歐盟執委會提出《歐洲晶片法案》應對半導體短缺並加強歐洲技術領先地位

　　美國加州州長於2021年10月6日正式簽署《基因資訊隱私法》（Genetic Information Privacy Act, GIPA）， 將於2022 年 1 月 1 日生效。GIPA在聯邦法和州隱私法的框架下，補充建立基因資訊保護機制，規範無醫護人員參與的「直接面對消費者基因檢測公司」（Direct-to-consumer genetic testing company，下稱DTC公司）之個資保護義務，並要求DTC公司執行下列消費者基因資料（去識別化資料除外）之蒐集、利用、揭露，須獲消費者明示同意： 利用DTC公司產品或服務所蒐集之基因資料，應取得同意。其同意書須載明近用對象、共享方式，以及具體利用目的。 初步測試完成後儲存生物樣本，應取得同意。 目的外利用該基因資料或樣本，應取得同意。 向服務提供商外之第三方傳輸或揭露該基因資訊或樣本，應取得同意。其同意書須載明該第三方之名稱。 分析行銷或第三方依消費紀錄所進行之促銷，應取得同意。 　　上開同意之取得，不可使用黑暗模式（dark patterns）誤導消費者，並必須針對資料或樣本採取合理安全維護措施。 　　GIPA也新增消費者權利，保障消費者近用權和刪除權，DTC公司須制定政策，使消費者易於近用基因資料、刪除帳戶與基因資料、銷毀生物樣本等，並須於消費者依法撤回同意後30日內銷毀之，不得因行使權利而有差別待遇。DTC公司若GIPA違反規定，消費者擁有私人訴訟權。

2024年5月17日，科羅拉多州州長簽署了《人工智慧消費者保護法》（Consumer Protections for Artificial Intelligence Act，Colorado AI Act，下簡稱本法），其內容將增訂於《科羅拉多州修訂法規》（Colorado Revised Statutes，簡稱CRS）第6篇第17部分，是美國第一部廣泛對AI規範的法律，將於2026年2月1日生效。 本法旨在解決「高風險人工智慧系統」的演算法歧視（Algorithmic Discrimination）的問題 ，避免消費者權益因為演算法之偏見而受到歧視。是以，本法將高風險AI系統（High-risk Artificial Intelligence System）定義為「部署後作出關鍵決策（Consequential Decision）或在關鍵決策中起到重要作用的任何AI系統」。 而後，本法藉由要求AI系統開發者（Developers）與部署者（Deployers）遵守「透明度原則」與「禁止歧視原則」，來保護消費者免受演算法歧視。規定如下： (一)系統透明度： 1.開發者應向部署者或其他開發者提供該系統訓練所使用的資料、系統限制、預期用途、測試演算法歧視之文件以及其他風險評估文件。 2.部署者應向消費者揭露高風險人工智慧系統的預期用途，也應在高風險人工智慧系統做出決策之前向消費者提供聲明，聲明內容應該包含部署者之聯絡方式、該系統的基本介紹、部署者如何管理該系統可預見之風險等資訊。 (二)禁止歧視： 1.開發者應實施降低演算法歧視之措施，並應協助部署者理解高風險人工智慧系統。此外，開發者也應該持續測試與分析高風險人工智慧系統可能產生之演算法歧視風險。若開發者有意修改該系統，應將更新後的系統資訊更新於開發者網站，並須同步提供給部署者。 2.部署者應該實施風險管理計畫，該風險管理計畫應包含部署者用於識別、紀錄降低演算法歧視風險之措施與負責人員，且風險管理計畫應定期更新。在制定風險管理計畫時，必須參考美國商務部國家標準暨技術研究院（National Institute of Standards and Technology, NIST）的《人工智慧風險管理框架》（AI Risk Management Framework, AI RMF 2.0）與ISO/IEC 42001等風險管理文件。 美國普遍認為科羅拉多州的《人工智慧消費者保護法》為目前針對人工智慧系統最全面之監管法規，可作為其他州有關人工智慧法規的立法參考，美國各州立法情況與作法值得持續關注。

　　為因應歐盟一般資料保護規則（General Data Protection Regulation，簡稱歐盟GDPR）於2018年5月正式施行，英國資訊委員辦公室（Information Commissioner’s Office, 簡稱ICO）於2017年11月21日發布一般資料保護規則指引（guide to general data protection regulation）（簡稱一般資料保護規則指引）。 　　ICO所發布的一般資料保護規則指引，係用於解釋歐盟GDPR的各條規定，協助企業符合歐盟GDPR的各項要求，適用於企業中擔負資料保護義務責任者。ICO說明本指引文件致力於擴展與歐盟GDPR、ICO所制定公告之其他指引文件、歐盟第29條工作小組制定公告之相關指導文件的聯結。歐盟第29條工作小組係由歐盟各會員國的資料保護機構代表組成，而ICO即為英國派任於該工作小組之資料保護機構代表。 　　ICO發布的一般資料保護規則指引，內容簡述如下：本指引文件係在建構歐盟GDPR法規的架構，將反映歐盟GDPR未來的導引與如何呈現，本指引內容有歐盟GDPR的重要定義（如歐盟GDPR適用對象、歐盟GDPR所欲保謢之資料種類）、歐盟GDPR原則、個人資料處理、當事人同意、當事人權利介紹、資料保護、資料洩漏處理、未成年人保護等議題之參考要點；並針對部分議題，設計有簡易清單，供參閱者勾選確認。 　　英國ICO除採取對外發布一般資料保護規則指引外，另有制定數個線上工具，協助企業依其身分別（如資料管理者或資料處理者），選擇線上工具進行自我檢視是否符合歐盟GDPR要求，期以協助英國業者為今（2018）年5月GDPR正式施行，能作更充分的準備。

日本內閣府於2023年5月26日召開第2次「AI戰略會議」（AI戦略会議），並公布「AI相關論點之初步整理」（AIに関する暫定的な論点整理）。鑒於AI對於改善國人生活品質、提高生產力無疑有相當助益，考量生成式AI甫問世，社會大眾對其潛在風險尚心存疑慮，內閣府遂以生成式AI為核心，延續先前已公布之「AI戰略2022」（AI 戦略 2022）、「以人為中心的AI社會原則」（人間中心の AI 社会原則），以「G7廣島峰會」（G7広島サミット）所提出之願景—「符合共同民主價值的值得信賴AI」為目標，提出「風險因應」及「應用與開發」兩大關注重點，供政府有關部門參考之同時，並期待可激起各界對於生成式AI相關議題之關注與討論： 一、風險因應：AI開發者、服務提供者與使用者應自行評估風險並確實遵守法規及相關指引；政府則應針對風險應對框架進行檢討，對於已知的風險，應先以現有的法律制度、指引與機制進行處理，假如現有法制等無法完全因應這些風險，則應參考各國作法盡速對現行制度進行修正。 AI的透明度與可信賴度於風險因應至關重要。若能掌握AI學習使用哪些資料、所學習資料之來源、AI如何產生結果等，就能針對使用目的選擇適合的AI，也較易因應發生之問題，並避免AI產生錯誤結果或在對話中洩漏機密資訊等。對此，本文件呼籲AI開發者及服務提供者依據現行法令和指引主動揭露資訊，政府則應對透明度和可信賴度相關要求進行檢討，並應依普及程度及各國動向對既有的指引進行必要之修正。 二、應用與開發：本文件建議政府部門積極使用生成式AI於業務工作上，找出提升行政效率同時不會洩漏機密之方法，並向民眾宣導AI應用之益處與正確的使用方式，以培養民眾AI相關技能與素養，藉以更進一步建構AI應用與開發之框架，如人才培育、產業環境準備、相關軟硬體開發等。