俄羅斯聯邦政府於2022年3月7日發布第299號法令(Постановление Правительства Российской Федерации № 299,下稱本法令),規定於有國家利益考量之情況下,得不經授權利用「不友好國家」的專利權。而我國也在前述「不友好國家」名單之列。
具體而言,本法令之解釋脈絡應從俄羅斯民法(Гражданский кодекс Российской Федерации)第1360條談起,該條規定在確保國家安全或保護公民生命與健康之極端必要情況下,俄羅斯聯邦政府有權決定,未經專利權人同意,使用相關發明、新型和工業品外觀設計,惟需儘快通知專利權人,並支付相應之補償金。
2021年10月18日,俄羅斯聯邦政府按民法第1360條第2項規定,頒布第1767號法令(Постановление Правительства Российской Федерации № 1767)確定補償數額為受專利保護之商品與服務所產生實際收益之0.5%。
然而,因烏俄戰爭持續延燒致俄羅斯聯邦政府採取反西方制裁措施之故,其發布第299號法令,針對第1767號法令再次增修補償數額之認定方法,規定:「倘專利權人來自『不友好國家』,則俄羅斯實體或個人未經專利權人同意,使用相關發明、新型或工業設計進行生產、銷售商品、提供勞務及服務時,須向權利人支付權利金為前述活動所產生實際收益之0%」。
基此,第299號法令應限縮在有國家利益考量之情況下(如:與國家安全或保護俄羅斯公民的生命、健康相關),針對使用特定的專利或商品,可免支付專利強制授權的補償金。換言之,本法令不應解讀為,任何專利在俄羅斯都可恣意利用,而無需經權利人同意或支付適當補償。惟因無法預期未來俄羅斯聯邦政府對「不友好國家」會否有其他強制授權情事,故我國經濟部智慧財產局發函通知專利權人,應密切關注相關議題,並預作準備以降低風險。
本文為「經濟部產業技術司科技專案成果」
德國政府於2018年7月18公佈「聯邦政府人工智慧戰略要點」(Key points for a Federal Government Strategy on Artificial Intelligence),係由德國聯邦經濟事務及能源部、聯邦教育及研究部,與聯邦勞動及社會事務部共同撰寫而成。 德國政府表示該要點將作為推動人工智慧技術與產業發展的基礎方針,並希望以負責任的方式以及朝向社會利益發展的方向進行人工智慧開發與應用。 德國人工智慧戰略要點摘要如下: 1. 研究能量:必須大幅增加研究支出並且爭取世界一流人才。 2. 人工智慧能力應泛分佈在社會各處:各學科與產業領域皆需要人工智慧。 3. 資料作為人工智慧發展的基礎:資料是人工智慧發展的重要關鍵,德國的資料發展重點將放在資料品質的強化。 4. 基礎設施:人工智慧中重要的技術「深度學習」,不僅需要大量資料,同時還需要強大的計算能力,德國需要加強計算能力的硬體設備。 5. 經濟應用:德國數位化發展的下一步需要仰賴人工智慧技術,尤其是中小企業採納人工智慧技術方面將會是焦點之一。 6. 社會法制:人工智慧發展過程中牽涉許多道德以及法制、監管議題,德國政府認為這些都必須請不同利害關係人共同公開討論。 7. 國際合作:德國作為歐盟會員國之一,未來的人工智慧發展將力求與歐盟各國合作。 整體而言,德國的人工智慧戰略著重在建立人工智慧生態系統,並強調人與機器之間的合作關係,為人工智慧產業發展奠定良好基礎。德國政府將基於此要點繼續制定進一步的人工智慧戰略,並預計將於2018年12月公佈德國的人工智慧戰略完整報告。
法國CNIL提醒銀行App通話偵測防詐措施須兼顧合法性與用戶權利法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年7月15日指出近年來詐騙案件快速增加,詐欺行為人假冒銀行人員,以電話引導受害者自行完成轉帳或新增收款人等操作。為降低受騙風險,部分銀行在行動應用程式中設計機制,能偵測到使用者操作較高風險的交易時若同時處於通話狀態,便可即時跳出警示或暫停交易。此等做法雖有助於阻詐,惟因涉及個人資料存取,故須符合《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR)之規範。 CNIL提醒銀行蒐集通話資訊須取得使用者明確同意,不能僅依賴行動裝置的「電話」權限,亦不得因使用者拒絕同意而限制應用程式之基本使用,僅在如新增收款人、大額轉帳、或轉帳至高風險國家等異常活動操作中才能要求同意,並須提供網站、電話或分行等替代辦理方式。又相關權限請求應在交易操作過程中提出,而非在應用程式安裝時統一要求,安裝前亦應向使用者充分說明。若使用者不同意,仍必須使其能正常查詢帳戶資訊。 此外,在資料處理上須遵循資料最小化原則,僅得蒐集是否進行通話及通話時長之資訊,不得恣意擴大資料蒐集範圍。與此同時,銀行應讓使用者在同意與撤回同意操作上一樣簡便,不得僅引導至手機裝置設定,而應使消費者能在應用程式中直接操作,並清楚告知撤回同意後功能受限範圍及可替代方案。 除利用應用程式進行通話偵測,CNIL建議銀行尚應搭配其他措施,例如在應用程式內定期推送防詐提醒、舉辦宣導活動,或在確認付款時詢問客戶是否正與自稱是「銀行顧問」之人通話。若銀行欲透過應用程式偵測通話狀態來防詐,則須在合法性、必要性、資料最小化以及使用者同意之間取得平衡。
G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢 資訊工業策進會科技法律研究所 2025年03月10日 七大工業國組織(Group of Seven,下稱G7)於2024年10月10日至11日在義大利羅馬舉辦第四屆資料保護與隱私機構圓桌會議(Data Protection and Privacy Authorities Roundtable,下稱圓桌會議),並發布「G7 DPAs公報:資料時代的隱私」(G7 DPAs’ Communiqué: Privacy in the age of data,下稱公報)[1],特別聚焦於人工智慧(AI)技術對隱私與資料保護的影響。 壹、緣起 由美國、德國、英國、法國、義大利、加拿大與日本的隱私主管機關(Data Protection and Privacy Authorities, DPAs)組成本次圓桌會議,針對數位社會中資料保護與隱私相關議題進行討論,涵蓋「基於信任的資料自由流通」(Data Free Flow with Trust, DFFT)、新興技術(Emerging technologies)、跨境執法合作(Enforcement cooperation)等三大議題。 本次公報重申,在資通訊技術主導的社會發展背景下,應以高標準來審視資料隱私,從而保障個人權益。而DPAs作為AI治理領域的關鍵角色,應確保AI技術的開發和應用既有效且負責任,同時在促進大眾對於涉及隱私與資料保護的AI技術認識與理解方面發揮重要作用[2]。此外,公報亦強調DPAs與歐盟理事會(Council of Europe, CoE)、經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)、亞太隱私機構(Asia Pacific Privacy Authorities, APPA)、全球隱私執行網路(Global Privacy Enforcement Network, GPEN)及全球隱私大會(Global Privacy Assembly, GPA)等國際論壇合作的重要性,並期望在推動資料保護與建立可信賴的AI技術方面作出貢獻[3]。 貳、重點說明 基於上述公報意旨,本次圓桌會議上通過《關於促進可信賴AI的資料保護機構角色的聲明》(Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI)[4]、《關於AI與兒童的聲明》(Statement on AI and Children)[5]、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》(Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions)[6],分別說明重點如下: 一、《關於促進可信賴AI的資料保護機構角色的聲明》 繼2023年第三屆圓桌會議通過《關於生成式AI聲明》(Statement on Generative AI)[7]後,本次圓桌會議再次通過《關於促進可信賴AI的資料保護機構角色的聲明》,旨在確立管理AI技術對資料保護與隱私風險的基本原則。G7 DPAs強調許多AI技術依賴個人資料的運用,這可能引發對個人偏見及歧視、不公平等問題。此外,本聲明中還表達了擔憂對這些問題可能透過深度偽造(Deepfake)技術及假訊息擴散,進一步對社會造成更廣泛的不良影響[8]。 基於上述考量,本聲明提出以下原則,納入G7 DPAs組織管理的核心方針[9]: 1. 以人為本的方法:G7 DPAs應透過資料保護來維護個人權利與自由,並在AI技術中提供以人權為核心的觀點。 2. 現有原則的適用:G7 DPAs應審視公平性、問責性、透明性和安全性等AI治理的核心原則,並確保其適用於AI相關框架。 3. AI核心要素的監督:G7 DPAs應從專業視角出發,監督AI的開發與運作,確保其符合負責任的標準,並有效保護個人資料。 4. 問題根源的因應:G7 DPAs應在AI的開發階段(上游)和應用階段(下游)找出問題,並在問題擴大影響前採取適當措施加以解決。 5. 善用經驗:G7 DPAs應充分利用其在資料領域的豐富經驗,謹慎且有效地應對AI相關挑戰。 二、《關於AI與兒童的聲明》 鑒於AI技術發展可能對於兒童和青少年產生重大影響,G7 DPAs發布本聲明表示,由於兒童和青少年的發展階段及其對於數位隱私的瞭解、生活經驗有限,DPAs應密切監控AI對兒童和青少年的資料保護、隱私權及自由可能造成的影響程度,並透過執法、制定適合年齡的設計實務守則,以及發佈面向兒童和青少年隱私權保護實務指南,以避免AI技術導致潛在侵害兒童和青少年隱私的行為[10]。 本聲明進一步闡述,當前及潛在侵害的風險包含[11]: 1. 基於AI的決策(AI-based decision making):因AI運用透明度不足,可能使兒童及其照顧者無法獲得充足資訊,以瞭解其可能造成重大影響的決策。 2. 操縱與欺騙(Manipulation and deception):AI工具可能具有操縱性、欺騙性或能夠危害使用者情緒狀態,促使個人採取可能危害自身利益的行動。例如導入AI的玩具可能使兒童難以分辨或質疑。 3. AI模型的訓練(Training of AI models):蒐集和使用兒童個人資料來訓練AI模型,包括從公開來源爬取或透過連線裝置擷取資料,可能對兒童的隱私權造成嚴重侵害。 三、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》 考慮到個人資料匿名化、假名化及去識別化能促進資料的創新利用,有助於最大限度地減少隱私風險,本文件旨在整合G7成員國對於匿名化、假名化與去識別化的一致理解,針對必須降低可識別性的程度、資訊可用於識別個人的程度、減少可識別性的規定流程及技術、所產生的資訊是否被視為個人資料等要件進行整理,總結如下: 1. 去識別化(De-identification):加拿大擬議《消費者隱私保護法》(Consumer Privacy Protection Act, CPPA)、英國《2018年資料保護法》(Data Protection Act 2018, DPA)及美國《健康保險可攜性及責任法》(Health Insurance Portability and Accountability Act , HIPAA)均有去識別化相關規範。關於降低可識別性的程度,加拿大CPPA、英國DPA規定去識別化資料必須達到無法直接識別特定個人的程度;美國HIPAA則規定去識別化資料須達到無法直接或間接識別特定個人的程度。再者,關於資料去識別化的定性,加拿大CPPA、英國DPA認定去識別化資料仍被視為個人資料,然而美國HIPAA則認定去識別化資料不屬於個人資料範疇。由此可見,各國對去識別化規定仍存在顯著差異[12]。 2. 假名化(Pseudonymization):歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)及英國《一般資料保護規則》(UK GDPR)、日本《個人資料保護法》(個人情報の保護に関する法律)均有假名化相關規範。關於降低可識別性的程度,均要求假名化資料在不使用額外資訊的情況下,須達到無法直接識別特定個人的程度,但額外資訊應與假名化資料分開存放,並採取相應技術與組織措施,以確保無法重新識別特定個人,因此假名化資料仍被視為個人資料。而關於假名化程序,日本個資法明定應刪除或替換個人資料中可識別描述或符號,歐盟及英國GDPR雖未明定具體程序,但通常被認為採用類似程序[13]。 3. 匿名化(Anonymization):歐盟及英國GDPR、日本個資法及加拿大CPPA均有匿名化相關規範。關於降低可識別性的程度,均要求匿名化資料無法直接或間接識別特定個人,惟可識別性的門檻存在些微差異,如歐盟及英國GDPR要求考慮控管者或其他人「合理可能用於」識別個人的所有方式;日本個資法則規定匿名化資料之處理過程必須符合法規標準且不可逆轉。再者,上述法規均將匿名化資料視為非屬於個人資料,但仍禁止用於重新識別特定個人[14]。 參、事件評析 本次圓桌會議上發布《關於促進可信賴AI的資料保護機構角色的聲明》、《關於AI與兒童的聲明》,彰顯G7 DPAs在推動AI治理原則方面的企圖,強調在AI技術蓬勃發展的背景下,隱私保護與兒童權益應成為優先關注的議題。與此同時,我國在2024年7月15日預告《人工智慧基本法》草案,展現對AI治理的高度重視,融合美國鼓勵創新、歐盟保障人權的思維,針對AI技術的應用提出永續發展、人類自主、隱私保護、資訊安全、透明可解釋、公平不歧視、問責等七項原則,為國內AI產業與應用發展奠定穩固基礎。 此外,本次圓桌會議所發布《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》,揭示各國在降低可識別性相關用語定義及其在資料保護與隱私框架中的定位存在差異。隨著降低可識別性的方法與技術不斷創新,這一領域的監管挑戰日益突顯,也為跨境資料流動越發頻繁的國際環境提供了深化協調合作的契機。在全球日益關注資料保護與隱私的趨勢下,我國個人資料保護委員會籌備處於2024年12月20日公告《個人資料保護法》修正草案,要求民間業者設置個人資料保護長及稽核人員、強化事故通報義務,並針對高風險行業優先實施行政檢查等規定,以提升我國在數位時代的個資保護水準。 最後,本次圓桌會議尚訂定《2024/2025年行動計畫》(G7 Data Protection and Privacy Authorities’ Action Plan)[15],圍繞DFFT、新興技術與跨境執法合作三大議題,並持續推動相關工作。然而,該行動計畫更接近於一項「基於共識的宣言」,主要呼籲各國及相關機構持續努力,而非設定具有強制力或明確期限的成果目標。G7 DPAs如何應對數位社會中的資料隱私挑戰,並建立更順暢且可信的國際資料流通機制,將成為未來關注的焦點。在全球共同面臨AI快速發展所帶來的機遇與挑戰之際,我國更應持續關注國際趨勢,結合自身需求制訂相關法規以完善相關法制,並積極推動國際合作以確保國內產業發展銜接國際標準。 [1]Office of the Privacy Commissioner of Canada [OPC], G7 DPAs’ Communiqué: Privacy in the age of data (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/communique-g7_241011/ (last visited Feb 3, 2025). [2]Id. at para. 5. [3]Id. at para. 7-9. [4]Office of the Privacy Commissioner of Canada [OPC], Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_ai/ (last visited Feb 3, 2025). [5]Office of the Privacy Commissioner of Canada [OPC], Statement on AI and Children (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_child-ai/ (last visited Feb 3, 2025). [6]Office of the Privacy Commissioner of Canada [OPC], Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/de-id_20241011/ (last visited Feb 3, 2025). [7]Office of the Privacy Commissioner of Canada [OPC], Statement on Generative AI (2023), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2023/s-d_20230621_g7/ (last visited Feb 3, 2025). [8]Supra note 4, at para. 11. [9]Supra note 4, at para. 18. [10]Supra note 5, at para. 5-6. [11]Supra note 5, at para. 7. [12]Supra note 6, at para. 11-15. [13]Supra note 6, at para. 16-19. [14]Supra note 6, at para. 20-25. [15]Office of the Privacy Commissioner of Canada [OPC], G7 Data Protection and Privacy Authorities’ Action Plan (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/ap-g7_241011/ (last visited Feb 3, 2025).
中國大陸「網路預約出租汽車經營管理暫行辦法」所謂中國大陸《網路預約出租汽車經營管理暫行辦法》,是指中國大陸針對目前在各國都陸續發生法律爭議的網路出租車叫車平臺,例如源自美國加州舊金山的優步(Uber),或是中國大陸當地發展的滴滴打車服務,所制定的專法規範,以期解決網路出租車叫車平臺所可能產生的法律爭議。 類似Uber的服務型態,之所以會產生法律爭議,主要是因為汽車運輸載客的商業行為,在各國都會受到汽車運輸業的相關管制,以保障運輸服務乘客安全及消費權益。以德國為例,就曾因此對Uber進行行政處罰,並進一步於司法判決中要求Uber司機需取得營運牌照。 也因此中國大陸交通運輸部在2016年7月14日通過,並於2016年11月1日起施行《網路預約出租汽車經營管理暫行辦法》,該規定將網路預約出租汽車服務定義為「預約出租客運」,平台業者需負擔車輛營運、收益分配與司機管理等等的任務,且其地位為中國大陸汽車運輸載客法規中的客運服務承運人,需負擔相當責任,而並非如Uber等所主張的其僅為仲介平台,不具客運服務承運人之地位。 此外,該辦法亦要求網路預約出租汽車之司機應滿足無交通肇事犯罪紀錄、無危險駕駛犯罪紀錄、無吸毒紀錄、無飲酒後駕駛紀錄、無暴力犯罪紀錄等條件。