國際推動綠色科技發展重要法制政策研析

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 國際特赦組織（Amnesty International）與法國數位隱私權倡議團體La Quadrature du Net（LQDN）等組織於2024年10月15日向法國最高行政法院提交申訴，要求停止法國國家家庭津貼基金機構（Caisse nationale des allocations familiales，CNAF）所使用的歧視性風險評分演算法系統。 CNAF自2010年起即慣於使用此系統識別可能進行福利金詐欺的對象，該系統演算法對獲取家庭與住房補助的對象進行0至1之間的風險評分，分數越接近1即越可能被列入清單並受調查，政府當局並宣稱此系統將有助於提升辨識詐欺與錯誤的效率。 LQDN取得該系統的原始碼，並揭露其帶有歧視性質。該等組織說明，CNAF所使用的評分演算法自始即對社會邊緣群體如身心障礙者、單親家長，與低收入、失業、居住於弱勢地區等貧困者表現出懷疑態度，且可能蒐集與系統原先目的不相稱的資訊量，這樣的方向直接違背了人權標準，侵犯平等、非歧視與隱私等權利。 依據歐盟《人工智慧法》（Artificial Intelligence Act，下稱AIA），有兩部分規定： 1. 用於公機關評估自然人是否有資格獲得基本社會福利或服務，以及是否授予、減少、撤銷或收回此類服務的人工智慧系統；以及用於評估自然人信用或建立信用評分的人工智慧系統，應被視為高風險系統。 2. 由公機關或私人對自然人進行社會評分之人工智慧系統可能導致歧視性結果並排除特定群體，從此類人工智慧總結的社會分數可能導致自然人或其群體遭受不當連結或程度不相稱的不利待遇。因此應禁止涉及此類不可接受的評分方式，並可能導致不當結果的人工智慧系統。 然而，AIA並未針對「社會評分系統」明確定義其內涵、組成，因此人權組織同時呼籲，歐盟立法者應針對相關禁令提供具體解釋，惟無論CNAF所使用的系統為何種類型，因其所具有的歧視性，公機關皆應立即停止使用並審視其具有偏見的實務做法。

社群媒體是溝通資訊之重要工具。但部分社群媒體向用戶投放易使人成癮的資訊，對兒童和青少年福祉形成重大風險。據此緣由，美國加州立法機關於2024年1月29日提出社群媒體青少年成癮法草案（Social Media Youth Addiction Law），規定社群媒體除非能合理確定用戶非未成年人，或取得未成年用戶家長同意，否則不得向用戶提供易使人成癮的資訊。 該草案將網路或應用程式中，依用戶特徵或習慣，優先顯示的多片段資訊，定義為易使人成癮的資訊（addictive feed）。除非該資訊符合以下例外條件： (1) 用戶用以搜尋資訊的關鍵字不會被使用的設備記憶，且該資訊與用戶過去的社群媒體使用行為無關。 (2) 是因用戶隱私設定、設備規格、未成年人限制而呈現的資訊。 (3) 是因用戶明確要求而提供，且不易使人成癮的資訊。 (4) 是用戶間直接且非公開之通訊組成的資訊。 (5) 是同一資訊來源，且在音檔或影片形式下，不會自動連續播放的資訊。 該草案亦規定投放易使人成癮資訊的社群媒體，不得在深夜至凌晨時段、上學至放學時段，以及開學期間的週一到週五，向未成年用戶發送通知，除非已取得未成年用戶家長同意。 最後，該草案規定投放易使人成癮資訊的社群媒體每年向公眾揭露未成年用戶總數量、家長同意接收易成癮資訊的未成年用戶數量等資訊。該規定有利大眾監督社群媒體對法規之遵循情況，並促進社會對兒童、青少年身心健康的關心。

　　2018年4月26日世界知識產權日（World Intellectual Property Day），加拿大政府發布新的國家智財戰略。透過提昇加拿大企業的智財意識與加強智財服務業者監管，促進加拿大的創新生態體系。這次加拿大的智財戰略以法制、意識與工具為三大重點，內容涵括推動修法消除法制障礙、推動國民智財意識提昇、提供智財交易平台等工具給企業運用。其中法制障礙特別強調加拿大政府將立法防止國外專利蟑螂惡意運用智慧財產權的行為，以保障其企業在國際的競爭力。 　　其實臺灣在2012年由於產業面臨國際競爭，行政院就制定有「國家智財戰略綱領」，針對智財透過創造、運用流通、保護及人才等面向，擬訂戰略重點執行為期4年的智財行動計畫，目標引導產學研提升智財競爭力。今年智財行動計畫已執行完畢，但未來前瞻發展仍需擬定我國智財發展的戰略，沒有戰略性的布局與智財保護，政府投注再多經費，也無法幫助企業增加在國際市場上的競爭力。 　　期待臺灣政府部門能夠參考國際上，包括加拿大的智財戰略做法，廣納產業、學界更多的好意見，規劃我國智財政策接下來的10步棋該怎麼下。