2026 年,數位主權已從學術辯論躍升為國際經貿的核心議程。當歐盟持續擴大 GDPR 適足性認定的版圖、美國推動「可信任數據自由流通」(Data Free Flow with Trust, DFFT)框架、中國以《數據安全法》構築數據本地化堡壘時,台灣正站在一個關鍵的十字路口。台灣《個人資料保護法》自 2012 年施行以來,歷經數次小幅修正,但在跨境數據傳輸的制度設計、獨立監管機構的設置、以及與國際資料保護標準的對接上,仍存在顯著的結構性落差。這不僅是法律技術層面的問題——它直接影響台灣企業在全球數位供應鏈中的競爭地位,也牽動台灣在數位主權戰略佈局中的國際定位。本文從歐盟適足性認定機制出發,系統分析台灣在跨境數據治理面臨的挑戰與機遇,並探討 AI 時代對數據主權概念的根本性衝擊。

一、數位主權的概念演進:從網路治理到數據主權

數位主權(digital sovereignty)並非憑空出現的概念。它的知識譜系可以追溯到 1990 年代末期的「網路治理」(internet governance)辯論——彼時的核心問題是:誰擁有治理全球網際網路的權力?是主權國家,還是以 ICANN(網際網路名稱與數字位址分配機構)為代表的多方利害關係人模式(multi-stakeholder model)?這場辯論在 2003 年與 2005 年的「資訊社會世界高峰會」(WSIS)中達到高峰,最終形成了一個不穩定的妥協:技術協調由非政府機構主導,但國家保留對國內網路政策的主權。[1]

然而,2013 年的史諾登事件(Snowden revelations)徹底改變了這場辯論的性質。當全球得知美國國安局(NSA)透過 PRISM 計畫大規模監控盟國領導人的通訊、攔截跨境光纖電纜中的數據流量時,「數據主權」(data sovereignty)的概念急速升溫。歐盟因此加速了 GDPR 的立法進程——原本預計 2014 年通過的草案,經過強化後於 2016 年正式通過、2018 年施行。史諾登事件揭示的不僅是隱私問題,更是一個根本性的主權問題:當一國公民的數據大量儲存在他國的伺服器上時,數據所在國的情報機構是否能夠繞過數據來源國的法律管轄權,直接存取這些數據?

從網路治理到數據主權,再到當前的「數位主權」概念,演進的軌跡清晰可見。數位主權至少包含四個遞進的層次:第一層是基礎設施主權——對電信網路、海底電纜、資料中心等實體基礎設施的管轄與控制。第二層是數據主權——對境內產生或涉及本國公民的數據之管轄權主張。第三層是演算法主權——對影響本國公民權益的演算法系統(如信用評分、內容推薦、自動化決策)進行監管的能力。第四層是 AI 主權——在生成式 AI 時代,對訓練數據的來源、模型的訓練過程、以及 AI 系統的部署進行主權管轄。[2]

台灣在這四個層次上的表現參差不齊。在基礎設施主權方面,台灣擁有完善的電信基礎設施與多條國際海底電纜的登陸點,但本土的大型雲端服務供應商仍相對不足,多數企業依賴 AWS、Azure 或 Google Cloud 的海外節點。在數據主權方面,《個人資料保護法》提供了基本框架,但缺乏獨立的資料保護監管機構——這是台灣在國際資料保護評比中最常被指摘的結構性缺陷。在演算法主權與 AI 主權方面,台灣尚處於起步階段。《人工智慧基本法》草案雖已提出,但對 AI 系統的訓練數據治理、跨境 AI 服務的監管等議題,尚未形成具體的法律框架。

值得注意的是,數位主權不等同於數位孤立主義。一些論者將數位主權簡化為「數據本地化」(data localization)——要求所有數據都必須儲存在本國境內。這種做法在中國與俄羅斯被大量採用,但對於台灣這樣高度依賴國際貿易與全球供應鏈的經濟體而言,全面的數據本地化不僅在技術上不可行,在經濟上也將造成巨大損失。真正的數位主權應當追求的是「有條件的數據流通」——在保障個人權利與國家安全的前提下,建立可信任的跨境數據流動機制。這正是歐盟 GDPR 適足性認定機制所體現的治理哲學。

二、歐盟 GDPR 與適足性認定機制——台灣為何需要重視

GDPR 第 45 條建立了「適足性認定」(adequacy decision)機制:歐盟執委會可以認定某一第三國或國際組織提供了「實質等同」(essentially equivalent)於歐盟水準的個人資料保護,從而允許個人數據在無需額外保障措施的情況下自由傳輸至該國。截至 2026 年初,已獲得歐盟適足性認定的國家與地區包括:日本、韓國、英國、加拿大、紐西蘭、以色列、阿根廷、烏拉圭、瑞士,以及 2023 年新獲認定的美國(透過 EU-US Data Privacy Framework)。[3]

台灣目前尚未獲得歐盟的適足性認定。這對台灣企業意味著什麼?首先,任何處理歐盟公民個人資料的台灣企業(包括電子商務、雲端服務、金融科技、醫療健康等領域),都必須透過「標準契約條款」(Standard Contractual Clauses, SCCs)或「拘束性企業規則」(Binding Corporate Rules, BCRs)等替代機制來合法化跨境數據傳輸。這不僅增加了合規成本,更在實務上限制了台灣企業與歐洲市場的數據互通效率。其次,在全球供應鏈的脈絡下,缺乏適足性認定意味著台灣可能被排除在以歐盟標準為基準的跨境數據流通網路之外——而隨著越來越多的亞洲國家(日本、韓國)獲得認定,台灣的相對競爭劣勢正在擴大。[4]

歐盟在進行適足性評估時,主要考量四個面向。第一是法律框架——該國的資料保護法是否涵蓋了核心原則,包括目的限制、資料最小化、儲存期限限制、資料安全、透明度等。第二是獨立監管機構——該國是否設有獨立的資料保護監管機關(Data Protection Authority, DPA),且該機關是否具備足夠的權力與資源來執行法律。第三是個人權利救濟——資料當事人是否能有效地行使其權利(如存取權、更正權、刪除權),並在權利受侵害時獲得有效的行政或司法救濟。第四是政府存取限制——該國的國家安全與執法機關在存取個人資料時,是否受到必要性與比例原則的約束,以及是否有獨立的監督機制。

以日本為例,其於 2019 年獲得歐盟適足性認定的過程具有重要的參考價值。日本的《個人資訊保護法》(APPI)在 2003 年制定時,與歐盟標準存在相當差距。為了爭取適足性認定,日本於 2015 年大幅修正 APPI,新設「個人資訊保護委員會」(PPC)作為獨立監管機構,並在與歐盟的磋商過程中,透過「補充規則」(Supplementary Rules)進一步強化對敏感個人資訊的保護——包括將種族、信仰、病歷、犯罪紀錄等納入特別保護範疇。日本的經驗顯示:適足性認定不是一個「全有或全無」的判斷,而是一個持續談判、逐步趨近的過程。台灣完全有可能循此路徑推進。[5]

韓國於 2021 年獲得適足性認定的案例則進一步說明了制度改革的關鍵要素。韓國在 2020 年通過了所謂的「數據三法」修正案——同時修正《個人資訊保護法》(PIPA)、《資通網路法》與《信用資訊法》,最重要的變革包括:將分散在不同部會的資料保護權責統一至「個人資訊保護委員會」(PIPC),賦予其獨立的行政與調查權限;明確規範去識別化(pseudonymization)與匿名化(anonymization)的法律效果;以及強化跨境數據傳輸的規範框架。韓國的經驗對台灣的啟示尤為直接:當資料保護的監管權責分散於多個部會(如台灣目前的狀況)時,不僅增加了企業的合規負擔,更難以在國際上展現一致且可信賴的治理體系。

三、台灣《個人資料保護法》修正與國際接軌挑戰

台灣現行的《個人資料保護法》(以下簡稱「個資法」)自 2012 年施行以來,雖經數次修正,但其核心架構仍停留在前大數據、前 AI 時代的思維框架中。若以歐盟適足性評估的四大標準逐一檢視,台灣的法制缺口清晰可見。

在法律框架方面,台灣個資法的基本原則——包括目的限制(第 5 條)、告知義務(第 8 條)、資料安全維護(第 27 條)——與 GDPR 的核心原則大體相容。然而,在幾個關鍵細節上存在重要差距。首先,GDPR 明確區分了「資料控制者」(data controller)與「資料處理者」(data processor)的法律責任,台灣個資法則缺乏這一區分,導致在雲端運算、委外處理等場景中的責任歸屬不夠明確。其次,GDPR 引入了「資料保護影響評估」(Data Protection Impact Assessment, DPIA)的強制要求——當資料處理可能對個人權利產生高風險時,控制者必須事先進行影響評估。台灣個資法目前沒有對應的規範。第三,GDPR 的「被遺忘權」(right to erasure / right to be forgotten)在台灣法制中尚無明確的法律基礎。[6]

在獨立監管機構方面,這是台灣面臨的最關鍵結構性缺陷。台灣目前的個資保護監管權責採「分散式」架構——各目的事業主管機關(如金管會、衛福部、通傳會等)各自負責其管轄範圍內的個資保護事務,而沒有一個統一的、獨立的個人資料保護專責機構。這種架構的問題是多層次的:第一,監管標準不一致——不同部會對個資保護的執行力度與解釋標準差異甚大。第二,跨領域議題無人管轄——當個資保護議題橫跨多個部會的管轄範圍時(例如使用醫療數據進行 AI 模型訓練的金融科技應用),容易出現監管真空或管轄權衝突。第三,在國際上缺乏對口——歐盟的各國資料保護機關(如法國 CNIL、德國 BfDI)在進行國際合作時,期望與對等的獨立監管機構對話,而台灣的分散式架構難以滿足這一需求。

值得肯定的是,台灣已在 2023 年成立「個人資料保護委員會籌備處」,並規劃於 2025 年正式成立獨立的個人資料保護委員會。然而,這一進程的關鍵在於:該委員會是否能獲得真正的獨立性——包括獨立的預算編列、人事任命的獨立性、以及不受行政院其他部會干預的調查與處分權限。日本 PPC 與韓國 PIPC 的經驗都顯示:監管機構的「名義獨立」與「實質獨立」之間往往存在相當的落差,而歐盟在適足性評估中極為重視的正是後者。

在個人權利救濟方面,台灣個資法賦予當事人的權利包括查詢、閱覽、複製、補充、更正、停止蒐集處理利用、以及刪除(第 3 條)。這些權利的範圍基本涵蓋了 GDPR 下的核心當事人權利。然而,在實際執行層面,當事人要行使這些權利時往往面臨諸多實務障礙:企業的回應機制不夠完善、缺乏標準化的權利行使流程、以及救濟途徑(行政申訴或民事訴訟)的效率有待提升。GDPR 要求資料控制者在一個月內回應當事人的權利請求——台灣個資法並未設定明確的回應期限。

在政府存取限制方面,這是適足性評估中最為敏感的面向。歐盟法院(CJEU)在 2020 年的 Schrems II 判決中,正是以美國的大規模監控計畫缺乏足夠的必要性與比例性審查為由,推翻了歐美之間的「隱私盾」(Privacy Shield)協議。台灣的《通訊保障及監察法》對執法機關的通訊監察設有法官令狀的要求,但在國家安全領域的資料存取規範,是否能滿足歐盟「實質等同」標準的嚴格審查,仍需進一步的法律研析與制度強化。[7]

四、跨境數據流動:台灣企業面臨的合規風險

跨境數據流動的治理困境不僅是政府層面的制度議題——它直接衝擊著每一家參與國際商業活動的台灣企業。在我為世界銀行主持的跨國數位經濟研究中,最令我印象深刻的發現之一是:多數中小型企業對跨境數據傳輸的法律風險嚴重低估,往往直到面臨具體的合規挑戰或監管處分時,才驚覺問題的嚴重性。[8]

台灣企業在跨境數據流動中面臨的合規風險可以從三個維度來理解。第一個維度是「向外傳輸」風險——當台灣企業將個人資料傳輸至境外時(例如使用設在海外的雲端服務、將客戶數據傳輸給境外母公司或合作夥伴),需要遵循的法律規範。台灣個資法第 21 條規定,非公務機關為國際傳輸個人資料時,需考量國際條約或協定、資料接收國之個人資料保護水準等因素。然而,這一條文的實際操作指引相當模糊——目前並沒有類似歐盟適足性認定清單的具體指引,告訴企業哪些國家的保護水準被認定為適足。在此空白下,企業的自律與自我評估成為主要依據,而多數企業缺乏進行此類評估的專業能力。

第二個維度是「向內合規」風險——當台灣企業處理來自其他國家(特別是歐盟)的個人資料時,需要遵循的域外法律。GDPR 的域外效力意味著:即便一家台灣企業在歐盟沒有實體據點,只要它向歐盟境內的個人提供商品或服務(第 3 條第 2 項第 a 款),或者監控歐盟境內個人的行為(第 3 條第 2 項第 b 款),就必須遵守 GDPR 的全部要求。這對台灣的電子商務企業、SaaS 供應商、以及任何向歐洲客戶提供服務的科技公司,都構成了實質的合規壓力。GDPR 的違規罰款上限為全球年營收的 4% 或 2,000 萬歐元(取其高者)——這不是一個可以忽視的風險。

第三個維度是「供應鏈合規」風險——即便台灣企業本身不直接面對歐盟消費者,但作為全球供應鏈中的一環,其上游或下游合作夥伴可能要求符合 GDPR 或其他國際資料保護標準。在半導體、電子製造、資訊服務等台灣的優勢產業中,這種供應鏈傳導的合規壓力已越來越明顯。例如,當一家台灣的雲端服務供應商為歐洲的汽車製造商提供數據儲存與處理服務時,即便最終用戶的個人資料可能主要在歐洲產生與使用,台灣供應商仍必須作為「資料處理者」遵守 GDPR 的相關要求——包括簽署資料處理協議(Data Processing Agreement, DPA)、實施適當的技術與組織措施、以及在發生個資外洩時協助通報。

在 APEC 框架下,台灣已於 2019 年加入「跨境隱私規則體系」(Cross-Border Privacy Rules, CBPR),這提供了一個有別於 GDPR 路徑的跨境數據流通機制。然而,CBPR 體系的國際認受度遠不及 GDPR 適足性認定——歐盟明確表示 CBPR 不足以作為向歐盟傳輸個人資料的合法基礎。此外,日本主導的「可信任數據自由流通」(DFFT)倡議,以及 2023 年成立的「數據自由流通伙伴關係制度安排」(IAP),正在嘗試建立一個超越 GDPR 與 CBPR 二元框架的新路徑——但這一倡議目前仍處於早期階段,其法律拘束力與實際操作機制尚未定型。台灣應積極參與 DFFT 的發展過程,以確保自身利益在新框架的設計中得到反映。[9]

對台灣企業而言,最務實的做法是「以歐盟標準為基準」進行全面的合規體系建設。這不僅是因為 GDPR 是目前全球最嚴格的資料保護標準(因此符合 GDPR 通常也能滿足其他法域的要求),更是因為 GDPR 正在成為全球的事實標準——巴西的 LGPD、印度的 DPDPA、泰國的 PDPA,甚至中國的《個人資訊保護法》,都在不同程度上借鑑了 GDPR 的架構。與其逐一應對各國的不同要求,不如建立一套以 GDPR 為基準的「一次合規、全球通用」的數據治理體系。這正是超智諮詢為台灣企業提供的核心服務之一。

五、AI 時代的數據治理新維度——訓練數據的主權歸屬

生成式 AI 的崛起為數據主權帶來了前所未有的挑戰。傳統的數據主權框架建立在一個基本假設之上:數據是可以被識別、定位、控制的離散資訊單位。然而,當數十億筆個人數據與公共數據被用於訓練大型語言模型(LLMs)時,這個假設便被根本性地瓦解了。一個經過訓練的 AI 模型,是否「包含」了訓練數據?如果一個模型使用了台灣公民的數據進行訓練,台灣是否對該模型擁有某種形式的數據主權?如果該模型在美國訓練完成後部署到歐洲,適用的是哪國的資料保護法?[10]

這些問題的法律答案目前尚不明確,但幾個趨勢已經浮現。歐盟的《人工智慧法》(EU AI Act)採取了「風險分級」的監管思路,對高風險 AI 系統的訓練數據品質、文件化、偏見檢測提出了明確要求。特別是第 10 條關於「訓練、驗證和測試資料集」的規範——高風險 AI 系統的提供者必須確保訓練數據集符合品質標準,包括數據的代表性、準確性、完整性,以及對潛在偏見的評估與緩解。這意味著 AI 訓練數據的治理不再只是技術選擇,而是法律義務。[11]

對台灣而言,AI 訓練數據的主權議題至少有三個維度值得關注。第一是「數據輸出」維度——台灣豐富的繁體中文數位內容(包括新聞、學術出版物、政府開放資料、社群媒體內容),正在被全球的 AI 公司大量擷取作為訓練數據。這些數據的價值不僅在於其語言特性,更在於它們所承載的文化知識與在地智慧。當這些數據被無償地納入商業 AI 模型的訓練語料庫時,台灣社會作為數據的原始產出者,是否應當享有某種形式的收益分配或使用控制權?這是一個介於著作權法、資料保護法與數位主權之間的灰色地帶。

第二是「模型進口」維度——當台灣的企業與政府機構大量使用由美國(OpenAI、Google、Anthropic)或中國(百度、阿里巴巴)開發的 AI 模型時,這些模型內嵌的價值觀、知識偏差與文化假設,是否與台灣社會的需求與價值相容?一個典型的例子是:主流的大型語言模型在處理台灣相關議題時,往往反映的是英語世界的觀點——無論是對台灣國際地位的描述、對台灣歷史的敘述,還是對台灣法律制度的理解,都可能存在系統性的偏差。這不是傳統資料保護法能夠處理的問題,而需要一套新的「AI 內容主權」框架。

第三是「合成數據」維度——生成式 AI 可以大量生產合成數據(synthetic data),這些合成數據在統計特性上模擬真實數據,但不直接對應任何特定的真實個人。合成數據的出現為資料保護法帶來了根本性的挑戰:如果一個 AI 模型使用真實個人資料進行訓練,然後生成不包含個人資訊的合成數據集,這些合成數據是否仍受個資法的規範?歐盟的初步立場是:匿名化的數據不屬於 GDPR 的適用範圍,但合成數據是否構成有效的匿名化,取決於「重新識別」(re-identification)的風險是否被充分消除。台灣的個資法目前對去識別化與匿名化的法律定義尚不夠精確,這在 AI 應用日益普及的背景下,將成為越來越突出的法律不確定性來源。

AI 數據治理的國際實踐中,幾個創新性的框架值得台灣借鑑。新加坡的「模型 AI 治理框架」(Model AI Governance Framework)採取了務實的「以風險為基礎」方法,不追求全面監管 AI 系統,而是聚焦於高風險場景的治理要求。加拿大的「演算法影響評估工具」(Algorithmic Impact Assessment Tool)提供了一套標準化的流程,讓政府機構在部署 AI 系統前評估其對個人權利的影響。這些實踐經驗都指向一個共同的方向:AI 時代的數據治理需要超越傳統的「個人資料保護」框架,建立一套更為全面的「數位信任基礎設施」——涵蓋數據的蒐集、儲存、處理、跨境傳輸、AI 訓練使用、模型部署與輸出監測的完整生命週期。[12]

六、超智諮詢的跨境合規實踐

在超智諮詢的實務工作中,我們深刻體會到跨境數據治理不是一個可以「一次性解決」的合規專案,而是一個需要持續維護的治理體系。以下分享我們在協助台灣企業建立跨境合規能力過程中的幾項核心方法論。

第一,「數據地圖」(Data Mapping)為基礎的合規起點。在我們的諮詢實踐中,最常見的問題是:企業不知道自己有哪些個人資料、這些資料從哪裡來、儲存在哪裡、傳輸到哪裡、由誰處理、保留多久。沒有這張「數據地圖」,任何合規努力都是盲目的。我們開發了一套結合 AI 技術的自動化數據發現與分類工具,能夠掃描企業的資料庫、文件系統、電子郵件與雲端儲存,自動識別並標記個人資料的類型、敏感程度與跨境傳輸路徑。這是邁向合規的第一步,也是最重要的一步。

第二,「隱私設計」(Privacy by Design)的技術實踐。GDPR 第 25 條確立了「資料保護設計與預設」(Data Protection by Design and by Default)的原則——資料控制者應在系統設計階段就將資料保護的原則嵌入技術架構中。在超智諮詢的軟體開發服務中,我們將這一原則具體落實為一套開發流程規範:從需求分析階段的「隱私需求工作坊」、系統設計階段的「威脅模型分析」、到開發與測試階段的「隱私程式碼審查」,確保資料保護不是事後補救,而是內建於系統的基因。

第三,「跨法域合規矩陣」的策略工具。對於在多個法域營運的台灣企業,我們建立了一套「跨法域合規矩陣」——將各主要法域(歐盟、美國各州、日本、韓國、新加坡、中國等)的資料保護要求進行結構化比較,識別出共同的「基準線」(baseline)要求與各法域的「增量」(incremental)要求。這使企業能夠以最經濟的方式實現多法域合規:先建立符合最高標準(通常是 GDPR)的基礎框架,再針對特定法域的獨特要求進行增量調整。

第四,AI 驅動的合規監測與風險預警。法規環境的變化速度遠超過多數企業的法律團隊所能追蹤的範圍。在我們的AI 策略服務中,我們運用自然語言處理技術持續監測全球主要法域的資料保護法規動態——包括新法通過、執法案例、監管指引更新與司法判決——並自動評估這些變化對客戶現有合規框架的影響,生成風險預警與調整建議。在全球資料保護法規日益繁複的趨勢下,這種 AI 輔助的合規監測將成為企業維持持續合規的必要工具。

第五,跨境數據傳輸協議的範本開發。在協助企業建立跨境數據傳輸的合法機制時,我們發現多數台灣企業對 GDPR 的「標準契約條款」(SCCs)缺乏充分理解——包括 2021 年歐盟執委會發布的新版 SCCs 的模組化架構(controller-to-controller、controller-to-processor、processor-to-processor、processor-to-controller 四種情境)、以及「傳輸影響評估」(Transfer Impact Assessment, TIA)的必要性。我們針對台灣企業最常見的跨境數據傳輸場景,開發了一套中文化的 SCCs 實施指南與 TIA 範本,降低了合規的進入門檻。

七、台灣數位主權戰略建議

綜合以上分析,我對台灣的數位主權與跨境數據治理戰略提出以下七項具體建議。

第一,以爭取歐盟適足性認定為中期戰略目標(2027-2028 年)。這不僅是一個法律合規項目,更是台灣數位經濟國際化的戰略投資。具體步驟包括:(1) 加速《個人資料保護法》的全面修正,對標 GDPR 的核心原則與制度要求;(2) 確保個人資料保護委員會的實質獨立性;(3) 強化跨境數據傳輸的法律框架,建立適足性評估的國內機制;(4) 審視國家安全與執法領域的數據存取規範,確保符合必要性與比例原則。在推進過程中,可參考日本與韓國的經驗,透過與歐盟的非正式技術對話提前了解評估要點。[13]

第二,建立「數位信任區」(Digital Trust Zone)的創新治理模式。在等待全面法制改革的過程中,台灣可以先行建立一個或多個「數位信任區」——在特定的產業園區或科技園區中,實施符合國際最高標準的資料保護治理規則,作為跨境數據流通的先行實驗場域。這類似於經濟特區的概念,但針對的是數據治理標準。入駐企業需遵守比現行個資法更為嚴格的資料保護規範,換取的是在國際數據傳輸上的便利性——例如,與已獲得歐盟適足性認定的國家之間建立「互認機制」。

第三,積極參與國際數據治理框架的制定。台灣應更積極地參與 APEC CBPR 體系的深化發展,同時密切關注並爭取參與日本主導的 DFFT/IAP 框架。在國際標準層面,台灣應加強在 ISO/IEC 27701(隱私資訊管理系統)、ISO/IEC 42001(AI 管理系統)等國際標準的參與深度——不僅是作為標準的採用者,更要爭取成為標準制定的參與者。台灣在半導體與資通訊產業的全球影響力,為其在相關技術標準的制定中提供了天然的發言權。

第四,建立 AI 訓練數據的國家級治理框架。台灣應率先制定針對 AI 訓練數據的專門治理規範,涵蓋以下關鍵議題:(1) AI 訓練數據蒐集的透明度與告知義務——AI 開發者應揭露其訓練數據的來源與組成;(2) 個人資料用於 AI 訓練的合法基礎——是否需要明確同意,或可援引「合法利益」(legitimate interest)作為處理基礎;(3) AI 模型中的個人資訊殘留風險——如何評估與緩解 AI 模型記憶(memorization)個人資料的風險;(4) 台灣繁體中文數據資產的保護——防止台灣的數位文化資產被無償擷取與利用。

第五,推動企業數據治理能力的全面升級。政府應透過政策誘因(如稅務優惠、認證制度、公共採購加分)鼓勵企業建立符合國際標準的數據治理體系。特別是對於中小企業,應提供數據治理的公共服務平台——包括合規評估工具、範本化的隱私政策與資料處理協議、以及AI 輔助的合規諮詢服務。超智諮詢在這一領域已開發了多項技術工具,可為政策平台的建設提供技術支持。

第六,強化數據安全的技術主權。數位主權的實現不能僅靠法律框架——它需要技術能力的支撐。台灣應加大投入在隱私增強技術(Privacy-Enhancing Technologies, PETs)的研發與應用上,包括同態加密(homomorphic encryption)、安全多方計算(secure multi-party computation)、差分隱私(differential privacy)、以及聯邦學習(federated learning)。這些技術使得數據可以在不離開本國管轄範圍的情況下被跨境利用——從而在保障數據主權的同時,維持數據流通的經濟效益。台灣的學術研究機構與科技產業在這些領域已有一定的基礎,需要的是將研究成果轉化為可部署的產品與服務。[14]

第七,培育跨域人才與建立知識社群。數位主權與跨境數據治理是一個高度跨學科的領域——需要同時理解國際法、資料保護法、資訊安全技術、AI 技術、國際貿易規則與地緣政治的專業人才。台灣的法學教育與理工教育長期分立,跨域人才極度匱乏。政府與學術界應聯合建立跨領域的研究與培訓平台,系統性地培育能夠在數位治理的國際場域中代表台灣發言的複合型專業人才。在我於浙江大學主持 MBA 課程的經驗中,最具影響力的人才培育模式是「問題導向、跨域協作」——讓法律背景的學生與技術背景的學生共同解決真實的數據治理案例,在實踐中建立跨域的理解與溝通能力。[15]

數位主權不是一個可以被動等待的結果——它是需要主動建構的制度工程。在 AI 技術以指數速度演進、國際數據治理規則快速重塑的當下,台灣面臨的時間窗口正在縮小。然而,台灣擁有獨特的優勢組合:成熟的民主制度提供了建立可信任數據治理體系的制度基礎;半導體與資通訊產業的全球影響力提供了參與國際標準制定的籌碼;高素質的技術與法律人才提供了人力資本的保障。將這些優勢整合為一套前瞻性的數位主權戰略——這不僅是技術問題或法律問題,而是攸關台灣在數位時代國際定位的國家戰略。

陳弘益 教授,日本名古屋大學法學博士。歷任英國劍橋大學研究員暨亞太地區代表、浙江大學國際聯合商學院 MBA 主任暨高管教育主任,為世界銀行、聯合國等國際機構主持跨國政策研究。現帶領超智諮詢,結合商學專業與前沿科技,提供 AI 及量子運算等領域的軟體開發及策略制定服務。策劃全球思想領袖論壇邀集逾 50 位國際領袖、累計觀眾逾 30 萬人次。

References

  1. DeNardis, L. (2014). The Global War for Internet Governance. Yale University Press.
  2. Pohle, J. & Thiel, T. (2020). Digital Sovereignty. Internet Policy Review, 9(4). policyreview.info
  3. European Commission. (2024). Adequacy Decisions: How the EU Determines if a Non-EU Country Has an Adequate Level of Data Protection. commission.europa.eu
  4. Bradford, A. (2020). The Brussels Effect: How the European Union Rules the World. Oxford University Press.
  5. Personal Information Protection Commission, Japan. (2019). Supplementary Rules under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU. ppc.go.jp
  6. European Parliament & Council. (2016). Regulation (EU) 2016/679 — General Data Protection Regulation (GDPR). gdpr.eu
  7. Court of Justice of the European Union. (2020). Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems (Schrems II), Case C-311/18. curia.europa.eu
  8. World Bank. (2021). World Development Report 2021: Data for Better Lives. worldbank.org
  9. Ministry of Economy, Trade and Industry, Japan. (2023). Data Free Flow with Trust (DFFT): Institutional Arrangement for Partnership. meti.go.jp
  10. Bommasani, R. et al. (2022). On the Opportunities and Risks of Foundation Models. Stanford Center for Research on Foundation Models (CRFM). crfm.stanford.edu
  11. European Parliament & Council. (2024). Regulation (EU) 2024/1689 — Artificial Intelligence Act. eur-lex.europa.eu
  12. Infocomm Media Development Authority (IMDA). (2020). Model AI Governance Framework, 2nd Edition. imda.gov.sg
  13. Personal Information Protection Commission, South Korea. (2021). Korea's Adequacy Decision by the European Commission: Key Reforms and Implications. pipc.go.kr
  14. Royal Society. (2019). Protecting Privacy in Practice: The Current Use, Development and Limits of Privacy Enhancing Technologies in Data Analysis. royalsociety.org
  15. OECD. (2024). Recommendation of the Council on Artificial Intelligence (updated). oecd.ai
返回洞見