對「促進資料創新利用發展條例草案」的建議

魏杏芳 政大法學院兼任副教授、前公平會委員

2025 年 8 月 12 日

　　茲對數位發展部預告之「促進資料創新利用發展條例草案」（以下稱「本草案」）表達意見如下：

一、有關「資料利他」的定義

　　第 3 條第 5 款定義何謂「資料利他」，立法說明提及係參考歐盟資料治理法(Data Governance Act, DGA)第 2 條第 16 款而定。惟歐盟 DGA 第 2 條第 16 款對於利他主義的描述，而是資料提供者不收取超過成本的補償(without seeking or receiving a reward that goes beyond compensation related to the costs that they incur)，使資料提供者不致於受到損失，以提升自願提供資料的誘因。因此本草案就「資料利他」的立法原意，是否指完全無償，宜予澄清或修正。

二、第二十一條有關促進產業自願共享資料予政府機關的規定

　　就事業與政府間(business-to-government, B2G)的資料共享，歐盟在「資料法」(Data Act) [1]第五章設有規定，但前提是政府有「例外需求」(an exceptional need)情況。而所謂「例外需求」的時間與範圍都應受到限制，且是不可預見的公共緊急事件(a public emergency)，而公部門又無法及時[2]、有效地藉其他替代管道取得該等資料時，例如 Covid-19 突然全球大流行的情況，始符合例外需求的要件。

　　其他非緊急(non-emergency)事件也可能構成「例外需求」，例如為完成官方統計或是自公共緊急事件復原的目的[3]，公部門也有資料的例外需求，但此時要求私人事業提供資料的條件更為嚴格，只能要求提供非個資的資料，同時微型及小型事業得免於適用此項義務。一旦符合「例外需求」的要件，無論是公共緊急或非緊急情況，受資料請求的私人事業都有提供資料的義務，無正當理由拒絕或遲延提供資料，資料法也設有處罰的規定。如果是基於公共緊急事件而提出的資料要求，資料持有者應免費提供；但若是為了非緊急事件的目的，資料持有事業得請求補償因此所生技術面及組織面的成本，例如為了假名化、匿名化或技術調整所生的支出等等[4]。

　　比較之下，「本草案」第二十一條所定的「產業自願共享資料予政府機關」，與前述歐盟資料法的設計完全不同。「本草案」第二十一條只宣示了政府機關得建立完善 B2G 的自願共享機制，但制度本身的內容、要件與法律效果，皆付之闕如，立法的方式嚴重悖離法律明確性原則，再希冀藉施行細則的形式，將法律未規定的事項載入其中，違反法律保留原則，實不可取。同條第二項又規定：「前項機制以公開方式為之者，政府機關應將其運作程序、資料授權條款及其他可能重大影響產業權益之事項，公開於網站。」參考本條的立法說明中提到，「⋯爰訂定第一項。其資料共享之方式，得以契約、採購、參與計畫或其他合作方式為之。」整體觀之，該制度的設計似乎是事業以對政府共享其資料，作為取得機關合約或政府給予相對利益的條件，雖然形式上企業有決定是否共享的自由，但操作的過程倘未能嚴格遵守公平、合理、不歧視原則，恐怕形成由政府主導的市場進入障礙，或大者恆大而不利於中小企業的市場環境。

三、第二十條有關「政府得鼓勵產業間合作」自願共享資料的規定

　　促進資料創新利用的核心之一，就是私部門資料的流通與再利用，「本草案」只有一條即第二十條加以規範，但卻是最值得商榷的條文。

　　第一，本條規範「產業間合作」，並未課政府任何義務以建立「產業間」資料共享機制，僅訓示性地「得」「鼓勵」產業自願為之。惟目前不同產業部門的資料規格不統一，例如衛生福利部正在推動全國電子病歷標準化，導入與國際接軌的 FHIR(Fast Healthcare Interoperability Resources)規則，以終極解決醫療機構數據互通問題，但這又與金融或流通業各自標準不一，政府「應」有權力與責任，就資料的基礎設施及治理模式，建立最根本的要求或標準，以實現草案第二十條所稱「產業間」合作的目標，故有必要在本草案中增列相關條文以為法源。

　　第二，政府已推動資料標準化多年，包括推出「領域資料標準訂定流程參考指引」、政府資料標準平臺等，惟其本質是針對公部門資料集而設。技術上私人事業可以檢索、下載、套用，但仍可能因不符事業自身需求，或欠缺法律上強制，導致各產業規格不統一，而且政府與私部門也幾乎沒有資料共享制度的銜接。為實現本條第一項規定的建立「安全、可存取及可互通」之機制，政府宜積極承擔制定最低相互可操作標準框架（例如 API 格式、「詮釋資料（metadata）規範」、資料格式 schema）的任務，為日後公私部門暨不同產業間的資料兼容預作準備，為 AI 的發展奠基。

　　第三、「本草案」第二十條第二項第一款規定：「適當告知資料內容、授權條款、資料來源及其他資訊」，作為資料共享的提升措施。問題是，如果尚無具體存在的雙方當事人或可提供資訊的對象存在，將如何告知相關內容或條件？我國目前尚未建立任何的資料中介服務機制（例如歐盟依 DGA 是採「資料交換」(data exchange)設計）[5]，亦無類似歐盟的「歐洲健康資料空間」建置，也就是強制所有的「資料持有者」（包括公、私部門），必須就自己持有的法定健康資料類型(categories of electronic health data)，按一定規格事先登錄並予公開，這些資料的描述至少應包括資料類型、格式、使用限制等等。資料使用者再透過已經設置的「健康資料近用機關」，接觸適當的資料持有者，並經一定的「許可程序」(permitting process)後取得資料加以利用。我國在沒有任何制度存在的情形下，事業既不能公開查詢，也無配對機制，再進行共享條件的資訊告知，完全只能依賴企業自行探索、洽詢。本條突兀地規定以「告知」作為資料互通的提升措施，本款規定當如何適用呢？實在令人費解。

　　整體而言，本條將產業資料共享的基礎（安全、可存取及可互通）、共享機制的設計或選擇，以及真正進行交換資料時的條件等不同層次的問題，混合規定在同一條文裡，立法邏輯脈絡不清晰，將使得本條難以適用而弱化規範價值。「本草案」的「產業資料共享」章應該增補的條文實在很多，宜重新思考規劃。

[1] Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act), OJ L, 2023/2854, 22.12.2023, pp.1-71 (Data Act).

[2] Data Act, Article 15(1)(a).

[3] Data Act, Article 15(1)(b).

[4] Data Act, Article 20(1), (2).

[5] 陳箴，〈讓資料動起來：資料中介服務〉，收錄於王自雄主編，經濟部 財團法人資訊工業策進會，《AI法制的3H :人工智慧這樣管就對了》，2023年11月，頁117-145。

（原發表於公共政策網路參與平臺「數位發展部公告：預告制定『促進資料創新利用發展條例』」：https://join.gov.tw/policies/detail/4fcaaa73-e5e4-4f59-a6cb-bcb9f43f3630）