美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令

　　美國司法部（United States Department of Justice）與11個州檢察總長2020年10月20日於哥倫比亞特區地方法院聯合向Google提起反托拉斯民事訴訟，依據《休曼法》（Sherman Act）第2條，以「非法利用優勢地位進行排他行為，強化自身市場力量」為由起訴 Google。美國司法部認為，Google利用自身在電子數位設備提供搜尋服務和搜尋廣告市場（search advertising markets）的壟斷地位，損害競爭對手和消費者利益，並利用特殊協議和商業慣例，佔據美國九成以上的搜尋市場，在網頁瀏覽器和手機搜索領域建立難以被超越的商業優勢。Google的反競爭策略（anticompetitive tactics）讓它能維持甚或擴大壟斷地位，削弱競爭並扼殺創新。 　　美國司法部與阿肯色州、佛羅里達州、喬治亞州等11個州聯合提出訴訟，指稱Google達成一系列的排他性協議（exclusionary agreements），要求將Google設置為數十億用戶之手持行動裝置或電腦的預設搜尋引擎，並且在許多情況下禁止預先安裝（preinstallation）競爭對手軟體。起訴書指稱Google透過以下方式違法維護搜尋和搜尋廣告的壟斷地位：（1）簽訂排他性協議，禁止預先安裝任何競爭對手的搜尋服務；（2）無視消費者意願，包裹式（tying）安排強迫Google搜尋軟體APP需預先安裝在行動設備的主要位置，且不可刪除；（3）與Apple達成長期協議，將Google作為Safari瀏覽器或其他搜尋工具的預設搜尋引擎（但實際上是獨家搜尋引擎）；（4）利用自身獨占優勢和利潤，給予設備商、網頁瀏覽器業者和其他搜尋工具業者更多的優惠待遇，創造無間斷的強化獨占循環。 　　司法部認為，Google的反競爭措施阻止其它競爭對手達到經營規模，進而消除美國大多數搜尋查詢的競爭。也因為限制競爭，Google得以降低搜尋品質（例如引起隱私、資料保護、和消費者利用爭議等），從而損害消費者並阻礙創新；此外Google可以向廣告客戶收取高於市場價格之費用，並降低客戶服務品質。 　　而面對美國司法部控訴，Google表示這些指控具有「嚴重瑕疵」（deeply flawed），消費者選擇Google並非被強迫，而是因為Google是最優秀的搜尋工具。蘋果的Safari瀏覽器預設使用Google搜尋，是因為蘋果公司認可Google搜尋的品質，且競爭對手（Bing和Yahoo!）亦以付費方式出現在Safari介面可供消費者選擇。而微軟在Windows設備上預載之Edge瀏覽器，是以Bing為預設搜尋工具。此外，Google和Android營運商和設備商簽訂促銷協議以推廣Google，該協議可以直接降低手機價格；但即使簽署協議，Android仍會預載其他競爭者的APP和APP Store。是故，Google認為司法部若勝訴，將讓消費者只能用品質較差的搜尋工具以及支付更高的手機價格。

　　經過了一整年向各界諮詢與彙整各方意見後，美國國家衛生研究院（NIH）於今年8月底，公布其所資助之GWAS基因型與表現型數據資料庫（genotype-phenotype datasets）之分享近用方針。此方針希望在保障研究參與者的個人隱私前提下，協助科學研究社群取得相關基因數據資料。GWAS數據資料對科學有顯著的幫助，並具有龐大的潛在公共利益，然而，提供個人的基因型與表現型資料進行科學研究，涉及個人隱私與秘密之保護，故具有高度的敏感性而受到大眾關切。 　　因此，NIH在訂定這項方針時，為了搜集各方意見，首先於去年5月，宣布計畫更新GWAS的數據資料分享政策，後於去年8月公開徵詢大眾對方針之意見，次又依據所蒐集之各方意見，於去年12月針對此分享政策舉辦會議進行討論，根據這些討論所形成之共識，併同NIH內部討論之結果，最後形成此項分享政策。 　　方針中指出，如何在促進科學研究之目的，與保護相關參與人的權利間取得平衡，是相當重要的議題，故本方針分別對研究人員近用之程序、基因數據資料的處理與參與者權利之保護進行詳細規範。舉例來說，本方針要求欲近用資料庫的研究人員，提供其研究必須使用此資料庫的書面說明資料；另外也會對所有存放在資料庫的數據資料進行去個人化處理，使該項資訊無法再以技術判別，並使用隨機方法加密，以確保參與者的隱私與保密資料不遭外洩。根據NIH表示，此方針雖然僅是對GWAS數據資料庫的近用作規範，但未來亦有意將其作為近用其他類似資料庫的規範參考架構。

歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 　　歐盟執委會（European Commission）於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity）[1]，規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 　　為落實歐盟「2030數位羅盤」（2030 Digital Compass）政策，實現「公共服務數位化」之核心願景，歐盟推行數位身分框架，規劃於2030年前歐盟全境須有80%民眾使用電子身分證，以強化歐盟境內所有民眾（包括身心障礙人士）公共服務之近用權（right of access）。執委會於2021年6月3日公布的數位身分框架修正案，主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」（簡稱eIDAS規則[2]），依據該規則第49條，對其運作情形進行評估（An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation），同步考量技術、市場發展，針對當中不合時宜之規定為增修，並於2020年7月24日至10月2日進行公眾意見徵詢。 　　根據修正案內容，會員國必須提供公民和企業數位身分錢包（Digital Identity Wallet），此可透過會員國認可的公務機關或私人企業提供，錢包能夠將國家數位身分識別（national digital identities）與其他個人身分證明（例如駕照、證照、銀行帳戶）進行連結，使歐盟公民和企業能夠經由使用數位錢包來進行身分識別，以方便近用線上服務，例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店，租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可，使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 　　eIDAS規則作為歐盟境內電子身分識別（identities）、認證（authentication）和網站憑證（website certification）跨境使用的法律基礎架構[4]，此次修正案旨在使各會員國的數位身分（eID）計畫於歐盟境內具互操作性（interoperable），以促進近用線上服務。重點內容如下： 一、會員國所發行歐洲數位身分錢包，須通過歐洲網路安全認證框架內的強制性合規評估（compulsory compliance assessment）和自願認證（voluntary certification）。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用，使用者得以利用數位身分作為識別與驗證其身分之有效工具，以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度，意即得以自主決定是否與第三方分享特定個人資料，並可追蹤其資料之後續利用。 三、賦予個人電子身分證明（electronic attestations of attributes），如醫療證書或專業資格等電子證書的法律效力，並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證，以防止欺詐。 四、擴大跨境eID計畫的相互承認，降低各會員國於電子身分識別服務的差距；並加強信賴服務提供的整體監管框架，針對信賴服務提供商（trust service providers），新增為管理遠端電子簽章和封條（seal）產製設備（creation devices）所建立的新合格信賴服務（Qualified Trust Service, QTS）類型。 五、新增電子帳本（electronic ledgers）的信賴服務框架；電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡（audit trail），能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案（self-sovereign identity solutions）、將所有權歸屬於數位資產與記錄業務流程等具備重要性，此有助實現更加去中心化（decentralized）的治理模式，並使多方合作成為可能。 六、於數位服務法案（Digital Services Act）中所定義的超大型線上平台（very large online platforms），將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 　　歐盟數位身分框架修正案，旨在解決 eIDAS 規則部分瑕疵，以順應市場動態和技術發展，包含承認電子身分證明、電子帳本之法律效力，擴增新合格信賴服務類型等，並作為歐盟建立數位身分認證政策的基礎規範，確保使用者於近用私人或公共服務時，可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會（European Parliament）內已送交產業、研究暨能源委員會（Industry, Research and Energy Committee, ITRE）進行審議[5]，值得持續追蹤其未來發展。 　　近來受新冠肺炎（COVID-19）保持社交距離影響，推動企業朝數位轉型發展；執行遠距辦公政策，亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範，自2002年4月1日起正式施行後至今未為修訂，實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類，並對於數位簽章之技術有一定規範，惟未賦予相異之法律效力，使得其區分不具太大效益。建議可參酌eIDAS規則中，對於信賴服務提供者區分為不同層級規範，並給予經主管機關審核通過之合格信賴服務提供者，所提供的信賴服務具有更高的法律效力。 　　此外，我國欲推行數位身分證（New eID）政策，提供我國人民網路上身分識別之證明，連結政府骨幹網路（T-Road）串接各類電子政府服務，提升民眾近用公共服務的便利性，惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案，考量因應科技革新、商業模式創新等要素，對於身分識別相關規範進行修正與更新，以促進電子化政府及電子商務之發展，提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663　(last visited Aug. 24, 2021). [4] 李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）；謝明均，簡介〈歐盟提供合格信任服務者依循標準建議〉，科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687（最後瀏覽日：2021/08/24）。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY （EUID）, EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid　(last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉，行政院新聞傳播處，2021/01/21，https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a （最後瀏覽日：2021/08/24）。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 歐盟人工智慧辦公室（European AI Office）於2024 年 11 月 14 日發布「通用人工智慧實踐守則」（General-Purpose AI Code of Practice）草案，針對《人工智慧法》（Artificial Intelligence Act, AIA）當中有關通用人工智慧（General Purpose Artificial Intelligence, GPAI）之部分，更進一步闡釋相關規範。 本實踐守則草案主要分為4大部分，分別簡介如下： （1）緒論：描述本守則之4個基本目標，包含協助GPAI模型提供者履行義務、促進理解人工智慧價值鏈（value chain）、妥適保障智慧財產權、有效評估且緩解系統性風險（systemic risks）。 （2）GPAI模型提供者：有鑒於GPAI模型對於下游系統而言相當重要，此部分針對模型提供者訂定具體責任。不僅要求其提供訓練資料、模型架構、測試程序等說明文件，亦要求制定政策以規範模型用途防止濫用。另於智慧財產權方面，則要求GPAI模型提供者遵守「歐盟數位單一市場著作權指令」（Directive 2019/790/EC）之規定。 （3）系統性風險分類法（taxonomy）：此部分定義GPAI模型之多種風險類別，諸如可能造成攻擊之資訊安全風險、影響民主之虛假資訊、特定族群之歧視、超出預期應用範圍之失控情形。 （4）高風險GPAI模型提供者：為防範系統性風險之危害，針對高風險GPAI模型提供者，本守則對其設立更高標準之義務。例如要求其於GPAI模型完整生命週期內持續評估風險並設計緩解措施。 本守則發布之次週，近千名利害關係人、歐盟成員國代表、國際觀察員即展開討論，透過參考此等回饋意見，預計將於2025年5月確定最終版本。