的國家彼此呈現封鎖阻隔的局面，欠缺透明的決策程序，同時降低民眾對於政策決定了解程度。因此，歐盟執委會建議，關於基因改造作物的批准與種植，在此次建議中，擬朝向將歐盟權限與各會員國權限進行切割的做法，表示此一規劃對於後續選擇栽種與利用基因改造作物的國家將更為簡便，相對於無意栽種基因改造作物的國家則可核發禁令。 　　為執行上述建議做法，歐盟執委會進一步表示，修改相關法令規範必須取得歐盟議會之同意，如可行將嘗試於現行立法架構下採取政策調整的方式，同時應確保未來新修正的基因科技管理規範和WTO之規定相容，並且不會和其他國家政策立場造成衝突，尤其是向來支持發展基因改造作物的美國。 　　整體而言，歐盟執委會對於未來調整方向抱持樂觀態度，認為有鑑於目前的情況，此舉將為植物生物科技與相關種子產業帶來正面提升的力量。

　　日本於2021年5月19日公布新修正之《個人資料保護法》（個人情報の保護に関する法律），並預計於2022年4月正式施行。修法重點如下： 一、法律形式及法律管轄一元化：現行日本個人資料保護法制依適用對象分為《個人資料保護法》、《行政機關個人資料保護法》（法律行政機関の保有する個人情報の保護に関する法律）、《獨立行政法人等個人資料保護法》（独立行政法人等の保有する個人情報の保護に関する法律）及各地方政府個人資料保護條例等不同規範，修法後將統一適用《個人資料保護法》，並受到個人資料保護委員會之監督管理。 二、整合醫療及學術領域之規範：目前醫療及學術機構因隸屬於公部門或私部門適用不同規範，修法後無論公私立醫院、大學等原則上均適用相同規範。 三、調整學術研究之豁免規定：基於學術研究自由為憲法保障之基本權，現行《個人資料保護法》明文規定學術研究一律排除適用本法規定，惟2019年日本取得《歐盟一般資料保護規則》（GDPR）適足性認定之範圍未包含學術研究，故修法調整豁免規定為例外情形排除適用，如變更利用目的、取得敏感性個人資料及提供予第三者之情形。 四、整合個人資料及匿名化資料之定義：修法將公部門與私部門對個人資料之定義，整合為包含「易於」與其他資料比對後得以識別特定個人之要件。而《行政機關個人資料保護法》所稱「去識別化資料」（非識別加工情報），與《個人資料保護法》所稱「匿名化資料」（匿名加工情報），修法後將統一稱為「匿名化資料」。 　　為銜接上述修法內容，日本個人資料保護委員會自2021年8月起陸續針對《個人資料保護法施行令》、《個人資料保護法施行規則》及個人資料保護法相關指引公開徵求意見，後續值得持續觀察日本個人資料保護法制發展。