歐盟《歐洲資料戰略》

  歐盟執委會針對未來10年歐洲AI開發與開放資料運用方向等核心議題,於2020年2月19日公布一系列數位化政策提案,其中之一即為提出歐洲資料戰略(European Data Strategy)。本戰略提出資料開放共享政策與法制調適框架,宣示其目標為建構歐洲的資料單一市場(single market for data),視資料為數位轉型的核心,開放至今尚未被使用的資料。歐盟期待商界、研究者與公共部門等社群的公民、企業和組織,得透過跨域資料的蒐集與分析,改善決策的作成基礎或提升公共服務品質,為醫療或經濟等領域帶來額外利益,同時促進歐盟推動人工智慧發展及應用。

  本戰略揭示了資料單一市場的建構框架,包含資料必須能在歐盟內與跨域流通並使所有人受益、全面遵守如個資保護、消費者保護與競爭法等歐盟相關規範、以及資料取用(access)和使用的規定,應平等實用且明確,並以之建立資料治理機制;同時,為在技術面強化歐洲數位空間之能力,以完善資料共享所需之資料基礎設施,應創建歐洲資料庫(European data pools),預備將來進行巨量資料分析與機器學習。在上述框架下,本戰略同時擬定了數個具體的措施與制度調修方向如下:(1)建構資料跨部門治理與取用之法規調適框架:包括於2020年第4季提出歐洲共同資料空間管理之立法框架,於2021年第1季提出高價值資料集(high-value data-sets),評估於2021年提出資料法(Data Act)以建構企業對政府或企業間的資料共享環境、調適並建立有利於資料取用之智慧財產權與營業秘密保護框架;(2)強化歐洲管理、處理資料之能力與資料互通性:建構資料共享體系結構並建立共享之標準及治理機制、於2022年第4季啟動歐洲雲端服務市場並整合所有雲端服務產品、於2022年第2季編纂歐盟雲端監管規則手冊;(3)強化個人有關資料使用之權利:從協助個人行使其所產出資料相關權利之角度,可能於資料法中優化歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第20條之資料可攜權,如訂定智慧家電或穿戴裝置之資料可讀性格式;(4)建構戰略領域與公共利益領域之歐盟資料空間:針對戰略性經濟領域與攸關公共利益的資料使用需求,開發符合個資保護與資安法令標準之資料空間,主要用於保存製造業、智慧交通、健康、財務、能源、農業、公共管理等領域之資料。

本文為「經濟部產業技術司科技專案成果」

相關連結
相關附件
你可能會想參加
※ 歐盟《歐洲資料戰略》, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=5&d=8433 (最後瀏覽日:2024/06/22)
引註此篇文章
你可能還會想看
落實綠色供應鏈 台灣廠商尚待加強

  歐盟推動的有毒物質禁制令( Restriction of Hazardous Substances, RoHS )自今( 2006 )年 7 月後開始啟動,國內多家 IT 廠商如主機板、液晶螢幕等業者均表示產品符合 RoHS 規範,政府提供的資料也指出,台灣大約八成的供應商和製造商符合 RoHS 規範,但是依照綠色環保產品行銷業者的觀察,實際數據遠低於此,應該只有五成不到。   所謂的 RoHS ,係明列自 2006 年 7 月後,製程、設備及材料處理研發禁止使用 6 種有毒物質,如鉛、汞、鎘等,內含六項管制物質的產品將不可在市面流通,屆時輸歐的電子、電機產品皆必須符合該標準。如果一旦抽驗發現有毒物質,產品即可能遭受召回、高額罰款或者長期法律訴訟。   廠商所謂的「符合」還有很多可議的空間,主要原因有兩種:首先製造商在取得供應商提供的原物料時,也許前者的確不含有毒物質,但是在製程、運送過程中,原物料仍有被污染的可能性,例如有鉛和無鉛產品共用一條生產線。然而製造商但憑供應商提供的品質文件就聲稱終端產品符合了 RoHS 規範。   其次,即使是供應商表示原物料符合 RoHS 規範,也還有待商榷,因為這必須判定供應商的原物料送審時,是以混測還是均質檢測。所謂的混測就是把包含兩三種不同原料的產品一併送測,這時候即使單一原料含有有毒物質,但在和其他物質含量平均後就無法檢測出來。均質檢測則就是每個原料都單獨出來檢驗。由於後者的成本高出許多,因此國內供應商多以混測方式送審,使得檢測結果可信度並非絕對。   RoHS 對將大量產品輸出歐洲市場的台灣 IT 產業影響深遠,根據經濟部技術處所提供的資料,據估計將有近 3.5 萬家廠商、高達新台幣 2,446 億元的產值將受到衝擊。基於此原因,經濟部技術處於去( 2005 )年七月啟動「寰淨計畫( G 計畫)」,結合系統廠商、檢測驗證機構、資訊服務業者等單位,以系統廠商帶動下游供應商的方式,加速國內電腦廠商推出符合環保規範的產品。儘管政府推動甚殷,國內供應商的確在前年開始準備,不過要確實符合 RoHS 之規範精神,而非僅是形式上符合,仍有待政府與業者共同努力。

法國國家資訊自由委員會將推出符合GDPR的人工智慧操作指引(AI how-to sheets)

法國國家資訊自由委員會(CNIL)於2023年10月16日至11月16日進行「人工智慧操作指引」(AI how-to sheets)(下稱本指引)公眾諮詢,並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則(GDPR)之作法,以期在支持人工智慧專業人士創新之外,同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下: 1.指引涵蓋範圍:本指引限於AI開發階段(development phase),不包含應用階段(deployment phase)。開發階段進一步可分為三階段,包括AI系統設計、資料蒐集與資料庫建立,以及AI系統學習與訓練。 2.法律適用:當資料處理過程中包含個人資料時,人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的:CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則,由於資料應該是基於特定且合法的目的而蒐集的,因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何,方能決定GDPR與其他原則之適用。 4.系統提供者的身分:可能會是GDPR中的為資料控管者(data controller)、共同控管者(joint controller)以及資料處理者(data processor)。 5.確保資料處理之合法性:建立AI系統的組織使用的資料集若包含個人資料,必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估(DIPA)。 7.在系統設計時將資料保護納入考慮:包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護:具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的,以及設定明確的資料保留期限,實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說,更新AI相關規範知識非常重要,CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。

美國FTC通過「禁止企業簽訂競業禁止契約」的最終規定

美國聯邦貿易委員會(下稱FTC)於2024年4月23日通過「禁止企業簽訂競業禁止契約」最終版本的規定(以下稱「最終規定」) ,FTC認為「簽訂或執行競業禁止契約」違反《聯邦貿易委員會法》(Federal Trade Commission Act)第5條之防止不公平競爭之違法手段之規定。最終規定所禁止簽訂競業禁止契約的對象廣泛,包含獨立承包商、為營利企業工作的員工,並將可能取代其他規範競業禁止契約效力之州法。不過,尚有部分情形將排除最終規定的適用,如: (1)公司與高階主管的既有競業禁止契約仍屬有效,而高階主管被定義為「年收入超過 151,164 美元(約新臺幣4,927,492元)且擔任決策職位」的員工,如總裁、首席執行長或其他擁有企業重大決策權的職位。 (2)允許出於善意收購企業的雙方簽訂競業禁止契約。 (3)因FTC對於某些產業無監管權,因此該等產業不適用於禁止簽訂競業禁止契約的最終規定,如非營利組織、銀行、保險公司以及航空公司。 FTC指出最終規定於美國聯邦公報上公布120天(約4個月)後生效,並要求現已簽訂競業禁止契約之雇主負有通知義務,雇主須透過數位(電子郵件或簡訊)或紙本方式,明確地通知現任、前員工,其既有的競業禁止契約即將失效。 但美國商會(U.S. Chamber of Commerce)已聲明表示該最終規定有超出FTC管轄範圍之疑慮,故後續可否執行最終規定,仍有待密切關注。 為因應FTC大範圍禁止簽訂競業禁止契約之法制方向,建議公司可參考資策會科法所發布之「營業秘密保護管理規範」以系統性方式檢視不同面向的既有管理作法,如人員面、內容面等,以落實對於營業秘密的保護。 1.關於文件的管理建議 先盤點紙本及數位機密文件;再設定文件之接觸權限。 2.關於人員的管理建議 留意人員的智財教育訓練;人員的保密或智財權歸屬契約,確保契約約定已納入公司想保護的機密資訊,比如客戶或供應商名單及聯絡資訊、產品規格、製程等;以及離職管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。

歐盟法院判決釐清GDPR民事賠償不受損害最低程度限制

歐盟法院(Court of Justice of the European Union, CJEU)於2023年12月14日對Gemeinde Ummendorf(C‑456/22)案作出判決。歐盟法院試圖釐清《歐盟一般個人資料保護規則》(General Data Protection Regulation, GDPR)第82條的民事求償規範中,資料主體受到非財產上的損害要到何種程度才可獲得賠償。 本案源自於兩位自然人原告與德國的烏門多夫市政府(Municipality of Ummendorf)之間的紛爭。2020年,烏門多夫市政府未經兩位原告同意情況下,在網路上公布市議會議程與行政法院判決,這些資訊內容均多次提及兩位原告的姓名與地址。兩位原告認為市政府故意違反GDPR,因此依據GDPR第82條請求市政府賠償,並進一步主張該條意義下的非財產損害,不需要任何損害賠償門檻。然而,市政府則持相反意見。 長久以來,德國法院傾向認為,GDPR的非財產上損害需要超過某個「最低損害門檻」才可獲得賠償。然而,承審法院決定暫停訴訟程序,並將是否應有「最低損害門檻」以及其基準為何的問題,提交給歐盟法院進行先訴裁定。 歐盟法院考慮到,GDPR的宗旨在於確保在歐盟境內處理個人資料時對自然人提供一致和高水準的保護,如要求損害必須達到一定的嚴重性閾值或門檻才可賠償,恐因為成員國法院認定的基準不同,進而破壞各國實踐GDPR 的一致性。因此,歐盟法院最後澄清,GDPR的民事賠償不需要「最低損害門檻」,只要資料主體能證明受有損害,不論這個損害有多輕微,都應獲得賠償。

TOP