美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突

新加坡金融管理局（MAS）於 2023 年中旬啟動「MindForge 計畫」，旨在協助金融機構強化其人工智慧（AI）風險管理能力。該計畫於2026年3月20日完成第二階段，並發布由MAS聯合24家領先銀行、保險公司與資本市場公司等產業夥伴共同開發的「人工智慧風險管理工具包」。該工具包內含「AI風險管理營運手冊」（下稱「營運手冊」）與「AI風險管理實施案例」（下稱「實施案例」），提供實務資源以管理涵蓋「傳統AI」、「生成式AI」及「新興代理型AI」技術的相關風險，確保產業能安全且負責任的導入AI。「營運手冊」依據MAS的監理期望，將AI 風險管理框架分為四大核心：一、範圍與監管：建立AI治理框架並釐清AI監督的角色與責任。二、AI風險管理：透過組織的系統、政策與程序，識別AI應用情境，進行風險重大性評估，並建立AI盤點清單。三、AI生命週期管理：實施AI應用完整生命週期的控制措施。四、促成因素：發展組織能力、基礎設施與資源，以確保能持續支持負責任的AI應用。「實施案例」則收錄如星展銀行（DBS）及瑞士寶盛（Julius Baer）等機構的AI風險管理實務。未來，MAS 將於「BuildFin.ai」倡議下成立專責小組，持續開發建構管理新興技術風險的框架。 相較於新加坡著重建立全方位治理架構，資訊工業策進會科技法律研究所創意智財中心（下稱「資策會科法所創智中心」）於同年 2 月發布之「金融業人工智慧（AI）風險管理實務指引」，則更強調將風險控管「整合」至既有流程中，透過與業務流程的結合實踐韌性管理。該指引奠基於「人工智慧基本法」，並進一步連結「台灣智慧財產管理規範（TIPS）」驗證角度，協助機構精準掌握應用情境並具體化風險。透過將管控機制立基於資安、資訊及智財三大支柱，降低法遵成本與業務衝擊，並藉由分階段與分級管理，引導金融機構從核心防護逐步深化管控機制。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　英國資訊委員辦公室（Information Commissioner's Office, ICO）2018年9月就監理沙盒為初步公眾意見徵詢，以瞭解其可行性。ICO監理沙盒之建立係依據英國2018-2021年科技策略（Technology Strategy for 2018-2021），並參考英國金融行為監理總署（Financial Conduct Authority, FCA）已成功發展之沙盒機制。ICO將提供組織於安全可控且不排除資料保護法規適用的環境下，以創新方式應用個資於開發創新產品與服務，並提供關於降低風險與資料保護設計（data protection by design）的專業知識和建議，同時確保組織採取適當安全維護措施。徵詢重點分為六部分： 障礙和挑戰（Barriers and Challenges）：歐盟一般資料保護規則（General Data Protection Regulation, GDPR）或英國2018年資料保護法（Data Protection Act 2018, DPA18）之適用，以及ICO之監管方法，是否造成組織以創新方式應用個資於開發創新產品與服務之障礙或挑戰。 適用之可能範圍（Possible scope of an ICO Sandbox） 了解參與益處（Understanding the benefits of involvement） 機制（Sandbox mechanisms）：於監理沙盒機制下不同階段提供指導，初期就如何解決資料保護相關問題提供非正式之指導（informal steers）；中期提供法律允許與具適當保護措施之監管指導，如對參與者進入沙盒期間內非故意違反資料保護原則之行為，不會立即受到制裁之聲明函（letters of comfort）、確認組織未違反相關資料保護法規等；以及針對新興技術和創新特定領域，提供解決資料保護挑戰之預期指導（anticipatory guidance），如訂定相關行為準則（code of conduct）。 時機（Sandbox timings）：包含開放申請進入沙盒時點、進入模式、是否彈性因應產品開發週期、測試階段期間等。 管理需求（Managing Demand）：如設定優先進入沙盒領域、類型、設定參與者數量上限等。 　　該諮詢於10月12日結束，2018年底將公布結果，值得持續追蹤，以瞭解ICO監理沙盒未來之發展。 　　ICO亦接續於10月建立監管機關業務和隱私創新中心（Regulators’Business and Privacy Innovation Hub），與其他監管機關合作提供資料保護之專業知識，以確保法規與未來的技術同步發展；該中心也將與ICO監理沙盒共同推動，支持組織以不同方式使用個資開發創新產品和服務。

　　英國醫學總會（General Medical Council, GMC）在2009年9月公佈了一份有關醫師保密義務的指南（Guidance for doctors - Confidentiality），該指南針對基因檢測資訊的部份指出，病患的基因資訊和一些其他的資訊，有時也會是和病患擁有共同基因或其它連結的其他人的資訊，因為，在病患身上所診斷出來的因有缺陷基因所造成的疾病，可能也就指出了和病患有血緣關係的親屬的發病可能性，或甚至是幾乎可以確定他們未來也會發病。此時，醫師要提醒病患應該立即通知也有可能有此有缺陷基因的親屬，以期能夠協助那些親屬接受預防治療或作更進一步的檢查，對潛在的健康問題有所準備。 　　然而，若是病患表示了反對的意思，例如病患是來自一個破碎的家庭，和親屬的關係並不良好，或是基於其它個人的理由，所以不願意告知親屬相關有缺陷基因的風險時，則指南提醒醫師應該要自行衡量身為醫師對於保護病患所需遵守的義務，以及協助保護他人免於嚴重傷害兩者之間孰輕孰重。此外，若經過醫師的判斷之後，決定要向那些親屬告知他們所可能面對的健康風險時，醫師必須要採行不會透露病患身份的方式為之。 　　當然此種基因檢測資訊的通知，引起了正反兩極的評價，反對者主張此舉將嚴重侵害病患隱私權，也可能損害了醫師與病患間資訊保密的原理原則。唯贊成者則指出，許多的基因疾病，如亨丁頓舞蹈症、囊狀纖維化(Cystic fibrosis)、血友病(Haemophilia)、及乳癌(Breast cancer)等，都有著極高的遺傳性及致死率，透過此一機制所能達到的早期警告的效果，或可使得帶有相同有缺陷基因的病患親屬，能夠對潛在的健康問題及早有所準備。且若該等親屬正要或未來要透過試管嬰兒取得下一代時，亦可在執行試管嬰兒的程序中進行篩檢，防止下一代的人生繼續遭受此種有缺陷基因所帶來的疾病。