歐盟與美國宣布就新的跨大西洋資料傳輸框架達成原則性協議

  歐盟委員會與美國白宮於2022年3月25日發布聯合聲明,宣布雙方已就新的跨大西洋資料傳輸框架達成原則性協議。此舉旨在因應2020年7月歐盟法院(Court of Justice of the European Union)於Schrems II案的判決中宣告「歐盟—美國隱私盾協定」(EU-US Privacy Shield Framework)不符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)而無效。依照該聯合聲明,新的框架將在雙方間資料流動的可預測性、可監督性、可信賴性以及可救濟性等方面進行補強,以充分維護公民的隱私與自由權利。

  目前,該框架仍處於原則性協議的階段,具體細節仍有待後續談判。聯合聲明指出,美國在下列三個方面做出了「重大承諾」:

  1. 加強控管美國的情報活動,以確保所追求國家安全目的適法,且所採取的手段係在必要範圍內,而未過度侵犯公民的隱私與自由。
  2. 建立具有約束力且獨立的多層次救濟機制,其中包含一個由非政府人員所組成的「個人資料保護審查法院」,並賦予該組織完全的審判權。
  3. 針對情報活動強化分層且嚴格的行政監督機制,以確保其合乎隱私與自由的新標準。

  上述原則性協議的達成,表面上無疑是一項好消息,將有助於解決雙方跨境資料傳輸的法源爭議,並避免持續演變成嚴重的歐美貿易爭端。然而,美國政府能否順利將新框架轉化為具有約束力的國內行政命令,仍存在相當多的不確定因素。若結果為否,則最終亦難以達成取得歐盟根據GDPR所為「適足性認定」(adequacy decision)的政策目標。

相關連結
你可能會想參加
※ 歐盟與美國宣布就新的跨大西洋資料傳輸框架達成原則性協議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8839&no=67&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
客戶機密資料外洩事件頻傳 美國AT&T 8月底也被駭

  美國資安事件頻傳,美國 8/30 驚傳電信及電報公司( AT & T )購物網站中之顧客消費資料遭駭客竊取事件。 AT & T 發言人表示工程師在發現異狀後一個小時內關閉該網站並已採取相關保護措施,據 AT & T 估計約 1 萬 9 千名在該網頁上以信用卡消費的顧客機密資料已外流,目前該公司正進行通知客戶之動作,並聯繫相關信用卡公司,期能將對顧客之損害降至最低。   AT & T 通知當事人之作法,符合美國立法之趨勢。目前美國除了部分州已經通過立法要求資料持有業者必須將資料外洩事件告知當事人外,今年 7 月 19 日 Virginia 州議員 Thomas Davis 亦提出美國聯邦法典第 44 編( title 44 )修正提案,該提案通過後將強化美國聯邦法典中對於個人資料外洩時資料收集者之告知義務,以避免當事人因此蒙受損失。   雖然法規要求漸趨嚴格、完整,但長期關注隱私權問題之 Privacy Rights Clearinghouse 估計,美國自去年 2 月起至今年 8 月底止,約有 9100 萬人次之機密資料遭到竊取,換言之,約 1/3 的美國人機密資料曾遭竊取或外洩,網際網路與駭客技術的發展使得機密資料今日已不再機密了。

加拿大隱私主管機關發布個人資料保存與處理指引文件

  在世界各國,無論是公務機關或非公務機關,均無可避免地大量蒐集個人資料,這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此,加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada,簡稱OPC)發布關於「個人資料保存與處理指引文件:原則與良好實作」(Personal Information Retention and Disposal:Principles and Best Practices),以協助聯邦機構與私人機構對組織內部保有之個人資料,做好妥善保存與處理。   OPC建議組織應在內部制定相關管理政策與程序,並於指引文件中提出11項參考要點,其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性?多久審查一次;2.對於保有之個人資料及保存目的是否進行清查與盤點?多久確認一次?3.個人資料儲存的形式與地點為何?是否有備份?4.法律是否有規定最低保存期限?5.組織如何處理個人資料與相關備份檔案?6.對於儲存個人資料之裝置或設備,是否採行適當地安全維護措施?7.個人資料保管與處理相關政策的核決人為誰?8.對於利用資料生命週期追蹤資料,是否存在適當管制程序?9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定?;是否有制定文件銷毀之安全措施?10.資料等候處理期間是否受到安全妥善之保管?11.對於使用資料之第三方,是否有透過合約或其他機制進行有效監督管控措施?是否制定定期查核機制?等,期以協助組織掌握政策與程序制定要領。

愛沙尼亞首創「數位遊牧簽證」吸引高收入高專業的數位遊牧民族

  2020年6月3日,愛沙尼亞議會通過了「外國人法(Aliens Act)」修正案,批准了全球首創專為「數位遊牧民族(Digital Nomads, DN)」設計的「數位遊牧簽證(Digital Nomad Visa, DNV)」,並於同年8月1日正式開辦。   「數位遊牧民族(DN)」為近年來興起的一種工作與生活型態,意指無需固定的工作時間與地點,只要有網路就能工作,通常是邊工作邊旅遊、經常在各國移動的生活型態,一般傳統的工作簽證或旅遊簽證較難直接適用。   今年因COVID-19疫情影響,許多人轉為遠距工作,也使更多人成為DN。而以數位治國聞名全球的愛沙尼亞,於2014年推出e-Residency(數位公民計畫)向全球招收數位公民後,進一步推出「數位遊牧簽證(DNV)」。DNV申請人可以是受雇者、企業經營者或是自由工作者,必須為外國企業工作、經營外國企業或是客戶位於國外(但不禁止在當地兼職);其次,申請人必須證明近6個月每月3,504歐元(約新臺幣12萬元)的收入,取得DNV者即可到當地居住一年。該政策看重其高收入、高消費能力,以及高專業性,能在IT、金融、行銷或相關領域獨立工作,為當地科技業提供創意與技術,帶動產業、增加產值;其在境內期間的收益亦可成為充實國家稅捐的標的,在經濟上具有正面效益,在社會上亦可增加多元性、開拓國際事業,並提升國際知名度。

落實完善數位資料管理機制,有助於降低AI歧視及資料外洩風險

落實完善數位資料管理機制, 有助於降低AI歧視及資料外洩風險 資訊工業策進會科技法律研究所 2023年07月07日 近年來,科技快速發展,AI(人工智慧)等技術日新月異,在公私部門的應用日益廣泛,而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出,隨著由OpenAI開發的ChatGPT取得成功,更促使各領域對於AI應用的高度重視與投入[1],與此同時,AI歧視及資料外洩等問題,亦成為社會各界的重大關切議題。 壹、事件摘要 目前AI科技發展已牽動全球經濟發展,根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力:下一個生產力前沿(The next productivity frontier)》研究報告指出,預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中,45%受訪者認為ChatGPT問世,增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險,僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料,將可能複製人類偏見,造成AI歧視問題,而且若程式碼有漏洞或帳戶被盜用時,亦會造成資料外洩問題。 貳、重點說明 首先,關於AI歧視問題,以金融領域為例,近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時,如決定是否能取得貸款,應確保申請人不受性別或膚色等歧視[4],同時亦有論者認為若用於訓練AI的歷史資料,本身存有偏見問題,則可能導致系統自動拒絕向邊緣化族群貸款,在無形之中加劇,甚至永久化對於特定種族或性別的歧視[5]。 其次,關於資料外洩問題,資安公司Group-IB指出因目前在預設情況下,ChatGPT將保存使用者查詢及AI回應的訊息紀錄,若帳戶被盜,則可能洩露機敏資訊。據統計在2022年6月至2023年5月間,在亞太地區有近41000個帳戶被盜,而在中東和非洲地區有近25000個帳戶被盜,甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時,ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外,甚至發生個人資料外洩問題,即用戶可能知悉他人的姓名、電子郵件,付款地址,信用卡到期日及號碼末四碼等資料[7]。 參、事件評析 對於AI歧視及資料外洩等問題,應透過落實完善數位資料治理與管理機制,以降低問題發生的風險。首先,在收集訓練資料時,為篩選適合作為模型或演算法基礎的資料,應建立資料評估或審查機制,減少或避免使用有潛在歧視問題的資料,以確保分析結果之精確性。 其次,不論對於訓練資料、分析所得資料或用戶個人資料等,均應落實嚴謹的資料保密措施,避免資料外洩,如必須對於資料進行標示或分類,並依照不同標示或分類,評估及採取適當程度的保密措施。同時應對於資料進行格式轉換,以無法直接開啟的檔案格式進行留存,縱使未來可能不慎發生資料外洩,任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時,亦應採取適當加密傳送機制,避免遭他人竊取,盜取帳戶或個人資料。 財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善,於2021年7月發布「重要數位資料治理暨管理制度規範(Essential Data Governance and Management System,簡稱EDGS)」,完整涵蓋數位資料的生成、保護與維護,以及存證資訊的取得、維護與驗證的流程化管理機制,故對於不同公私部門的AI相關資料,均可參考EDGS,建立系統性數位資料管理機制或強化既有機制。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023). [2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023). [3]Gartner, supra note 1. [4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023). [5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023). [6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023). [7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).

TOP