資通安全法律案例宣導彙編 第5輯

　　過去中信局的標案，大多以提供兩種不同的作業系統，供政府機關及學校等公務單位選購，但因大多數的政府機關不瞭解辦公室的電腦是否與 Linux 相容，加上缺乏資訊專業人員，最後絕大多數仍以採購視窗作業系統為主。 　　由於今年立法院在審查預算時，加了附帶決議，要政府機關採購微軟產品的金額要減少 25% ，故中信局最近在執行政府資訊產品採購時，首度強制投標的個人電腦業者，要通過「 Linux 軟硬體相容性基本驗證規範」，從第 11 標開始（案號 LP5 940025 ），明訂投標的廠商要提供符合「基本中文化實用性測試應用規範」（具備瀏覽器、電子郵件、文書處理等功能）的 Linux 作業系統，並通過「 Linux 軟硬體相容性基本驗證規範」。換言之，未來桌上型電腦出貨都必須採雙作業系統（ Linux 與 Windows 並存），可望有效帶動 Linux 相關軟硬體的商機。 　　中信局指出，第 11 標從 5 月 25 日 公告後，到 9 月底結束，交貨期從 6 月中旬開始，總計今年要採購的 10 萬台到 12 萬台桌上型電腦，都必須是雙作業系統。也就是使用者一打開電腦，會出現 Linux 或 window 作業系統，若要讓使用者選擇 Linux 作業系統，業者得強化教育訓練，同時在後續維修服務也要相當用心。預料各公務單位將因此提高桌上型電腦採用 Linux 的意願，對 Linux 作業系統及相關應用軟體的商機，起相當大的帶動作用。

　　芬蘭科學院(Academy of Finland, AOF)是隸屬於芬蘭教育、科學及文化部的專業研究資助機構，旨在促進芬蘭科學研究的多樣化及國際化，資助前端突破性科學研究，提供科學技術及科學政策的專業知識，並加強科學研究的地位。芬蘭科學院最高決策單位為七人委員會，委員會主席由科學院院長出任。 　　底下設有：文化與社會、自然科學與工程、健康醫學以及環境與自然資源四個研究委員會。每一委員會設主席一人委員十人，任期三年。行政單位由大約一百位專家組成，主要工作為準備及執行七人委員會及各研究委員會的各項工作與決策，並撰寫科學報告和研究計畫。 　　其任務包括獎助大學與研究機構內的科學研究工作與團隊、參與多邊研究計畫的規劃與獎助、資助芬蘭研究人員參與國際研究計畫、評估科研計畫的品質及水準，以及科技政策專業諮詢等。研究範圍涵蓋建築、太空研究、細胞生物和心理學到電子和環境科學研究。

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。