美國微軟、Yahoo和Google違反網路賭博規定遭處鉅額罰款

日本經產省與環境省共同發布《促進循環經濟與永續金融之揭露及對話指導》 資訊工業策進會科技法律研究所 2021年06月10日 壹、背景目的 　　伴隨全球人口增加，除了提高資源需求，亦造成大量廢棄物產生，導致氣候變化等環境問題日益嚴重，為從過去大量生產、大量消費、大量廢棄的線性經濟轉型為循環經濟，日本經濟產業省（下稱經產省）與環境省於2021年1月19日共同公布「促進循環經濟與永續金融之揭露及對話指導[1]」（サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス）。該指導旨在促進企業與投資者、金融機構之間在資源循環領域順利進行對話，期能通過企業適當地揭露資訊，推展企業技術及商業模式創新，共同創造價值達成永續企業與永續社會的轉型。 貳、事件摘要 　　「促進循環經濟與永續金融之揭露及對話指導」參考「環境社會治理」（Environmental, Social, Governance，簡稱ESG）公開框架及「氣候相關財務揭露建議書」（Task Force on Climate-related Financial Disclosures，TCFD）[2]，主要著眼於六項重點，除了ESG公開框架與循環經濟特徵共通的「風險與機會」、「策略」、「指標與目標」以及「治理」四者之外，再併入屬於企業經營方針的「價值觀」、「商業模式」兩者。根據上述六項重點，分為三個階層說明彼此關係：（1）首先在「上位方針」階層，「價值觀」作為統合企業實行循環經濟措施的理念與願景，為判斷企業的執行力及實現商業模式可能性的重要因素；而「商業模式」是指企業應分析目前市場環境與未來中長期動向，以及企業採取循環經濟措施對於其在市場地位的競爭優勢，並說明其商業模式所產生的附加價值及確保競爭優勢的差別化因素，使投資者得以適當評價企業進行投資判斷。（2）其次在「實行」階層，「風險與機會」主要包含政策法規、技術、市場及評價四個面向，企業應整理有關依賴線性經濟可能的風險與對財務潛在的影響，以及向循環經濟轉型的機會；並設定相對應的「指標與目標」，檢視商業模式與策略執行的狀況。（3）最後在「PDCA」階層，企業制定「策略」，以確保、強化支撐其商業模式競爭優勢的經營資源、無形資產等；並透過企業規律的「治理」運作，包括企業經營層與董事會積極參與過程，藉由PDCA方法論衡量策略達成情形，並重新進行評估審視[3]。 　　另一方面，循環經濟涵蓋多種類型，主體主要有（1）本身事業活動採取循環經濟措施的「採用者」（Adopters）；抑或（2）通過提供技術、解決方案以提高社會整體循環性的「推動者」（Enablers）。具體而言，即分為企業在本身事業活動中採用循環經濟措施，或是通過提供技術、解決方案對循環經濟措施做出貢獻，並有助於提高社會整體循環性的兩種方式。而循環經濟採取之措施則主要有（1）減量（Reduce），有助於節約資源、抑制廢棄物產生的措施；（2）再使用（Reuse），有助於產品長期使用、有效利用的措施；（3）再循環（Recycle），有助於資源循環利用、再生利用的措施；（4）可再生（Renewable），有助於可再生資源利用的措施[4]。此外，企業在經營事業活動時，應考量循環性，針對產品生命週期，從設計、生產、利用、廢棄等供應鏈所有階段中，根據其業態選擇所適合之循環經濟措施。 參、簡析 　　隨著ESG投資在國際逐年擴大，且國際供應鏈亦逐步要求企業採行循環經濟措施，日本本次發布「促進循環經濟與永續金融之揭露及對話指導」，即針對循環經濟與永續金融作出政策性宣示，為日本國內企業點明投資發展方向。對於企業而言，除了提供更具循環性的產品、服務，在企業價值創造故事中結合「價值觀」、「商業模式」，同時藉由企業年度報告將六項重點向投資者展示企業價值；對於投資者而言，除了關注投資效益，亦應以中長期的角度看待企業採取循環經濟措施對實現永續社會的價值，並對其進行適當評價與投資。 　　近年來我國政府與企業亦逐步向循環經濟轉型，於2018年12月通過「循環經濟推動方案[5]」，並在經濟部設立「循環經濟推動辦公室[6]」，以推動循環產業化、產業循環化，促進產業循環共生及轉型。而行政院環保署亦擬訂了「資源回收再利用推動計畫[7]」(2018至2020年），擬定有關如何有效利用資源與廢棄物適當處理之策略。由於推動循環經濟仍需要民間企業與投資者的支持，我國政府得參考日本作法訂定相關政策法規。且由於我國並未針對循環經濟制定專法，在資源利用方面，同時可能有「廢棄物管理法」及「資源回收再利用法」二者之適用，造成國內業者在推行創新商業模式遭遇法規障礙，不利於國內企業轉型循環經濟。故建議政府得因應政策變遷及經濟發展需求，通盤性建置循環經濟專法之制度框架，並滾動式調整相關規範，促進循環經濟產業發展，實現企業創新商業模式與新興合作關係，在永續金融方面則透過企業返還投資利潤予投資者，確立經濟與環境之間的良性循環，將有助於國內產業推行永續企業之循環經濟轉型。 　　 [1]「サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス」を取りまとめました，日本經濟產業省，https://www.meti.go.jp/press/2020/01/20210119001/20210119001.html ；環境省，https://www.env.go.jp/press/108893.html（最後瀏覽日：2021/6/10）。 [2]Task Force on Climate-related Financial Disclosures, Recommendations of the Task Force on Climate-related Financial Disclosures, https://www.fsb-tcfd.org/publications/final-recommendations-report/ （last visited June 10, 2021）. [3]サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス（本文），日本經濟產業省與環境省，頁6-7，https://www.meti.go.jp/shingikai/energy_environment/ce_finance/pdf/20200119_2.pdf（最後瀏覽日：2021/6/10）。 [4]同前註，頁12-13。 [5]行政院經濟能源農業處，循環經濟推動方案，https://www.ey.gov.tw/Page/448DE008087A1971/dc1de106-4298-4ad1-a9c7-f5b800f283cb （最後瀏覽日：2021/6/10）。 [6]經濟部工業局，循環經濟推動辦公室，https://cepo.org.tw/Default.aspx （最後瀏覽日：2021/6/10）。 [7]行政院環保署，資源回收再利用推動計畫，https://www.epa.gov.tw/Page/72968DDF9105BE07 （最後瀏覽日：2021/6/10）。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

2025年1月9日美國紐澤西州檢查總長與民權部（Division of Civil Rights, DCR）聯合發布「演算法歧視指引」（Guidance on Algorithmic Discrimination and the New Jersey Law Against Discrimination），指出《紐澤西州反歧視法》（the New Jersey Law Against Discrimination, LAD）亦適用於基於演算法所衍生的歧視。 隨著AI技術日趨成熟，社會各領域已大量導入自動化決策工具，雖然它們能提高決策效率但也增加了歧視發生之風險。指引的目的在於闡述自動化決策工具在AI設計、訓練或部署階段可能潛藏的歧視風險，亦列舉出在各類商業實務情境中常見的自動化決策工具，並說明它們可能會如何產生演算法歧視。以下分別說明《紐澤西州反歧視法》適用範圍，以及與演算法歧視有關的行為樣態。 一、《紐澤西州反歧視法》之適用主體及適用客體 《紐澤西州反歧視法》禁止在就業、住房及公共場所等領域所發生的一切歧視行為，其適用主體相當廣泛，包含但不限於下列對象：雇主、勞工組織、就業仲介機構、房東、房地產經紀人、公共場所之經營或管理者、以及任何教唆或協助歧視行為之個人；而該法之適用客體亦有明確定義，為具有受保護特徵（如性別、族裔、身心障礙等）之自然人或法人。 此外指引特別說明，即便適用主體無意歧視、或其所使用之自動化決策工具係由第三方所開發，只要發生歧視行為依然違反《紐澤西州反歧視法》。這是因為《紐澤西州反歧視法》係針對歧視所帶來的影響進行規範，儘管無意歧視，其所帶來的影響並不一定比故意歧視還要輕微。 二、 歧視行為的三種樣態 1.差別待遇歧視 差別待遇歧視係指適用主體基於受保護特徵而對適用客體施予不同對待。舉例而言，若房東使用自動化決策工具來評估黑人潛在租戶，但不評估其他族裔的潛在租戶，則會因為其選擇性使用自動化決策工具而構成歧視。 2.差別影響歧視 差別影響歧視係指適用主體的政策或行為對適用客體造成不成比例的負面影響，且該政策或行為未能證明具有正當性、非歧視性、或不存在較少歧視性的替代方案，則該政策或行為構成歧視。例如，某商店利用臉部辨識技術來偵測過去曾有偷竊紀錄的顧客，但該系統對配戴宗教頭巾的顧客較容易產生誤判，此亦可能構成歧視。 3.未提供合理調整 合理調整係指身心障礙者、宗教信仰者、懷孕者以及哺乳者，在不會對適用主體造成過度負擔的前提下，得向其提出合理請求，以符合自身的特殊需求。以身心障礙員工為例，若雇主使用了自動化決策工具來評估員工的工作表現（例如監測員工的休息時間是否過長），在未考量合理調整的情況下，該工具可能會過度針對身心障礙員工進而構成歧視。 為減少演算法歧視發生頻率，「演算法歧視指引」特別闡述自動化決策工具可能會出現的歧視行為及歧視樣態。此份指引的另一個意義在於，縱使目前紐澤西州並沒有一部監管AI的專法，但仍可以利用現行的法律去處理AI帶來的種種問題，以利在既有的法律架構內擴充法律的解釋來回應新科技的挑戰，並達到實質管制AI的效果。