美國商務部國家電信和資訊管理局呼籲透過第三方評測提高AI系統透明度

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。

　　菲律賓最高法院於2013年2月5日延長了之前（2012年10月9日）對於網路犯罪防制法（Cybercrime Prevention Act of 2012），所做出的120日暫時限制適用令（Temporary Restraining Order），表示此一法令暫時尚無法正式施行。對此，菲國參議員多表示贊成，而對於該法主要的批評包括過度侵害言論自由、違反程序正義、比例原則以及一事不兩罰原則，並可能導致「寒蟬效應」，先前聲請停止該法施行的相關人士則認為該法過於模糊且規範範圍過廣。 　　該法之具體適用爭議如：（1）ISP業者僅因刊登誹謗性言論，即可能遭致處罰。（2）該法12條授權主管機關可即時蒐集利用電腦系統之特定通訊資料。（3）網路使用者可能被認定為網路犯罪之幫助或教唆者而被處罰。（4）政府可能依據此法蒐集網路使用者之各種資料。 　　不過，菲國檢察總長Francis Jardeleza 對此則表示，此法雖有缺陷，但亦尚未至完全可廢止之程度。另外，尚有菲律賓全國記者聯盟（National Union of Journalists of the Philippines, NUJP）與菲律賓網路自由聯盟（Philippine Internet Freedom Alliance, PIFA）對此限制適用令表示支持，並認為對於法令與自由衝突爭議正方興未艾。

　　據統計，英國因為盜版軟體的猖獗，每年損失高達16億英鎊，且有持續上升之趨勢。為遏止網路侵權行為，英國高等法院（the High Court）日前命令該國包含BT、NTL、Telewest等10家ISPs業者，需提供用戶資料以協助權利人進行網路侵權行為案件之調查。 　　本案源自於反盜版聯盟（ Federation Against Software Theft，簡稱Fast）於2005年1月之要求。FAST經過長達一年之調查，鎖定了150個利用P2P軟體非法進行資料分享之個人，為進一步取得渠等之個人資料，Fast於日前請求英國法院，命令各該業者交出相關侵權者之資料。高等法院根據資料保護法（Data Protection Act）之規定，同意Fast之請求，下令ISPs業者必須在兩個禮拜內提供侵權行為人之姓名、地址與其他個人詳細資料，以利Fast會同警察及檢察官進一步調查侵權情形並提起告訴。 　　目前軟體業者對於網路盜版軟體之處理方式，大多是透過『通知即取下』（ Notice and Take-down）程序，要求網站業者協助，將侵權軟體刪除或移除連結，但遭取下之連結，隨時有可能在其他網站上再次被公布，並無法真正解決侵權行為之問題。唯有直接將侵權者繩之以法，始可能達到嚇阻之效果。但權利人卻往往礙於難以取得侵權者之真實姓名與聯絡方式，而無法對侵權者有效提起民刑事訴訟以維護其權利。Fast表示，此次行動只是其策略的第一步，最終希望能達到在發現網路侵權行為發生之當下，便能立即要求ISPs業者提供該侵權行為者之資料。 　　若侵權行為罪名成立，這些透過 P2P 軟體進行網路侵權行為者將可能被處以 2 年以下有期徒刑或無上限之罰金。

　　經濟部、金管會刻正規畫將企業員工分紅改列費用，並預計自九十六年度實施，以與國際會計處理原則接軌，預料將對高科技業將造成相當之衝擊。 　　國際會計準則都是將分紅列為費用計算，唯獨台灣是用盈餘在分配員工分紅，為與國際會計準則接軌，將分紅列入費用應是未來趨勢，可讓財報更加透明化，新今年 4 月 28 日 立法院修正通過的商業會計法第 64 條規定，公司企業應將員工分配盈餘在財報上改列為費用，以公平市價作為計算基準，並將另採行政命令或解釋令公布入帳方式。 　　不過員工分紅若以市價列入費用，公司帳上賺的錢就會減少，尤其是高價股、高配股的公司影響尤甚；另一方面，新規定亦可能使這些公司趕採股票選擇權，以或提高底薪、現金分紅等方式來降低衝擊，否則若是獲利都被「員工配股」稀釋光了，財報會非常難看。因此，高科技業者則希望主管機關能放寬買回庫藏股分配員工及員工認股權證規定，以降低衝擊。