日本發布利用AI時的安全威脅、風險調查報告書，呼籲企業留意利用AI服務時可能造成資料外洩之風險

　　美國《國際緊急經濟權力法》（International Emergency Economic Powers Act, 50 U.S.C. §1701-1708，下稱IEEPA）是美國總統針對國際經濟局勢，進行多種經濟交易相關限制之法源依據─只要外來任何威脅造成美國家安全、外交政策或者經濟出現隱憂，美國總統即可按IEEPA依職權調查、管制或限制「任何與特定國家的外國匯兌交易、透過金融機構進行任何涉及該國利益的信貸移轉或支付、輸入或輸出外幣或證券；亦可凍結與特定國家或該國人民有關的財產權」。1979年，卡特總統（Jimmy Carter）援引IEEPA因應伊朗人質危機（Iran Hostage Crisis），係迄今最長時間的經濟制裁（sanction）；2001年的911空襲事件之後，美國國會大幅擴張IEEPA，同時制裁阿富汗（Blocking Property and Prohibiting Transactions with the Taliban）。近期的中美貿易戰中，IEEPA亦扮演重要角色。舉例而言，2019年5月15日，美國總統川普（Donald Trump）即以IEEPA發布〈行政命令：保護資通訊技術及服務之供應鏈〉（Executive Order on Securing the Information and Communications Technology and Services Supply Chain），並於翌日將華為及其遍布26國的68間子公司列入《出口管制規則》（Export Administration Regulations, EAR）之管制名單。 　　美國憲法起草時，並無談及緊急權力（emergency powers）之概念，所以在過去的兩個世紀，美國總統僅能個案處理（ad hoc）緊急狀況，國會再後續追認。20世紀以降，美國開始出現緊急權力模式─透過國會立法，將原應由國會代表人民行使的權力(delegated powers）授予總統在緊急狀況下直接行使。復有1976年的《國家緊急法》（National Emergencies Act，下稱NEA），而1977年通過的IEEPA即是依NEA為法源所設。當美國總統行使IEEPA，必須遵守NEA：立即向國會發送緊急命令公告，並且將之發布於聯邦公報（Federal Register），總統亦須闡明其發布該緊急命令所援引之法源依據。《國際緊急經濟權力法》中，公權力對於私經濟的介入，則可溯及第一次世界大戰末期的《1917年對敵貿易法》（Trading with the Enemy Act of 1917），當時出現始料未及的經濟動員（economic mobilization）與制裁。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

新冠疫情下日本的數位經濟實踐之路 資訊工業策進會科技法律研究所 2021年3月9日 　　2021年2月，日本經濟團體聯合會（以下簡稱「經團聯」）發布其所舉辦有關「後疫情時代的數位政府與數位經濟」之座談會研討內容。該座談會於2020年12月舉辦，主旨為探討日本持續推進數位轉型與邁向社會5.0目標之過程中，面對新冠肺炎疫情之擴大，有何待解決之課題[1]。 壹、主要問題 　　數位轉型之層面所涉甚廣，本文認為可初步分為政府面、企業面及個人面。首先，就政府面而言，可探討如何建立e化政府並提供民眾便捷服務。其次，就個人面而言，則可能涉及消費者資料之蒐集與個人隱私資料保護之議題。最後，就企業面而言，則包含同種企業或不同企業間彼此蒐集到的資料共享、利用及分析。 　　針對企業間，擔任數位經濟推進委員長之篠原弘道於會中指出，數位轉型致力於價值創新，然而，日本業界間的數位轉型存在一極大的待突破問題，即是彼此對於資料資源之分享，尚存不信任甚且互相猜疑，此將不利於資料共享之發展。篠原弘道進一步說明，數位轉型以突破空間與距離之屏障為特色，欲突破此一屏障有賴於民間企業彼此間的合作與信賴，僅只單一企業的資料本身無法有效達至此目標，呼籲日本國內企業能協力合作，強化數位流通與交流[2]。 　　執此，如何促進企業間的資料分享，建立互相信賴的關係，突破業界間彼此藩籬，即為官方及民間所應努力的目標。 貳、具體案例 　　就民間而言，日本已有民間發起之企業共享平台，例如2018年5月至12月，三菱房地產於東京車站周邊之大丸有地區進行實驗性的OMY（大手町、丸之內到有樂町一帶的區域，日本俗稱Daimaruyu，簡稱OMY））資料活化計畫，驗證跨行業別企業間的資料利用分配與有效性，期盼能將資料應用於促進該地區的經濟成長、帶動觀光發展，甚至規劃災害措施[3]。 　　提供該計畫資料服務平台的富士通有限公司經理池田榮次指出，該計畫為了建立彼此信任感，而非一味地僅關注於資料的分析，進行了多達12間公司之間的對談，並也得到了一定的成效。 參、事件評析 　　有關企業面的資料活用，本文認為可大致分為「單一公司」、「同業種內」及「異業種間」三者。單一公司之資料活用，以壽司郎為例，其將每盤菜餚均以IC標籤管理，藉以蒐集每盤菜餚之新鮮度、銷售情況。從而，累積之資料即可運用於掌握消費者喜好，並避免食材之浪費等[4]。同業種內則涉及相同類別的企業間，藉由共享資料以減低成本。例如不同藥物研發公司，藉由樣本試驗共享，從而擴增實驗母群體之數量[5]。異業公司則可能由位於同一地區之不同企業所構成，例如前揭大丸有OMY資料活用計畫。 　　經團聯所提出之議題，乃著眼於同業種內及異業種間的跨公司間資料交流不易，因而提出民間企業積極跨越藩籬之呼籲。我國於推動資料共享平台等相關政策時，亦可思考政府端可提供何種支持及資源，以側面促進同種或不同種企業間之資料共享意願；同時，如何令企業理解到彼此間的合作協力，將是新興價值得以開拓的寶貴契機，亦是一大值得省思之重點。 參考連結 日本經濟團體聯合會2月份月刊特集〈後疫情時代的數位政府與數位經濟〉https://www.keidanren.or.jp/journal/monthly/2021/02_zadankai.pdf [1]〈ポストコロナのデジタルガバメントとデジタルエコノミー〉，《経団連月刊》，2月号期，（2021）。 [2]同前註，頁15。 [3]〈異業種データ活用で、東京のビジネスエリアが生まれ変わる【前編】〉，Fujitsu Journal，https://blog.global.fujitsu.com/jp/2019-07-26/01/，（最後瀏覽日：2021/03/09）。 [4]〈15社のビッグデータ活用事例から学ぶ、成果につながる活用の方法〉，https://liskul.com/wm_bd10-4861#3_IC（最後瀏覽日：2021/3/9）。 [5]独立行政法人情報処理推進機構，〈データ利活用における重要情報共有管理に関する調査 調査実施報告書〉，頁9（2018）。

機器人產品監管法制研析 資訊工業策進會科技法律研究所 2021年03月25日 　　台灣為全球ICT產品主要生產國之一，在產業鏈占有一席之地，有關機器人本體製造、國外產品、零組件、系統應用代工或代理商已超過百家，由機器人產品帶動之經濟效益預計將影響製造業整體產值，從而在安全標準、使用規範及責任歸屬上，有必要釐清現行法律規範，並同時審酌如何與國際規範接軌，而有需要進一步規範之處。 　　機器人依據其使用目的之不同，就現有之機器人產品分類而言，大致可分為「工業型機器人」（Industrial Robots）及「服務型機器人」（Service Robots）兩種。兩者之區分方式通常以國際機器人聯合會（International Federation of Robotics, IFR）之定義為主。「工業型機器人」在各種危險、需大量勞力或精密的工廠，皆可使用產業機器人取代人類，目前主要應用於汽車、面板、晶圓等各種製造業廠房；「服務型機器人」範圍較廣，具有移動性、無限制、多樣性等特性，有別於工業機器人侷限於工廠內使用，服務型機器人種類多樣，應用範圍廣泛，且需具備對環境的感測、辨識能力，以自行決定行動的智慧化功能。而另一面也逐漸受到國際間討論的，是智慧機器人（機器人具有接近強人工智慧的機能[1]）相關之倫理、責任歸屬及損害賠償配套措施，而這部分所觀察之法律議題與上述既有之機器人產品之法規發展方向略有不同，因此本研析也將討論相關規範及國際關注焦點[2]。 壹、事件摘要 　　我國在機器人產品監管法規上仍依循傳統產品標準檢驗之路徑，且相關規範以工業機器人為主，為避免我國廠商因其他國家之產品監管法規之差異而阻礙其貿易流通，機器人產品監管架構實有必要與國際同步，並確保監管程序及標準能與技術發展保持一致。標準與規則的建立是促成機器人領域發展的重要因素，其中歐盟對於機器人標準化之發展在全球扮演關鍵之角色，而歐洲為我國貿易之重要市場，且其產品之CE認證屬於強制性產品檢驗，而於中國、美國採自願性認證（未經認證仍可銷售）有所不同。 　　故本研究首就商品檢驗、資料保護、勞工安全及產品責任等層面，對我國機器人產品之相關法令進行盤點，並選定歐盟機器人領域相關指令進行研析，對我國相關各界而言，或宜以該等規範或標準為標竿或參考，帶動台灣機器人產業向世界發展。 一、我國法規現況 　　目前針對機器人產品之法令散見於各法規之中，除了工業用機器人針對職業安全、危害預防有特定規範之外，並無（其他）機器人特別規範，相關規範盤點如下表，並就各類別說明如下： 表 1 ：我國機器人相關規範 分類 細類別 規範 內容 商品檢驗、 產品安全 商品檢驗、 電磁相容性 《商品檢驗法》、《商品型式認可管理辦法》 商品安全管理制度。 頻譜 《電信法》、《電波監理業務管理辦法》 無線電頻率指配及設備規範。 國家標準 CNS 14490-1 B8013-1 CNS 14490-2 B8013-2 工業機器人安全性國家標準。 國際標準 工業機器人 ISO 10218-1 ISO 10218-2 ISO 9283 ISO 10218-1--規範工業機器人製造商適用的安全要求。ISO 10218-2--規範工業機器人系統整合適用的安全要求。 ISO 9283--提供工業用機器人操作之性能與測試標準與方法。 個人護理機器人 ISO 13482 個人護理機器人之調和安全標準，其安全性和可靠性的評估依據。 資料保護 個人資料 《個人資料保護法》 規範針對個人資料進行蒐集、處理、利用的單位，都應該取得當事人同意或依法進行。 勞工安全 職業安全 （工業機器人） 《職業安全衛生管理辦法》、「事業單位實施協作機器人安全評估報告參考手冊」 雇主對工業用機器人應於每日作業前依規定實施檢點。 使用協同作業機器人時實施安全評估，並製作安全評估報告，確保勞工作業安全。 危害預防 （工業機器人） 《工業用機器人危害預防標準》、「機器人危害預防手冊」 預防工業用機器人造成之危害。 產品責任 責任歸屬 《民法》、《消費者保護法》 機器人造成相關損害，所應負之契約及侵權責任。 鼓勵促進 投資抵減 《產業創新條例》、《公司或有限合夥事業投資智慧機械或第五代行動通訊系統抵減辦法》 企業投資於自行使用全新智慧機械，或導入5G行動通訊系統相關設備或技術一定額度，得抵減營利事業所得稅。 資料來源：本研究整理 二、歐盟機器人法制規範與發展 　　歐盟為了避免各成員國間產品監管法規之差異阻礙貿易流通，故歐盟採行後市場監督工作為核心之產品安全規範體系，並透過調和指令來調和產品安全法規，建立歐盟境內一致性之產品安全規範體系，以下整理出歐盟與機器人相關之規範、內容。 表 2 ：歐盟機器人相關規範 分類 細類別 規範 內容 商品檢驗、 產品安全 商品檢驗通用規範 《新法律架構規範》（Regulation EC No.765/2008 ）、《新法律架構決議》（Decision No. 768/2008/EC） 包括商品檢驗之一般性規定、認證、歐盟市場監督與進入市場之管制、CE 標識、符合歐盟財政安排之活動等相關規範。 機械 《機械指令》（Directive 2006/42/EC[3]） 推動機械產品之自由移動，並保證歐盟勞工及人員享有高度保護。原則上，該項指令僅適用於第一次進入歐盟市場之機械產品。 電磁波 《電磁相容性指令》（Directive 2014/30/EU[4]） 為保證所有電機電子產品可正常運行，不被其他產品釋放出的電磁干擾，亦不會釋放可能干擾其他產品正常運行之電磁。 無線電 《無線電設備指令》（Directive 2014/53/EU） 確保無線電設備符合歐盟安全及衛生要求，包括市場監管機制，特別要求製造商、進口商及配銷商應有之追溯責任。 資料保護 個人資料保護 《一般個人資料保護規則》（GDPR[5]） 內容主要涵蓋資料當事人的權利、資料控制者與處理者的義務、個資跨境傳輸、政府的監理體制、救濟措施等。 勞工安全 職業安全 《工人工作過程中的健康和安全水平指令》（89/391/EEC） 鑑於工作事故和職業病的發生率高，雇主須採取或改進預防措施，以保障工人的安全和健康並確保更高的保護水準；及告知工人安全和健康的風險並降低或消除這些風險所需的措施。 產品責任 責任歸屬 《一般產品安全指令》（Directive 2001/95/EC）[6]、 《產品責任指令》（Council Directive 85/374/EEC[7]） 規定產品一般性要求、製造及銷售業者的責任。 資料來源：本研究整理 貳、重點說明 　　觀察我國及歐盟現行有關機器人之規範大致可分四類，商品檢驗、資料保護、勞工安全及產品責任。 　　在商品檢驗之規範方面，主要係為促使商品符合安全、衛生、環保及其他技術法規或標準，為保護消費者權益，國家辦理各類商品之檢驗以維護產品安全；而資料保護則是在以大量資料之分析為基礎的人工智慧發展浪潮下，個人資料保護議題面臨挑戰，國家試圖在創新發展及隱私保護上進行衡平規範；勞工安全方面則是由於機器人可能因使用不當造成勞工工作災害，實需要讓勞工使用符合機械安全標準的工業用機器人，以預防發生產業之切、割、捲、夾、被撞等類型職業災害（近年也有針對服務型機器人之工安標準討論，但尚未有具體規範）；最後在產品責任部分，目前多依循既有契約、侵權等民事規範處理，但當機器人自主決定所致損害時，因機器人決策形成過程所涉及之軟硬體、資料、資料連網服務等相當龐雜，難以（快速）釐清與歸責，有待進一步規範並填補損害。依據規範類別，對比我國與歐盟之主要差別如下表： 表 3 ：歐盟與我國機器人規範之主要差別 歐盟 我國 商品檢驗 主要以「產品功能」對應其檢驗流程。 設有「自我宣告」之簡易流程，並開放認可之實驗室檢驗。 主要以「品項」對應其檢驗流程，須先進行「品目查詢」。 主管機關介入度較高。 資料保護 規定較具體細緻，跨境傳輸、自動化決策、被遺忘權及資料可攜有具體規定。 未針對人工智慧應用有特殊規定。 未規範自動化決策、被遺忘權及資料可攜。 勞工安全 依循既有工安規範。 工業機器人之工安規範依循國際標準。 工業機器人之工安規範依循國際標準（但未完全一致）。 產品責任 主要採「嚴格責任」，仍有少數免責事由。 針對智慧機器人應用之民事責任有進行相關檢討及修法分析。 採民法、消保法雙軌制，消保法採無過失責任（無法完全免責）。 資料來源：本研究整理 　　就歐盟針對機器人之監管法規架構，及與機器人相關產品指令之規範內容與主要義務，檢視對應我國之相關法規與規定後發現，事實上我國關於機器人商品檢驗之規範方向與歐盟大致相似，主要差異在於資料保護方面，因歐盟GDPR之規範較新且較為細緻，存有許多我國個資法尚未規範之處，而我國也尚未針對智慧機器人之產品責任規範。我國與歐盟關於機器人規範之整體比較，請參照下表： 表 4 ：歐盟與我國機器人規範之比較 分類 歐盟規範內容 我國規範 商品檢驗 產品認證、評鑑程序 法源依據為新法律架構規範、新法律架構決議。 產品認證部分--（accreditation）一般性規定、認證、市場監督與進入市場之管制、CE 標識。 →多數商品可透過「自我宣告」等較簡易之方式進入市場。 《商品檢驗法》第5條：商品檢驗執行之方式，分為逐批檢驗、監視查驗、驗證登錄及符合性聲明四種，依照不同種類而有不同之分類及檢驗方式。à部分產品政府高度介入 《商品型式認可管理辦法》第6條第1項第1款規定：「一、一般型式試驗：電磁相容性型式試驗，應檢具相關技術文件及足夠測試所需之樣品，向標準檢驗局認可之指定試驗室辦理；其他型式試驗，應檢具相關技術文件及足夠測試所需之樣品，向檢驗機關或標準檢驗局認可之指定試驗室辦理。但大型或系統複雜商品，得向標準檢驗局申請指定場所測試。」 評鑑程序的部分—規範各種技術工具之定義、設計標準、符合性評鑑主體之通知、通知過程之條款、符合性評鑑之程序、防衛機制、經濟營運者（economic operators）之責任及商品追蹤性等規定。 機械 法源依據為機械指令，當產品進入市場--應符合一定要件、程序（如：健康和安全規範、黏貼CE標誌等要求） 職業安全衛生法以及商品檢驗法規定，我國未符合安全標準或未通過檢驗之機械產品，不得產製運出廠場或輸入。 產品標準之法源依據為機械指令。 職業安全衛生法第7條。 市場監督之法源依據為機械指令。 職業安全衛生法第7條、第8條、第9條，以及機械設備器具監督管理辦法中，規範產品監督及市場查驗之細節。 電子電氣設備電磁相容性之基本要求 法源依據為電磁相容性指令。 《商品型式認可管理辦法》第6條第1項第1款--電磁相容性型式試驗，應檢具相關技術文件及足夠測試所需之樣品，向標準檢驗局認可之指定試驗室辦理 無線電終端設備之基本要求 法源依據為無線電設備指令 電信法第42條第2項、電信終端設備審驗辦法 資料保護 開發設計 《一般個人資料保護規則》：事前進行「個人資料保護影響評估」 以及可能造成之風險與資料管理者所採取之保護措施、安全措施（強調事前）。 施行細則第12條2項3款規範個人資料風險評估及管理。 蒐集、感測 《一般個人資料保護規則》：個人資料範疇--明文涵蓋網路識別碼、位置資訊。 特定目的：有規定「為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理，不應視為不符合原始目的」之例外。 去識別化之方式：歐盟強調不可逆。 跨境傳輸：原則禁止，例外允許。當未取得認證或適足性，外國廠商無法將歐盟境內所蒐集到的個資，傳輸回位於本國之伺服器。 個人資料範疇：我國較多正面表列項目，無規定者則依靠解釋。（第2條第1款、第6條）位置資訊、網路識別碼等是否屬於個資，我國並未列舉，實務上迭有爭議。 特定目的：皆須有特定目的方可為之。 去識別化之方式：個人資料保護法施行細則第17條，並未強調不可逆。 跨境傳輸：原則允許，例外禁止。（第21條） 處理、資料分類 《一般個人資料保護規則》：資料處理--需符合一定之規範（未區分公務及非公務機關）。 資料處理：需符合一定規範，並特別區分公務及非公務機關。（第15、19條） 分析與驅動傳輸 《一般個人資料保護規則》： 自動化決策--強調「透明處理原則」，針對「個人化自動決策」賦予用戶請求解釋、拒絕適用的權利。 被遺忘權--應考量現行可行之科技技術及費用，選擇適當之措施，包括刪除所有與其個資之連結。 資料可攜權--資料主體應有權接收其提供予控管者之資料，並有權將之傳輸給其他控管者。 自動化決策：無規定。 被遺忘權：規定模糊，容有解釋空間。 資料可攜權：可透過間接解釋之方式達成。 後續衍生的偏見、歧視等問題 《人工智慧倫理準則》目前為企業自主使用，無強制性。 科技部《人工智慧科研發展指引》目前以科研人員為適用對象。（目前請科技部AI研究中心計畫、中心Capstone計畫、研究計畫人員填寫自評表） 產品責任 產品責任之義務範圍 法源依據為《一般產品安全指令》、《產品責任指令》。 生產者--應僅將安全產品投入市場，向消費者提供評估和預防風險的資訊。 經銷商--監督產品進入市場的安全性，相關適當因應措施。 消保法第7條第1項：企業經營者應確保該商品或服務，符合當時科技或專業水準可合理期待之安全性。 消保法第10條：危險產品之回收和要求採取適當因應措施。 產品責任之責任範圍 法源依據為《一般產品安全指令》、《產品責任指令》。 嚴格責任（strict liability）--消費者不需要證明製造商之過失，只需要證明損害是由產品造成即可。（製造商例外仍可自證免責，產品責任指令第７條） 民法第191條之1第1項：推定過失責任，為舉證責任倒置的設計。 消保法第7條第1項：企業經營者能證明其無過失者，法院得減輕其賠償責任。採無過失責任，無免責條款。 產品責任之連帶賠償責任 法源依據為《一般產品安全指令》、《產品責任指令》。 兩個以上的生產者（包含製造、經銷、進口商等），應對同一損害共同承擔責任時。 消保法第7條第3項--企業經營者商品不符當時科技或專業水準之安全性、危害消費者，致生損害於消費者或第三人時。 消保法第8條--從事經銷之企業經營者。 消保法第9條--輸入商品之企業經營者。 資料來源：本研究整理 參、事件評析 　　我國目前法律規範主要針對「工業型機器人」為主，而未來也應逐漸擴及至「服務型機器人」，並對「智慧機器人」相關議題有所討論，且可能宜進一步區分其風險高低而有不同規範，例如區分一般風險較低的家庭服務、居家照護機器人進行一般之商品安全及責任規範；而對於高度風險之機器人，除應有基本操作與風險排除規範外，更應避免使用錯誤造成危害。同時考慮機器人的運作，必須讓主管機關可以追蹤、回溯所有設計、製造、販售、所有權人與使用人，藉以釐清責任歸屬，並要求符合相對應的安全規範管制要求，以尋求更好的預防與處置管制措施。因此，針對我國機器人相關之規範初步發現及建議如下： 一、商品檢驗規範尚待明確：目前我國對於機器人之相關規範及標準大多集中於商品檢驗與勞工安全兩類，且以工業型機器人為主要規範標的；鑒於服務型機器人之發展，許多標榜為「機器人」之產品快速增加，而其對應之商品檢驗品項與標準不甚明確，造成業者與消費者之疑義。同時，國際間開始針對部分服務型機器人提出相關標準，此部分也應參酌國際趨勢，考量進行滾動式更新或調整，同時可透過公協會或平台使業者知悉規範趨勢。 二、考量業者需求彈性調整資料保護規範：由於智慧機器人奠基於大量資料驅動與人工智慧技術，而我國現有個人資料保護規範尚未有對應於人工智慧技術之彈性規範，且與國際間相關規範（例如：GDPR）有部分無法對應之處。因此，在具體應用上產生遵法成本過高、資料流通受限等問題。故在資料保護之規範上，除考量新興技術之應用外，也應考量國外相關規範之域外效力，儘快取得適足性認定，而有助於我國業者拓展國外市場。 三、逐步研訂或調整與智慧機器人之相關規範：由於目前具有高自主性之智慧機器人在市場尚未普及，相關產品責任仍回歸適用既有各類規範（例如：民法、消費者保護法等）。但國外已開始針對機器人之倫理、責任歸屬等問題，積極展開研究與佈署，並討論是否既有規範可能產生之不足之處，而有修正既有規範與研訂專門法規之討論。而智慧機器人隨著其自主性越高可能產生不可預見之風險，而可能與現行規範有所扞格。因此，未來主管機關應參酌國外相關研究與規範，並逐步建置可以追蹤、回溯所有設計、製造、販售、所有權人與使用人，藉以釐清責任歸屬，並符合相對應的安全規範管制要求，並尋求相應之風險預防與處置管制措施。 [1] 人工智慧可有三層次定義：第一層次是「弱人工智慧」或「狹隘人工智慧」，希望電腦能解決某個需要高度智力才能解決的問題，不要求它跟人類一樣有全面智慧解決各式各樣不同的問題；第二個層次是「強人工智慧」或「泛人工智慧」：要求電腦的智慧需要更全面廣泛，需要有推理、學習、規劃、語言溝通、知覺等能力，擁有這些能力的電腦才有可能展現出跟人類並駕齊驅的智慧；第三個層次是John Searle提出的「強人工智慧假說」（Strong AI Hypothesis），這個層次人工智慧需要擁有跟人類一樣的「心靈」，需要認知自我並如同人類般思考。 [2] 當前機器人已衍生許多產品且應用場景各有不同，就不同種類、不同場景之機器人有不同規範程度之需求。在工業機器人方面，過去因為工安考量，法規強調機器與人類之間分開作業、人機間之安全距離等，但近年來因為人機協力操作之設計與發展備受關注，逐漸產生出人機近距離協力合作之安全標準；而在於服務機器人議題當中，基本上服務機器人被設計為允許與人類共同存在同一空間中，且產品種類多樣化（無人機、搬運機器人、掃地機器人、照護機器人等皆屬之），但也因當前安全標準及相關之規範缺乏，各國對於產品審驗之寬嚴不一，亦成為機器人發展與市場流通之障礙；而在智慧機器人規範方面，倫理、責任歸屬及配套措施則是目前國際討論之焦點。 [3] Directive 2006/42/EC of the European parliament and of the council, EUR-LEX, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02006L0042-20190726 (last visited Mar. 5, 2021). [4] Directive 2014/30/EU of the European Parliament and of the Council, EUR-LEX, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex％3A32014L0030, (last visited Mar. 15, 2021). [5] Regulation (EU) 2016/679 of the European parliament and of the council, EUR-LEX, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32016R0679 (last visited Mar. 15, 2021). [6] Directive 2001/95/EC of the European parliament and of the council, EUR-LEX, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02001L0095-20100101 (last visited Mar. 4, 2021). [7] Council Directive 85/374/EEC, EUR-LEX, https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:31985L0374 (last visited Mar. 5, 2021).