根據全球律師事務所DLA Piper的GDPR罰款和資料外洩調查顯示，2024年整個歐洲共計開出罰款總額達12億歐元（12.6億美元）。其中，愛爾蘭資料保護委員會因LinkedIn處理客戶資料不當而處以3.1億歐元罰款、對Meta的「View As」功能中的漏洞而處以2.51億歐元罰款。荷蘭資料保護局因Uber未經許可將個人資料傳輸到第三國而處以2.9億歐元罰款；而對Netflix處以475萬歐元罰款，原因是該公司在2018年至2020年間未充分告知客戶對其個人資料的使用方式，違反GDPR的透明度要求。

世界各國政府紛紛制定和修訂更嚴格的資料隱私法規來加強保護個人資訊，國際隱私權專家協會（IAPP）指出，目前已有144個國家實施資料保護和隱私法，約全球82%的人口受到某種形式的國家資料隱私立法的保護。

世界各國政府紛紛制定和修訂更嚴格的資料隱私法規來加強保護個人資訊，國際隱私權專家協會（International Association of Privacy Professionals, IAPP）指出，目前已有144個國家實施資料保護和隱私法，約全球82%的人口受到某種形式的國家資料隱私立法的保護。

除了歐洲既定的資料保護法透過積極的監管和執法行動不斷發展之外，美國雖沒有全面的國家隱私法，但在聯邦層級有針對特定產業的隱私和資料安全法，在州層級也陸續推出自己的隱私法。對在美國營運的企業來說，不僅必須遵守適用的聯邦法律，還必須遵守眾多州的隱私和資料安全法。而亞太地區的隱私法規多採用類似GDPR的原則，但不同地區的嚴格程度有所區別；另在資料本地化和跨境資料傳輸上，與GDPR亦有不同的要求。

隨著AI的快速發展，AI治理與資料保護密切相關。2024年12月歐洲資料保護委員會（European Data Protection Board）針對使用個人資料開發和部署AI模型發布意見，該意見是歐盟在AI模型使用個人資料採取一致做法的重要起點，希望透過確保個人資料受到保護，並完全遵守GDPR來支持負責任的AI創新。

值得注意的是，美國川普政府對AI的監管立場轉變，強調擺脫監管、促進創新，包括撤銷先前的AI相關行政命令，並實施新的指令來指引AI的發展和應用。面對不斷變化的全球法規環境，企業維護資料隱私已是日益複雜的問題。

面對日益數位化的世界，資料外洩和身分盜用是常見的隱私威脅。隨著生成式AI和大型語言模型的出現，為資料隱私帶來複雜性。第一，AI系統仰賴大量的訓練資料，引起社會大眾對其如何收集、儲存、共享和使用的擔憂，如果未經同意而收集或使用資料，就會導致嚴重的隱私侵犯。第二，利用指紋、臉部辨識等技術收集生物特徵資料，在未經個人明確同意的情況下使用，將導致被監視的風險，尤其該資料一旦洩露，後果將非常嚴重。美國臉部辨識公司Clearview AI因建立人臉資料庫並未充分告知或徵求同意，2024年被荷蘭資料保護局處以3,050萬歐元罰款。第三，演算法偏見可能導致對特定群體的歧視，甚至做出有偏見的決定。

除了上述的隱私問題之外，隱私和資料安全專家Daniel J. Solove更指出核心問題：AI可以透過分析看似無關的資料點來推斷個人訊息，產生只有透過直接存取敏感資訊才能得到的見解。例如AI透過分析個人的線上搜尋、購物習慣和活動模式來推斷醫療狀況，不需要存取官方健康記錄。現行圍繞在資料所有權和同意的隱私框架，並不足以對應AI在沒有直接與用戶互動的情況下推斷，並從中獲取經濟利益的能力。因此，在AI推論和提取資料價值的能力背景下，必須重新思考隱私的核心概念。

（本文為勵秀玲、洪春暉共同執筆，勵秀玲為資策會MIC產業顧問兼主任，洪春暉為資策會MIC所長）