歐盟與美國宣布就新的跨大西洋資料傳輸框架達成原則性協議

　　歐盟自2009年6月通過並於同年8月生效之「第723/2009號歐盟研究基礎設施聯盟法律架構規則」（COUNCIL REGULATION (EC) No 723/2009 of 25 June 2009 on the Community legal framework for a European Research Infrastructure Consortium (ERIC)，簡稱第723/2009號規則），其乃希望能促進各會員國間各自分散的研究基礎設施（Research Infrastructures，簡稱RIs）之資源凝聚及共享，讓原本僅為設施設備的RIs整合起來，透過由3個以上歐盟會員國作為某特定ERIC成員之方式，依第723/2009號規則向歐盟執委會提出ERIC設立申請，經執委會同意後，ERIC即可取得獨立法律地位及法律人格，以自己名義獲得、享有或放棄動產、不動產及智慧財產，以及締結契約及作為訴訟當事人，並得豁免無須被課徵加值稅（value added tax）和貨物稅（excise duty）等稅賦。歐盟創設ERIC法律架構之目的，是希望能透過國際合作、彙集國際資源，在歐盟建立起頂尖研發環境，吸引跨國研發活動集中與進駐，利用規模化的大型研究基礎設施導引出世界級研發。 　　截至目前，由奧地利、比利時、捷克、德國、荷蘭等國作為成員及瑞士作為觀察員所建立之「歐盟健康、老化及退休調查」（The Survey of Health, Ageing and Retirement in Europe，簡稱SHARE），乃是歐盟首次提出申請且正式設立之ERIC。SHARE-ERIC乃一大型的人口老化多國研究資料庫，並已收錄45,000筆以上年齡50歲以上個人之健康、社經地位及社會家庭網絡之跨領域及跨國籍資料，SHARE-ERIC之資料分析除將有助歐盟國家就老化社會之福利系統為規劃，更預期將成為推動其活動及健康老化歐盟創新伙伴試行計畫之重要基石。 　　除此之外，自2008年起由歐盟撥款500萬歐元籌備成立之「生物銀行及生物分子資源研究基礎機構」（Biobanking and Biomolecular Resources Research Infrastructure，簡稱BBMRI），從2008年至今（2011）年1月底3年籌備期間，已募得30個以上國家之53個會員聯盟以及280個聯繫組織（大部分為生物銀行），預計將建立成為最大的泛歐生物銀行，病患及歐盟人口之樣本與資料之介面，以及頂尖生醫研究之介面，且為了要BBMRI-ERIC，BBMRI指導委員會業已擬定「BBMRI-ERIC備忘錄」提供予有興趣之會員國家簽署，希望能在今年底前成立BBMRI-ERIC。

　　儘管類似 Google News 提供新聞連結的作法在網路上屢見不鮮， Google 也認為其行為完全合法，但 比利時布魯塞爾法院於 9 月 5 日 作出的判決，仍要求 Google 在沒有獲得對方允許或支付相應費用的情況下，應 停止從法語報紙上節錄新聞片段，否則將會面臨每天一百萬歐元的罰款。 Google 雖因此暫時移除了相關新聞的轉載連結，卻打算對此判決提起上訴。 　　該案法官指出， Google 在這些報章媒體網站更新相關新聞後，才在 Google 網站上提供轉載內容，法院認為這不但侵害了作者的著作權，且違反比利時有關資料庫的法律。除了移除轉載連結外，法院也要求 Google 必須在 Google 比利時網站上公布該判決內容，否則另須繳交每日五十萬歐元的罰款。 　　這起控告 Google 的訴訟是由比利時出版集團 Copiepresse 所提起的，該集團代表比利時境內多家法語及德語報社，亦為一管理比利時法語及德語媒體著作權的專門機構。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。