資通安全法律案例宣導彙編 第1輯

　　美國《雲端法》（CLOUD Act），全名為《釐清境外合法利用資料法》（Clarifying Lawful Overseas Use of Data Act），於2018年3月23日頒布生效，該法更新《1986年儲存通訊紀錄法》（Stored Communications Act of 1986），並釐清海外資料合法取得：無論資料儲存地在美國境內或境外，美國執法機構均可合法請求通訊紀錄的保存或揭露。 　　《雲端法》有兩大重點：首先，《雲端法》授權美國與其他值得信賴的國家進行雙邊協議，以取得重大犯罪之電子證據。其他國家必須擁有相應的完善法規、隱私、公民權利之保護，方具備與美國簽署雙邊協議的資格。透過雙邊協議，締約雙方可憑對方國家的搜索票等法律文件，直接對通訊服務提供者強制執行。其二，《雲端法》闡明美國與相當多國家長久以來的原則─假設一間公司在特定國家的司法管轄權範圍內，則其所產生的資料應接受該國的管制，資料儲存地為何，在所不問。 　　《雲端法》的立法背景可以追溯到2013年美國聯邦調查局（Federal Bureau of Investigation, FBI）進行緝毒受阻。當時，涉案美國公民的電子郵件存於微軟境外伺服器，FBI持有搜索令，但是微軟以《1986年儲存通訊紀錄法》管轄範圍不及於美國境外為由，拒絕提供系爭電子郵件。2016年聯邦第二巡迴上訴法院於Microsoft Corp. v. United States判決微軟勝訴─美國政府不得強制取得境外伺服器資料。然而，此訴訟存在相當多爭議，復有2018年《雲端法》之制定，微軟亦對《雲端法》表示支持。《雲端法》通過時，最高法院尚未做出判決；最終，最高法院於2018年4月17日撤銷Microsoft Corp. v. United States。2019年4月10日，美國司法部發布雲端法白皮書，匯集刑事和國家安全專業的律師之意見，並回答常見的問題，希望提升全球的公共安全、隱私及法治。

歐洲議會通過《人工智慧法案》 朝向全球首部人工智慧監管標準邁進下一步 資訊工業策進會科技法律研究所 2023年06月26日 觀察今年的科技盛事屬ChatGPT討論度最高，將人們從區塊鏈、元宇宙中，帶入人工智慧（AI）領域的新發展。ChatGPT於2022年11月由OpenAI開發的生成式人工智慧，透過深度學習模型，理解和生成自然語言，其功能包含回答各類型問題（如科學、歷史）、生成邏輯結構之文章（如翻譯、新聞標題）、圖形、影像等內容。然而對於人工智慧的發展，究竟如何去處理人機間互動關係，對於風險之管理及相關應用之規範又該如何，或許可從歐盟的法制發展看出端倪。 壹、事件摘要 面對人工智慧的發展及應用，歐盟執委會（European Commission）早在2018年6月成立人工智慧高級專家組（AI HLEG），並於隔年（2019）4月提出「可信賴的人工智慧倫理準則」（Ethics Guidelines for Trustworthy AI），要求人工智慧需遵守人類自主、傷害預防、公平、透明公開等倫理原則。於2021年4月21日歐盟執委會提出「人工智慧法律調和規則草案」（Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts）（以下稱人工智慧法案），於2023年內部市場委員會（Internal Market Committee）與公民自由委員會（Civil Liberties Committee）通過並交由歐洲議會審議（European Parliament），最終《人工智慧法案》於2023年6月14日通過。後續將再歐盟理事會（Council of the European Union）與辯論協商，尋求具共識的最終文本[1]。 貳、重點說明 由於「歐盟議會通過」不等於「法案通過」，實際上歐盟立法機制不同於我國，以下透過法案內容說明的契機，概述一般情況下歐盟之立法流程： 一、歐盟立法過程 通常情況下，法案由歐盟執委會（下簡稱執委會）提出，送交歐盟理事會及歐洲議會，作為歐盟的「立法者」歐洲理事會（下簡稱理事會）與歐洲議會（下簡稱議會）將針對法案獨立討論並取得各自機關內之共識。大致上立法程序有可分為三階段，在一讀階段若理事會與議會對於執委會版本無修改且通過，則法案通過，若任一機關修改，則會進行到二讀階段。針對法案二讀若仍無法取得共識，則可召開調解委員會（Conciliation）協商，取得共識後進入三讀。簡單來說，法案是否能通過，取決於理事會與議會是否取得共識，並於各自機關內表決通過[2]。 目前《人工智慧法案》仍處於一讀階段，由於法案具備爭議性且人工智慧發展所因應而生之爭議迫在眉睫，議會通過後將與執委會、理事會進入「三方會談」（Trilogue）的非正式會議，期望針對法案內容取得共識。 二、人工智慧法案 （一）規範客體 《人工智慧法案》依風險及危害性程度分級，其中「不可接受風險」因抵觸歐盟基本價值原則禁止（符合公益目標，如重大或特定犯罪調查、防止人身安全遭受危害等例外許可）。「高風險」則為法案規範之重點，除針對系統技術穩健、資料處理及保存訂有規範外，針對人為介入、安全性等也訂定標準。 而針對高風險之範疇，此次議會決議即擴大其適用範圍，將涉及兒童認知、情緒等教育及深度偽造技術（Deepfake）納入高風險系統，並強調應遵循歐盟個人資料保護規範。此外對於社會具有高影響力之系統或社群平臺（法案以4500萬用戶做為判斷基準），由執委會評估是否列為高風險系統。針對目前討論度高的生成式人工智慧（ChatGPT），議會針對法案增訂其系統於訓練及應用目的上，應揭露其為生成式人工智慧所產出之內容或結果，並摘要說明所涉及之智慧財產權[3]。 （二）禁止項目 關於《人工智慧法案》對於高風險系統之要求，從執委會及理事會的觀點來看，原則上重點在於對弱勢的保護及生物資料辨識之權限。歐盟禁止人工智慧系統影響身理及心理，包含對於特定族群如孩童、身心障礙者等弱勢族群之不平等待遇。同時原則禁止即時遠端的生物辨識利用，包含對於人性分析、動作預測等對於人類評價、分類之應用，例外情況如犯罪調查、協尋失蹤兒童、預防恐怖攻擊、關鍵基礎設施破壞等情況時方被允許。此次議會決議提高禁止即時遠端生物辨識的標準，包含納入敏感資訊的蒐集如性別、種族、政治傾向等，及其他臉部辨識、執法、邊境管制、情緒辨識等項目[4]。 參、事件評析 有關《人工智慧法案》雖歐洲議會已一讀通過，然而後續仍要面對與歐盟理事會的協商討論，並取得共識才能規範整個歐盟市場。因此上述規範仍有變數，但仍可推敲出歐盟對於人工智慧（含生成式）的應用規範態度。在面對日新月異的新興科技發展，其立法管制措施也將隨著橫向發展，納入更多種面向並預測其走向趨勢。因人工智慧有應用多元無法一概而論及管制阻礙創新等疑慮，觀察目前國際上仍以政策或指引等文件，宣示人工智慧應用倫理原則或其風險之管理，偏重產業推動與自律。 觀察歐盟《人工智慧法案》之監管目的，似期望透過其市場規模影響國際間對於人工智慧的監管標準。倘若法案後續順利完成協商並取得共識通過，對於如OpenAI等大型人工系統開發商或社群平臺等，若經執委會評估認定為高風險系統，勢必對於未來開發、應用帶來一定衝擊。因此，歐盟對於人工智慧監管的態度及措施實則牽一髮而動全身，仍有持續觀察之必要。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The AI Act, Future of Life Institute, https://artificialintelligenceact.eu/developments/ (last visited Jun. 20, 2023) [2]The ordinary legislative procedure, Council of European Union, https://www.consilium.europa.eu/en/council-eu/decision-making/ordinary-legislative-procedure/ (last visited Jun. 19, 2023) [3]EU AI Act: first regulation on artificial intelligence, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence (last visited Jun. 21, 2023) [4]MEPs ready to negotiate first-ever rules for safe and transparent AI, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai(last visited Jun. 21, 2023)

　　自西元2017年1月以來，英國稅務海關總署（Her Majesty's Revenue and Customs, HMRC）開始要求英國民眾使用線上語音方式進行身分認證，而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室（Information Commissioner's Office, ICO）深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形： 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時，未能給予民眾自由行使同意或拒絕權利的機會。 　　英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則（General Data Protection Regulation, GDPR），根據歐盟一般資料保護規則，英國稅務海關總署在蒐集、處理或利用民眾個人資料時，必須合法、公正及透明，並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 　　本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法（The Data Protection Act 2018），英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆，但絕不能以犧牲民眾的隱私為代價，同時也隱約透露著：「沒有一個組織（包含政府機關）能夠凌駕於法律之上。」。

　　鑒於「監管不確定性」係加密貨幣市場發展之一大阻礙，2018年間，美國證券交易委員會（United States Securities and Exchange Commission, SEC）成員威廉．希曼（William Hinman）表示，SEC打算發布指導方針，協助市場參與者確認「哪些數位資產之發售，會被認為是投資契約，進而構成證券」，須受到相關證券法規監管。據此，2019年4月3日，SEC公布指導文件：「數位資產之投資契約分析框架」（Framework for “Investment Contract” Analysis of Digital Assets）。惟須注意的是，該文件為內部成員之意見，不具正式法律效力，不得拘束SEC企業財務局或委員會本身，而僅屬一種指導。 　　美國法上對於「投資契約」的認定標準，為聯邦最高法院建立的Howey Test，即基於合理的獲利預期、且該獲利來自他人的創業或經營努力、而投資金錢於一共同事業者，成立投資契約，進而構成證券。因此，為確認「哪些數位資產之發售，會被認為是投資契約，進而構成證券」，該文件特別針對「Howey Test」中的「基於合理的獲利預期」、「該獲利來自他人的創業或經營努力」，提出具體判斷標準，並輔以「其他相關考量因素」，供市場參與者作一參考： （一）基於合理的獲利預期：例如「數位資產持有人可否分享企業收入或利潤，或從數位資產的增值獲得利潤」、「持有人現在或未來得否在次級市場交易」等具體標準； （二）該獲利來自他人的創業或經營努力：例如「營運上是否去中心化」、「數位資產持有人，是否期待發行人執行或管理必要工作」等具體標準； （三）其他相關考量因素：包含「數位資產之設計和執行，旨在滿足使用者需求，而非投機買賣」、「數位資產的價值，通常會保持不變或隨時間減損，理性持有人不會『以投資為目的』而長期持有」、「數位資產可作為真實貨幣之替代物」等等，文件中指出，只要這些其他相關考量因素越明顯，越不符合上開「基於合理的獲利預期且該獲利來自他人的創業或經營努力」。 　　文件中亦強調，SEC將參酌個案事實，綜合上開各項標準，為客觀之認定。