美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅

美國司法部(Department of Justice, DOJ)於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料,以降低國安威脅。

最終規則指出,去識別化敏感個人資料若經大量蒐集,仍可能被重新識別,因此原則上禁止或限制任何美國人在知情的情況下,與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊(vehicle telemetry information)、基因組以及個人健康、財務資料或其他足資識別個人之資料,並定義禁止及限制交易的型態。同時,最終規則除設有若干豁免交易類型外,也定有一般及特別許可交易規定,並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布;特別許可則由總檢察長依個案酌情例外核准。

該規則課予交易方持續報告(reporting)、盡職調查(due diligence)、稽核(audit)、紀錄留存(recordkeeping)等義務,並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易,例如投資、雇傭、資料仲介(data brokerage)及供應商契約,提出資安要求,以降低受關注國家或個人獲取該類特定資訊的風險。最後,該規則定有民事罰款(37萬美金以下)、刑事處罰(100萬美金以下或20年以下徒刑),並設立申訴之救濟措施。

本文為「經濟部產業技術司科技專案成果」

你可能會想參加
※ 美國司法部發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」之最終規則,以因應國家安全威脅, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9301&no=64&tp=1 (最後瀏覽日:2026/07/19)
引註此篇文章
你可能還會想看
歐洲央行發表「虛擬貨幣架構」報告,法國比特幣交易平台取得PSP資格。

  歐洲央行(European Central Bank,簡稱ECB)於2012年10月29日提出「虛擬貨幣架構(Virtual Currency Schemes)」報告(全文可至歐洲央行網站下載,下載網址: http://www.ecb.int/pub/pdf/other/virtualcurrencyschemes201210en.pdf),Bitcoin(中譯「比特幣」)為該報告的研究重點。該報告將虛擬貨幣架構分為三類:1. 封閉性虛擬貨幣架構,與實體經濟幾乎無連結,通常用於遊戲中,例如暴雪娛樂(Blizzard Entertainment)的魔獸金幣(World of Warcraft Gold, WoW Gold);2.單向貨幣流(通常是流入) 的虛擬貨幣架構,可以現金依照匯率兌為虛擬貨幣後用於購買虛擬商品或服務,少數例外可使用於購買實體商品或服務,這類型代表如臉書的FB幣;3. 雙向貨幣流的虛擬貨幣架構,類如其他一般貨幣,具有買進賣出匯率,可支應虛擬以及實體商品、服務的買賣,如比特幣。基於本身特性,比特幣並非歐盟電子貨幣指令(Electronic Money Directive, 2009/110/EC)以及歐盟支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)的適用範圍。目前虛擬貨幣欠缺與實體經濟的聯結,交易量小且欠缺廣泛的使用接受度,因此對於金融以及物價的穩定影響有限;另外,虛擬貨幣欠缺妥適的法規管制,可能被用於不法活動,如犯罪、洗錢、詐欺等等;綜上,若任由虛擬貨幣持續發展而不管制,將被視為是中央銀行的失職而影響其聲譽。然而,報告指出,基於下述原因,虛擬貨幣將有可能繼續蓬勃發展:1. 網路以及虛擬社群使用人的持續增加;2. 電子商務以及特定數位產品的發展,提供虛擬貨幣架構良好的發展平台;3. 相較於其它電子支付產品,虛擬貨幣具備較佳匿名性;4. 相較於傳統支付工具,虛擬貨幣具備較低交易成本;5. 提供虛擬社群所需要的較直接以及快速的交易清算特性。   比特幣出現於2009年,透過數理運算的「挖礦(mining)」技術產生,無發行人,屬於點對點(peer to peer)虛擬貨幣,可匿名持有交易。目前一枚比特幣約當13塊美金,大約新台幣390元,可用於國際部落格平台Word Press,美國紐約、舊金山的部份實體商店也接受比特幣付費。基於比特幣本身的設計,比特幣的流通數量有限,市面上目前流通的比特幣約有1050萬個,預估至2014年將可全數開鑿完畢。全世界最大的比特幣交易所為東京的Mt.Gox,市占率超過80%,支援美金、英鎊、歐元、加幣、澳幣、日圓以及波蘭幣。2011年時,法國法院在Macaraja v. CIC Bank一案指出,點對點比特幣交換為支付服務,在法國應取得PSP執照。    由法國軟體公司Paymium所建置的比特幣交易平台Bitcoin-Central,於2012年12月與取得PSD支付服務提供者(Payment Service Provider,簡稱PSP)執照的法國業者Aqoba結盟,因而取得PSP資格。依照PSD附件說明,所謂的支付服務,包含存款、提款、轉帳、匯款以及第三方支付服務。透過PSP,Bitcoin-Central在歐盟法制架構下取得與Paypal相同的地位,與銀行業者的重大差別只在於Bitcoin-Central無法提供貸款服務。    Bitcoin-Central提供簡易的比特幣交易界面服務,甚至還有手機錢包(mobile wallet),消費者只消在Bitcoin-Central註冊就可以儲值、購買、交易比特幣並將比特幣轉換為現金,也可以當成薪資帳戶直接存入薪資,未來Bitcoin-Central可發行Debit-Card提供刷卡消費的功能。目前Bitcoin-Central只支援比特幣與歐元的轉換服務,而不提供其他幣別的轉換服務。Bitcoin-Central透過PSP業者Aqoba持有服務使用人儲值之歐元款項,款項存放於法國銀行Credit Mutuel,與Paymium的自有款項切割管理。上述歐元款項受有與一般銀行存款相同的法國中央存款保險"Garantine des dépôts”保障,但是比特幣款項由於並不存放於銀行,因此並不受存款保險保障。   比特幣最常被詬病之處在於其常被用於洗錢以及毒品買賣等等犯罪活動,但是支持者指出,現金不也是有相同問題嗎? 現金的洗錢防制透過金融監理的銀行監管進行,虛擬貨幣之交易平台未來也將是法規管制重點。縱使有部分比特幣支持者反對將比特幣納入法制管理,認為比特幣應該依照其原始設計理念運行,Bitcon-Central與PSP業者Aqoba合作可視為對於ECB之正面回應,為虛擬貨幣法制管理之重要進展。 資料來源:European Central Bank, Virtual Currency Schemes, 15 (2012)

美國OMB發布人工智慧應用監管指南備忘錄草案

  美國行政管理預算局(United States Office of Management and Budget, OMB)於2020年1月發布「人工智慧應用監管指南(Guidance for Regulation of Artificial Intelligence Applications)」備忘錄草案。該備忘錄草案係基於維護美國人工智慧(AI)領導地位之目的,而依據美國總統川普(Donald John Trump)於2019年2月簽署之「維持美國人工智慧領導地位(Maintaining American Leadership in Artificial Intelligence)─行政命令13859號」,並在啟動美國人工智慧計畫後180天內,經OMB偕同科技政策辦公室(Office of Science and Technology Policy, OSTP)、美國國內政策委員會(United States Domestic Policy Council)與美國國家經濟委員會(National Economic Council)與其他相關機構進行協商,最後再由OMB發布人工智慧應用監管指南備忘錄草案,以徵詢公眾意見。   該備忘錄草案不僅是為了規範新型態AI應用技術,更希望相關的聯邦機構,在制定AI應用產業授權技術、監管與非監管方法上,能採取彈性的制定方向,以避免過度嚴苛的規定,反而阻礙AI應用的創新與科技發展,繼而保護公民自由、隱私權、基本權與自治權等價值。同時,為兼顧AI創新與政策之平衡,應以十大管理原則為規範制定之依據,十大管理原則分別為: 培養AI公眾信任(Public Trust in AI); 公眾參與(Public Participation); 科學研究倫理與資訊品質(Scientific Integrity and Information Quality); AI風險評估與管理(Risk Assessment and Management); 獲益與成本原則(Benefits and Costs); 彈性原則(Flexibility); 公平與反歧視(Fairness and Non-Discrimination); AI應用之揭露與透明化(Disclosure and Transparency); AI系統防護與措施安全性(Safety and Security); 機構間之相互協調(Interagency Coordination)。   此外,為減少AI應用之阻礙,機構制定AI規則時,應採取降低AI技術障礙的方法,例如透過聯邦資料與模型方法來發展AI研發(Federal Data and Models for AI R&D)、公眾溝通(Communication to the Public)、自發性共識標準(Voluntary Consensus Standards)之制定及符合性評鑑(Conformity Assessment)活動,或國際監管合作(International Regulatory Cooperation)等,以創造一個接納並利於AI運作的環境。

歐盟資料治理規則提出資料利他主義制度以利於公益目的之利用

  歐盟於2022年5月30日正式簽署通過「資料治理規則」,同時引入(EU)2018/1724修正案(REGULATION (EU) 2022/868 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance and amending Regulation (EU) 2018/1724),針對資料中介組織及資料利他主義組織業務啟動、營運等註冊程序進行補充。   資料治理規則也通稱為資料治理法(Data Governance Act, DGA)。DGA以建立一個可信賴的資料流通環境,達成資料的可利用性,以促進資料可用於各項研究以及創新的商品和服務為目標。   DGA中,特別引人注意的是第四章「資料利他主義」(Data altruism)的提出。依據資料治理規則第二條,所謂的資料利他主義係指資料主體基於自願且無償的情況下,同意他人得處理或利用其所持有的個人資料;或資料持有者在不尋求補償的情況下允許他人得利用其所有的非個人資料(non-personal data)。而這些資料利用的目的是以實現公共利益為目標,例如醫療保健、解決氣候變化、改善交通、促進公部門統計資料的產製與應用、改善公共服務、制定公共政策,或是科學研究等。   為利於資料利他主義的落實,歐盟希望有明確的的制度設計,藉以促成更多資料主體或資料持有人,在有足夠信任的基礎下,願意將資料無償提供並進行公益目的之利用,進而實現改善生活的目標。 因此,DGA中提出以下作法: 制訂「歐洲資料利他主義同意書」(European data altruism consent form):該法授權歐盟執委會應在諮詢過歐盟資料保護委員會(European Data Protection Board)以及考慮過DGA新設之歐盟資料創新委員會(European Data Innovation Board)的意見後,制定統一的「歐洲資料利他主義同意書表格」。以此增加資料主體對於資料授權的信任,提高資料主體同意將資料釋出與流通再利用之意願,並為授權或撤銷同意建立法遵明確性。 資料利他主義組織(data altruism organisations)管理機制: (1) 資料利他主義組織採自願註冊制度,而非許可制。在資料利他主義於符合形式登記要件後,並符合非營利、透明性以及滿足保障民眾權利等要求後,於其所屬會員國中註冊以成為公認(recognised)的資料利他主義組織。採自願註冊而非許可制的目的,是希望先以管制密度較低的方式,鼓勵更多組織投入資料利他主義的推動。 (2) 給予已註冊之資料利他主義組織識別標誌:透過相關的認可機制並授予識別標誌,藉此提高資料利他主義組織的可辨識度與信賴度,讓民眾在選擇合作的組織時有所依循。 (3) 透明度要求:為了增加資料主體或資料持有者對該組織的信任度,歐盟也將對資料利他主義組織進行一定程度的監督管理,例如年報編列與管理、是否以清晰易懂方式通知資料主體或資料持有者其資料被利用的目的、需保留資料利用之所有紀錄等。此外,也需要遵守DGA授權歐盟執委會未來訂定的相關補充規範。   整體而言,歐盟將資料利他主義的公益精神經由法制化的方式納入歐洲資料治理規則,透過歐洲資料利他主義同意書以及資料利他主義的相關管理規範,降低溝通成本以及建立信任基礎,以增加資料釋出的可能性,進而提升資料被利用的程度,最終達成改善人類福祉的目標。

歐盟執委會發布關於歐洲境內資料流監控之新研究

  歐盟執委會(The EU Commission)於2022年2月3日發布了一項研究,其繪製並預估歐盟27個成員國以及冰島、挪威、瑞士和英國等國家彼此之間的主要雲端基礎設施的資料流量。該研究概述了各級產業、位置、企業規模和雲端服務類型的雲端資料流入和流出的流量和類型。政策、決策者、商業領袖與公共行政部門可以將其作為參考,以支持對未來貿易協定、工業決策和雲端投資的決策。   在歐盟的歐洲資料戰略中,認識到獲取有關資料流的經濟情報的戰略重要性,因此提出了資料流戰略分析框架的發展。為了實現這一關鍵行動,歐盟執委會開展了上述關於繪製資料流的研究,首次開發和測試了一種全新、自我維持與可複製的方法,從而產生了資料流可視化工具,用於測量、映射和分析歐洲31個國家與地區的各級產業、地理和企業規模的雲端資料流。而該資料流可視化工具中顯示的資料預計將每年更新一次。使用的資料收集來源從官方統計資料等主要來源到調查和訪談等次要來源。   該工具得以讓歐盟執委會: 一、繪製和估計歐盟27個成員國(即歐盟內部資料流)和冰島、挪威、瑞士和英國(即歐盟外資料流)的雲端計算領域主要資料流的數量 二、預測至2030年的資料流出 三、分析各產業、公司規模和雲端服務類型的資料流量   該研究顯示2020年最大的資料流來自醫療衛生產業,而德國的資料流入量最大。該報告還估計,到2030年,來自歐洲企業的資料流量將是2020年的15倍。   作為資料流市場關鍵層面之一,透過進一步調查資料趨勢,將協同即將出現的資訊法案打造一個更加生動、動態和流動的雲端市場。

TOP