達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

• 歐盟資料保護監督機關(EDPS)發布人工智慧系統風險管理指引
  ​​    ​​​歐盟資料保護監督機關(EDPS)於2025年11月11日發布人工智慧系統風險管理指引(Guidance for risk Management of Artificial Intelligence Systems)。該指引旨在指導歐盟各機關(EUIs)，於開發、採購及部署處理個人資料的人工智慧(AI)系統時，應如何識別並降低其對個資主體的基本權利和自由（包括隱私和資料保護）造成的重大風險。
       該指引主要包含以下重點：
  • 依據 ISO 31000:2018 制定的風險管理方法論概覽。
  • AI 系統的典型開發生命週期，以及採購AI系統流程的不同階段。
  • 闡述可詮釋性(interpretability)與可解釋性(explainability)的概念，強調此二者是在採購、開發和部署AI系統時，貫穿各階段的關鍵考量因素。
  • 針對各項個資保護原則（如公平性原則、準確性原則、資料最小化原則、安全性原則及個資當事人權利），詳述其具體風險與應對措施。
  • 資料來源：https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en

 

• 愛爾蘭個資保護委員會（DPC）介入AI訓練中的個資使用，LinkedIn承諾調整並接受持續監管
       愛爾蘭個資保護委員會（DPC）於2025年11月7日發表聲明，針對LinkedIn擬使用歐盟(EU)用戶個資來訓練其生成式AI模型一事表達關切。LinkedIn原預計自11月3日起，使用歐盟用戶的公開貼文、個人檔案等資料來訓練其生成式AI模型，在DPC介入並指出潛在的個資保護風險後，LinkedIn已同意對其計畫採取下列調整措施：

1. 提升透明度與用戶個資控制權：提供更清楚的通知，使用戶了解 LinkedIn 將如何處理其個資以訓練AI模型，並提供用戶行使退出權(opt-out)的機制。
2. 限縮資料使用範圍：減少 LinkedIn 用於模型訓練的個資，包括限制所使用的特定資料類型，並縮短資料擷取的時間範圍。
3. 強化未成年人保護：採取更完善的措施，避免18歲以下LinkedIn用戶的個資被用於AI模型訓練。
4. 過濾敏感資料：導入更完善的用戶保護機制，例如建立過濾器，以避免蒐集用戶在特定LinkedIn頁面或群組中分享的潛在敏感內容（如工會相關資訊）。
5. 提供合規文件：遵循GDPR規範，提供更詳盡的風險評估及相關文件，如「合法利益評估」（Legitimate Interest Assessment）、「資料保護影響評估」（Data Protection Impact Assessment）與「相容性評估」（Compatibility Assessment）。
       DPC強調，儘管LinkedIn採取的措施暫時緩解DPC的疑慮，使其決定暫緩進一步的監管行動，但這並不代表DPC肯認LinkedIn的做法已完全符合GDPR規範。DPC將持續監管LinkedIn的合規情形，並要求LinkedIn必須於開始處理資料後的五個月內提交一份報告，以評估其保護措施的成效。
   • 資料來源：https://www.dataprotection.ie/en/news-media/latest-news/dpc-statement-linkedin-ai-training

 

▶ 司法動態 ◀

• 電子隱私指令優先！歐盟法院Inteligo案釐清：電子隱私指令的「軟性同意」為特別法，無需適用GDPR第6條
  事實：Inteligo Media是一家線上新聞出版商(avocatnet.ro)，推出「Premium服務」系統，用戶可以免費註冊一個帳戶。註冊後，用戶每月可免費閱讀額外的文章（從免費6篇增加到8篇），並且會透過電子郵件收到「Personal Update」的每日免費電子報，用戶在註冊時可以勾選「我不想收到『Personal Update』」的選項。用戶收到的每封電子報也都包含「取消訂閱」(UNSUBSCRIBE)按鈕。羅馬尼亞個資保護機關(ANSPDCP)以Inteligo Media在未取得 4,357名用戶明確同意的情況下，處理其個資（電子郵件地址）以發送「Personal Update」電子報，違反GDPR第6條為由對其裁罰。Inteligo Media則抗辯其行為符合《電子隱私指令》第13(2)條的「軟性同意」。
  爭點：

1. Inteligo Media發送免費電子報的行為，是否構成「銷售」？儘管用戶是「免費」註冊帳戶，但其電子郵件地址是否能被視為在《電子隱私指令》第13(2)條所指的「銷售產品或服務的過程中」取得的？
2. Inteligo Media發送免費電子報的行為，是否構成「直接開發」？發送這類包含新聞摘要和文章連結（部分文章需付費）的電子報，是否構成第13(2)條所指的「為類似產品或服務進行直接開發」(direct prospecting)？
3. 法律基礎的競合： 如果該行為確實符合《電子隱私指令》第13(2)條的豁免條件，控制者（Inteligo Media）是否還需額外滿足GDPR第6(1)條所列的合法事由？

歐盟法院判決重點​​​​​​​：

1. ​​​​​​​免費註冊仍構成「直接行銷」(direct marketing)
   歐盟法院認為，雖然用戶是免費創建帳戶，但此項免費服務，如提供額外文章和電子報具有廣告目的，旨在推廣Inteligo Media提供的完整訂閱付費內容，因此，提供免費服務的成本被吸收至付費內容價格中。亦即經濟上的對價關係並不侷限於金錢，行銷策略價值亦屬之，故此種間接報酬符合《電子隱私指令》第13(2)條中「直接行銷」的概念​​​​​​​。
2. 寄送電子報構成「直接行銷開發」(direct prospecting）
   法院認定，即使電子報包含新聞摘要等資訊性內容，其目的仍是為了鼓勵用戶使用該網站並最終訂閱付費內容，具有推廣付費內容的「商業目的」，故寄送電子報構成《電子隱私指令》規定的「為類似產品或服務進行直接行銷開發」。
3. e-Privacy Directive第13(2)條優先於GDPR第6條​​​​​​​
   法院指出，根據GDPR第95條，當《電子隱私指令》2002/58已經針對特定情況制定具體規定時，則GDPR不應施加額外義務。因此，在電子行銷的情境下，若資料控制者（Inteligo Media）的行為已遵守《電子隱私指令》第13(2)條的「軟性同意」規範，亦即電子郵件是在提供服務時收集、行銷內容與相似服務相關、且在收集及每封訊息中都提供清楚、免費的退出選項，則控制者便無需再額外滿足GDPR第6條關於合法事由（如取得用戶同意）的要求。
   • ​​​​​​​​​​​​​​資料來源：https://curia.europa.eu/juris/document/document.jsf?text=&docid=306136&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=3526590
     ​​​