日本公布設立AI安全研究所與著手訂定AI安全性評鑑標準

　　美國國家標準技術局（National Institute of Standards and Technology, NIST）於近日（2013年7月）更新電子簽章的技術標準「FIPS (Federal Information Processing Standard) 186-4數位簽章標準」，並經商務部部長核可。NIST於1994年首次提出電子簽章標準，旨在提供工具可資促進數位時代的信賴性，後續也隨著技術進步與革新，而有多次修訂。此次修訂，主要是調合該標準，使之與NIST其他加密相關指引（如金鑰加密標準）一致，以避免將來可能產生的矛盾。 　　此次增訂，亦明列出三種可保護資料的簽章產製與確認技術：數位簽章演算法（Digital Signature Algorithm, DSA）、橢圓曲線簽章演算法（Elliptic Curve Digital Signature Algorithm, ECDSA）、以及RSA公眾金鑰演算法（Rivest-Shamir-Adleman Algorithm, RSA）。 　　其他修訂的部分，還包括語彙的明晰化，以及降低對於隨機號碼產生器的利用限制…等。

　　為了有效管理歐洲食品安全局（European Food Safety Authority, EFSA）內部各項活動間之利益管控與監督，EFSA日前於3月5日公布利益申報（Declarations of Interest, DOIs）施行規則（Implementing Rules），並計畫於2012年7月1日正式實施，且同時搭配一個為期4個月的過渡（Transition Period）配套措施方案。該利益申報施行規則，乃為EFSA於今年初所核准之「獨立性與科學決策過程」（Independence and Scientific Decision-Making Processes）政策的基礎規範項目之一。 　　本次EFSA所頒布之利益申報施行規則，其訂定之理由係因，原任職於EFSA旗下基因工程植物之首席風險評估專家，轉任至一家專門研發及生產該種植物之生物科技公司；為避免並且釐清相關因該事件所衍生之利益衝突問題，乃制定本規範。故此，為具體有效管理EFSA內部人員與其他涉及EFSA各項活動之機構間的利益監督事宜，EFSA遂進一步於今年初開始著手進行相關措施之規劃。目前該利益申報施行規則除了主要針對EFSA旗下之各層級人員訂定各項利益類型之規範準則外，更重要的是，其亦提供其旗下之專業科學研究人員，各項能有效具體確認其利益界線之劃分的保護措施。由於該利益申報施行規則授與EFSA選取與管理利益申報議題若干彈性，因此EFSA能具體且有效的利用相關規範延攬頂尖研究人員，進而協助EFSA提升其內部研發人員之創新研發能力。 　　政府機關成員之利益申報與迴避問題，乃為全球各國政府需面對之問題，而對於如何有效且彈性的進行相關議題之管控，更是相關政策制訂時需加以考量之點。EFSA之利益申報施行規則不僅有效管理內部人員之利益衝突與申報問題，同時亦藉由彈性的管理規範方式，延攬優秀頂尖人才，達到具體提升研發水準之功效；對此，EFSA之規範方式與運作成效，實值得加以觀察與效仿。

印度於2025年11月13日公布《數位個人資料保護規則》（Digital Personal Data Protection Rules，下稱DPDP規則，位階近似於我國個人資料保護法施行細則），作為2023年8月制定《數位個人資料保護法》（Digital Personal Data Protection Act，下稱DPDPA）之配套規範。DPDPA為印度首部全面性個資保護立法，並與DPDP規則採三階段施行。第一階段自2025年11月13日起，重點包括定義規定、印度資料保護委員會（Data Protection Board of India, DPBI）之設立與權限。第二階段自2026年11月13日起，聚焦於印度特有之「同意管理人（Consent Manager）」制度。第三階段自2027年5月13日起，全面施行資料處理者（Data Fiduciary，意涵近似於歐盟一般資料保護規則（GDPR）所稱資料控管者，惟更強調對資料主體負有信賴義務與善良管理責任）一般義務、兒童資料保護、重要資料處理者制度、當事人權利、跨境傳輸及適用除外等規定。其制度重點如下： 一、明確化告知與同意規範：DPDP規則要求資料處理者於取得資料主體同意前，須以獨立且易懂之方式提供告知，清楚說明個人資料類型、利用目的及所提供之商品或服務，並提供同意撤回、權利行使及申訴之管道。 二、建立同意管理人制度：此制度使資料當事人得透過第三方集中管理其對不同資料受託者之同意狀態，並隨時檢視或撤回其同意。DPDP規則就其資格、義務、登錄程序及監理機制加以規範，並賦予DPBI對其進行調查與裁罰之權限。 三、強化資安措施與侵害通報：DPDP規則明定資料受託者應採取安全維護措施，其最低標準包括加密、存取控制、日誌保存、監控、備份及資料處理相關契約管理等。另建立個資侵害通報制度，要求即時通報資料當事人及DPBI，並於72小時內補充完整資訊。 四、加重大型平台與特定資料保護機制：DPDP規則要求大型電子商務、線上遊戲及社群平台於三年未互動且無保存義務時刪除個人資料；並就18歲以下兒童及受法定監護者，要求取得可驗證之法定代理人同意。另中央政府得指定「重要資料處理者（Significant Data Fiduciary）」，課予定期影響評估、稽核及設置資料保護長之義務。 五、規範權利行使、跨境傳輸與除外規定：DPDP規則要求資料受託者及同意管理人於其網站或應用程式中，清楚揭示權利行使方式及身分驗證程序；跨境傳輸採「原則開放、例外限制」模式，由政府另行指定限制國家或對象；另就研究、保存及統計目的之資料處理，DPDP規則明定在未造成個人權益之影響下，且資料受託者已採取適當技術與組織措施，始得適用除外規定。

　　法國國家資訊自由委員會（Commission nationale de l’informatique et des libertés, CNIL）自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴，並展開調查。嗣後，CNIL於2021年12月16公布調查結果，認為Clearview AI公司蒐集及使用生物特徵識別資料（biometric data）的行為，違反《一般資料保護規範》（General Data Protection Regulation，GDPR）的規定，分別為： 非法處理個人資料：個人資料的處理必須符合GDPR第6條所列舉之任一法律依據，始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料，並用於臉部辨識軟體的開發，其過程皆未取得當事人之同意，故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利：Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使，特別是資料查閱權，並且忽視當事人的個資刪除請求。 　　因此，CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態，包括：（1）在沒有法律依據的情況下，停止蒐集及使用法國人民的個資；（2）促進個資主體行使其權利，並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明，則CNIL可依據GDPR進行裁罰，可處以最高 2000萬歐元的罰鍰，或公司全球年收入的4%。