根据全球律师事务所DLA Piper的GDPR罚款和资料外泄调查显示，2024年整个欧洲共计开出罚款总额达12亿欧元（12.6亿美元）。其中，爱尔兰资料保护委员会因LinkedIn处理客户资料不当而处以3.1亿欧元罚款、对Meta的「View As」功能中的漏洞而处以2.51亿欧元罚款。荷兰资料保护局因Uber未经许可将个人资料传输到第三国而处以2.9亿欧元罚款；而对Netflix处以475万欧元罚款，原因是该公司在2018年至2020年间未充分告知客户对其个人资料的使用方式，违反GDPR的透明度要求。

世界各国政府纷纷制定和修订更严格的资料隐私法规来加强保护个人资讯，国际隐私权专家协会（IAPP）指出，目前已有144个国家实施资料保护和隐私法，约全球82%的人囗受到某种形式的国家资料隐私立法的保护。

世界各国政府纷纷制定和修订更严格的资料隐私法规来加强保护个人资讯，国际隐私权专家协会（International Association of Privacy Professionals, IAPP）指出，目前已有144个国家实施资料保护和隐私法，约全球82%的人囗受到某种形式的国家资料隐私立法的保护。

除了欧洲既定的资料保护法透过积极的监管和执法行动不断发展之外，美国虽没有全面的国家隐私法，但在联邦层级有针对特定产业的隐私和资料安全法，在州层级也陆续推出自己的隐私法。对在美国营运的企业来说，不仅必须遵守适用的联邦法律，还必须遵守众多州的隐私和资料安全法。而亚太地区的隐私法规多采用类似GDPR的原则，但不同地区的严格程度有所区别；另在资料本地化和跨境资料传输上，与GDPR亦有不同的要求。

随着AI的快速发展，AI治理与资料保护密切相关。2024年12月欧洲资料保护委员会（European Data Protection Board）针对使用个人资料开发和部署AI模型发布意见，该意见是欧盟在AI模型使用个人资料采取一致做法的重要起点，希??透过确保个人资料受到保护，并完全遵守GDPR来支持负责任的AI创新。

值得注意的是，美国川普政府对AI的监管立场转变，强调摆脱监管、促进创新，包括撤销先前的AI相关行政命令，并实施新的指令来指引AI的发展和应用。面对不断变化的全球法规环境，企业维护资料隐私已是日益复杂的问题。

面对日益数位化的世界，资料外泄和身分盗用是常见的隐私威胁。随着生成式AI和大型语言模型的出现，为资料隐私带来复杂性。第一，AI系统仰赖大量的训练资料，引起社会大众对其如何收集、储存、共享和使用的担??，如果未经同意而收集或使用资料，就会导致严重的隐私侵犯。第二，利用指纹、脸部辨识等技术收集生物特徵资料，在未经个人明确同意的情况下使用，将导致被监视的风险，尤其该资料一旦泄露，後果将非常严重。美国脸部辨识公司Clearview AI因建立人脸资料库并未充分告知或徵求同意，2024年被荷兰资料保护局处以3,050万欧元罚款。第三，演算法偏见可能导致对特定群体的歧视，甚至做出有偏见的决定。

除了上述的隐私问题之外，隐私和资料安全专家Daniel J. Solove更指出核心问题：AI可以透过分析看似无关的资料点来推断个人讯息，产生只有透过直接存取敏感资讯才能得到的见解。例如AI透过分析个人的线上搜寻、购物习惯和活动模式来推断医疗状况，不需要存取官方健康记录。现行围绕在资料所有权和同意的隐私框架，并不足以对应AI在没有直接与用户互动的情况下推断，并从中获取经济利益的能力。因此，在AI推论和提取资料价值的能力背景下，必须重新思考隐私的核心概念。

（本文为励秀玲、洪春晖共同执笔，励秀玲为资策会MIC产业顾问兼主任，洪春晖为资策会MIC所长）