美國聯邦貿易委員會(FTC)提議加強兒童隱私規則,以進一步限制企業將兒童的資訊用來營利
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2023年12月對《兒童線上隱私保護規則》(Children's Online Privacy Protection Rule, COPPA Rule)提出修法草案,並於2024年1月11日公告60日供公眾意見徵詢。
FTC依據兒童線上隱私保護法(Children's Online Privacy Protection Act, COPPA)第6502節授權,訂定COPPA Rule,並於2000年通過生效,要求網站或提供線上服務的業者在蒐集、使用或揭露13歲以下兒童的個人資訊之前必須通知其父母,並獲得其同意。本次提議除了限制兒童個人資訊的蒐集,亦限制業者保留此些資訊的期間,並要求他們妥善保存資料,相關規定如下:
(1)置入固定式廣告時需經認證:COPPA所涵蓋的網站和線上服務業者現在需要獲得兒童父母的同意並取得家長的授權才能向第三方(包括廣告商)揭露資訊,除非揭露資訊是線上服務所不可或缺之部分。且因此獲悉的兒童永久身分識別碼(persistent identifier)也僅止於網站內部利用而已,業者不能將其洩漏予廣告商以連結至特定個人來做使用。
(2)禁止以蒐集個資作為兒童參與條件:在蒐集兒童參與遊戲、提供獎勵或其他活動的個資時,必須在合理必要的範圍內,且不能用個資的蒐集作為兒童參與「活動」的條件,且對業者發送推播通知亦有限制,不得以鼓勵上網的方式,來蒐集兒童的個資。
(3)將科技運用於教育之隱私保護因應:FTC提議將目前教育運用科技之相關指南整理成規則,擬訂的規則將允許學校和學區授權教育軟硬體的供應商將科技運用於蒐集、使用和揭露學生的個資,但僅限使用於學校授權之目的,不得用於任何商業用途。
(4)加強對安全港計畫的說明義務:COPPA原先有一項約款,內容是必須建立安全港計畫(Safe Harbor Program),允許行業團體或其他機構提交自我監督指南以供委員會核准,以執行委員會最終定案的防護措施,此次擬議的規則將提高安全港計畫的透明度和說明義務,包括要求每個計畫公開揭露其成員名單並向委員會報告附加資訊。
(5)其它如強化資訊安全的要求以及資料留存的限制:業者對於蒐集而來的資訊不能用於次要目的,且不能無限期的留存。
FTC此次對COPPA Rule進行修改,對兒童個人資訊的使用和揭露施加新的限制,除了將兒童隱私保護的責任從孩童父母轉移到供應商身上,更重要的是在確保數位服務對兒童來說是安全的,且亦可提升兒童使用數位服務的隱私保障。
- FTC Proposes Strengthening Children’s Privacy Rule to Further Limit Companies’ Ability to Monetize Children’s Data, Federal Trade Commission
- FTC Proposes Further Limits to Collection of Children’s Data (1), Bloomberg Law
- FTC proposes strengthening children’s online privacy rules to address tracking, push notifications, AP news
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
梁家祥
副法律研究員 編譯整理
FTC Proposes Strengthening Children’s Privacy Rule to Further Limit Companies’ Ability to Monetize Children’s Data, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/12/ftc-proposes-strengthening-childrens-privacy-rule-further-limit-companies-ability-monetize-childrens (last visited Feb.19, 2024).
FTC Proposes Further Limits to Collection of Children’s Data (1), Bloomberg Law, https://news.bloomberglaw.com/privacy-and-data-security/ftc-proposes-further-limits-to-collection-of-childrens-data (last visited Feb.19, 2024).
FTC proposes strengthening children’s online privacy rules to address tracking, push notifications, AP news, https://apnews.com/article/ftc-children-social-media-games-coppa-352ba63293832ee930f0c137aac735de (last visited Feb.19, 2024).
美國農業部( USDA )在今( 2006 )年 8 月 18 日 公布,在 Arkansas 及 Missouri 的米倉發現,這些地方所儲存的美國長粒米( long grain rice )中含有 Bayer CropScience 未經核准的基因改造生物種。高品質的長粒米米粒細長,具有 20 %~ 25 %的中直鏈澱粉含量,米飯柔軟但鬆散,冷飯不變硬,在國際稻米市場有很高的評價,價格也最高。進口此型白米的國家有西歐、中東、加勒比海各國、新加坡、馬來西亞等,出口國為泰國,在歐洲市場上的售價,美國米略高於泰國米。美國長粒米的主要生產地是在 Arkansas ,意外事件發生時,當地農夫正在收成稻米。 截至目前 8 月底,美國本土因為基改稻米的基因污染了美國長粒米( U.S. long grain rice )的供應,而向 Bayer CropScience 提出損害賠償的訴訟已有三起,主要內容為請求因為基因污染致美國長粒米的價格下跌的損害賠償。另 由於相關的安全審查並未檢測出來此次流入外銷市場的美國長粒米,因此 雖然 USDA 表示混入 GMO 的長粒米並不會對人體或環境造成危害,但 世界各大進口國仍採取了相關緊急措施。 例如,日本於此消息一經公布後,當即停止美國長粒米的進口,而歐盟則表示只有經檢測證實從美國進口的長粒米未含有 Bayer CropScience 所研發尚未經許可之 GMO 特性,始得上架販售。
世界衛生組織發布歐洲區域人工智慧於醫療系統準備情況報告,責任規則為最重要之關鍵政策因素世界衛生組織發布歐洲區域人工智慧於醫療系統準備情況報告,責任規則為最重要之關鍵政策因素 資訊工業策進會科技法律研究所 2025年12月18日 世界衛生組織(World Health Organization, WHO)於2025年11月19日發布「人工智慧正在重塑醫療系統:世衛組織歐洲區域準備情況報告」(Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region)[1],本報告為2024年至2025年於WHO歐洲區域醫療照護領域人工智慧(AI for health care)調查結果,借鑒50個成員國之經驗,檢視各國之國家戰略、治理模式、法律與倫理框架、勞動力準備、資料治理、利益相關者參與、私部門角色以及AI應用之普及情況,探討各國如何應對AI於醫療系統中之機會與挑戰。其中責任規則(liability rules)之建立,為成員國認為係推動AI於醫療照護領域廣泛應用之最重要關鍵政策因素,因此本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任,透過救濟與執法管道以保護病患與醫療系統之權益。 壹、事件摘要 本報告發現調查對象中僅有8%成員國已發布國家級醫療領域特定AI策略(national health-specific AI strategy),顯示此處仍有相當大之缺口需要補足。而就醫療領域AI之法律、政策與指導方針框架方面,46%之成員國已評估於現有法律及政策相對於醫療衛生領域AI系統不足之處;54%之成員國已設立監管機構以評估與核准AI系統;惟僅有8%之成員國已制定醫療領域AI之責任標準(liability standards for AI in health),更僅有6%之成員國就醫療照護領域之生成式AI系統提出法律要求。依此可知,成員國對於AI政策之優先事項通常集中於醫療領域AI系統之採購、開發與使用,而對個人或群體不利影響之重視與責任標準之建立仍然有限。於缺乏明確責任標準之情況下,可能會導致臨床醫師對AI之依賴猶豫不決,或者相反地過度依賴AI,從而增加病患安全風險。 就可信賴AI之醫療資料治理方面(health data governance for trustworthy AI),66%成員國已制定專門之國家醫療資料戰略,76%成員國已建立或正在制定醫療資料治理框架,66%成員國已建立區域或國家級醫療資料中心(health data hub),30%成員國已發布關於醫療資料二次利用之指引(the secondary use of health data),30%成員國已制定規則,促進以研究為目的之跨境共享醫療資料(cross-border sharing of health data for research purposes)。依此,許多成員國已在制定國家醫療資料戰略與建立治理框架方面取得顯著進展,惟資料二次利用與跨境利用等領域仍較遲滯,這些資料問題仍需解決,以避免產生技術先進卻無法完全滿足臨床或公衛需求之工具。 就於醫療照護領域採用AI之障礙,有高達86%之成員國認為,最主要之障礙為法律之不確定性(legal uncertainty),其次之障礙為78%之成員國所認為之財務可負擔性(financial affordability);依此,雖AI之採用具有前景,惟仍受到監管不確定性、倫理挑戰、監管不力與資金障礙之限制;而財務上之資金障礙,包括高昂之基礎設施成本、持續員工培訓、有限之健保給付與先進AI系統訂閱費用皆限制AI之普及,特別於規模較小或資源有限之醫療系統中。 就推動AI於醫療照護領域廣泛應用之關鍵政策因素,有高達92%之成員國認為是責任規則(liability rules),其次有90%之成員國認為是關於透明度、可驗證性與可解釋性之指引。依此,幾乎所有成員國皆認為,明確AI系統製造商、部署者與使用者之責任規則為政策上之關鍵推動因素,且確保AI解決方案之透明度、可驗證性與可解釋性之指引,也被認為是信任AI所驅動成果之必要條件。 貳、重點說明 因有高達9成之成員國認為責任規則為推動AI於醫療照護領域廣泛應用之關鍵政策因素,為促進AI應用,本報告建議應明確開發者、臨床醫生、資料提供者與醫療機構之責任,並建立相應機制,以便於AI系統造成損害時及時補救與追究責任,此可確保AI生命週期中每個參與者都能瞭解自身之義務,責任透明,並透過可及之救濟與執法管道以保護病患與醫療系統之權益;以及可利用監管沙盒,使監管機構、開發人員與醫療機構能夠在真實但風險較低之環境中進行合作,從而於監管監督下,於廣泛部署前能及早發現安全、倫理與效能問題,同時促進創新。 此外,WHO歐洲區域官員指出,此次調查結果顯示AI於醫療領域之革命已開始,惟準備程度、能力與治理水準尚未完全跟進,因此呼籲醫療領域之領導者與決策者們可考慮往以下四個方向前進[2]: 1.應有目的性地管理AI:使AI安全、合乎倫理與符合人權; 2.應投資人才:因科技無法治癒病人,人才是治癒病人之根本; 3.需建構可信賴之資料生態系:若大眾對資料缺乏信任,創新就會失敗; 4.需進行跨國合作:AI無國界,合作亦不應受限於國界。 參、事件評析 AI於醫療系統之應用實際上已大幅開展,就歐洲之調查可知,目前雖多數國家已致力於AI於醫材監管法規與資料利用規則之建立,據以推動與監管AI醫療科技之發展,惟由於醫療涉及患者生命身體之健康安全,因此絕大多數國家皆同意,真正影響AI於醫療領域利用之因素,為責任規則之建立,然而,調查結果顯示,實際上已建立醫療領域AI之責任標準者,卻僅有8%之成員國(50個國家中僅有4個國家已建立標準),意味著其為重要之真空地帶,亟待責任法制上之發展與填補,以使廠商願意繼續開發先進AI醫療器材、醫療從業人員願意利用AI醫療科技增進患者福祉,亦使患者於受害時得以獲得適當救濟。亦即是,當有明確之責任歸屬規則,各方當事人方能據以瞭解與評估將AI技術應用於醫療可能帶來之風險與機會,新興AI醫療科技才能真正被信任與利用,而帶來廣泛推廣促進醫療進步之效益。由於保護患者之健康安全為醫療領域之普世價值,此項結論應不僅得適用於歐洲,對於世界各國亦應同樣適用,未來觀察各國於AI醫療領域之責任規則發展,對於我國推廣AI醫療之落地應用亦應具有重要參考價值。 [1] Artificial intelligence is reshaping health systems: state of readiness across the WHO European Region, WHO, Nov. 19, 2025, https://iris.who.int/items/84f1c491-c9d0-4bb3-83cf-3a6f4bf3c3b1 (last visited Dec. 9, 2025). [2] Humanity Must Hold the Pen: The European Region Can Write the Story of Ethical AI for Health, Georgia Today, Dec. 8, 2025,https://georgiatoday.ge/humanity-must-hold-the-pen-the-european-region-can-write-the-story-of-ethical-ai-for-health/ (last visited Dec. 9, 2025).
英國競爭與市場管理局發布人才競爭指引英國競爭與市場管理局(Competition and Markets Authority,簡稱CMA)於2025年9月9日發布人才競爭指引(Competing for Talent),說明企業在勞動市場中採取何種行為可能會違反競爭法。 指引中指出三項於勞動市場中可能會違反競爭法的行為,分別是: (1)禁止挖角(no poach):指企業同意不向其他企業招募現職員工,或同意在未經他企業許可前,接觸或招募該公司的現職員工,此一行為可能違反競爭法;惟須考量與禁止招募條款(no-solicitation clauses)之差異,禁止招募條款係為避免企業離職員工或合作企業於一定期間內直接或間接招募企業員工、客戶或其餘合作夥伴,禁止招募條款於合理必要範圍內之限制並不違反競爭法。 (2)固定薪資(wage fixing):此為CMA近期的執法重點,指二個以上之企業就薪資及員工福利達成協議,包含薪資調漲幅度、設定薪資上限,或是依產業工會建議薪資來固定員工薪資等等。 (3)交換競爭敏感資訊(exchange of competitively sensitive information):係指競爭對手間不應交換競爭敏感資訊,包含定價方式、商業策略等等,即使接收方未根據獲得的敏感資訊採取對應措施,提供資訊方仍被認定為違反競爭法。 上述協議不以正式或是書面之方式達成一致為必要,企業間的社交聯繫、非正式的互動或君子協議(gentleman’s agreements)均屬之,且皆可能違反競爭法,違法之企業可能會面臨全球營業總額10%的罰款、禁止參與政府採購、面臨私人損害賠償訴訟等結果。 近年勞動市場與競爭法之議題正逐漸受到重視,除了英國,美國、歐盟、日本等亦發布相關指引文件,或對違反競爭法之企業進行調查或裁罰。我國公平交易委員會目前尚未針對此議題提出明確的論述,企業於勞動市場中限制競爭之行為,究竟如何適用公平交易法或屬勞動法範疇,仍有待相關部會進一步討論,相關國際發展趨勢仍可持續觀察作為我國公平交易法制發展後續參考方向。
韓國金融服務委員會發佈防止金融機構再度發生個人資料外洩之要求韓國於今年1月份爆發史上規模最大的個資外洩案,國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人,亦因此請辭以示負責。 為防止將來金融機構再次發生個人資料外洩等事件,韓國金融服務委員會(Financial Services Commission, FSC)與相關部會於3月份發佈一連串要求,以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段,包括蒐集、保存、使用和銷毀客戶資料時,都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利,包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任,包括提升首席資訊安全官(Chief Information Security Officer, CISO)獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制,以確保面對未來可能的資料外洩事故時,可迅速有效的應對。 韓國政府於於3月底已對不需修改法律之部分開始執行,而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。