新加坡研發可診斷及殺死癌細胞的奈米載體

　　在歐盟發生了諸如法國隆乳植入物醜聞(PIP scandal)以來的諸多事件後，歐盟醫療器材審核制度的革新更顯得刻不容緩。然而，歐盟執委會提案修正過往歐盟對於醫療器材之相關規範，強化市場化前(pre-market)的審核機制，引起了各界不同的意見，因此本年七月初，歐洲議會決定延後新指令修正案的表決至9月，以爭取時間取得各成員國代表間的共識。 　　為強化對於患者健康的保障，歐盟執委會(European Commission)於2012年提出醫療器材規則修正案(Proposal for a Regulation of the European Parliament and of the Council on medical devices)，並包括對2001/83號指令等(Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009)的修正，已建立更完善的歐盟醫療器材管理機制。其中包括歐盟統一而集中的審核程序，此舉卻引起不同意見，認為過於科層化(bureaucratic)的市場化前審核制度設計，將阻礙研發且不見得對病患有利。有歐洲議會議員指出，現行制度雖有進化的必要，然集中化(centralisation)的審核工作，對於行政負擔的加重，或許不如先在各國家層級的管理機制進行強化。而歐盟醫療器材產業界也認為，集中統一化的審核機制，將會對於中小型研發企業造成衝擊，間接影響歐盟醫材類技術領域的科技研發，業界認為，新法案對於所謂對患者具有高風險第三類醫療器材(Class III devices)的審核，將使得患者延遲3至5年才能得到可以拯救其性命的產品，相對地卻沒有得到甚麼安全的提升。 　　七月初，歐洲議會公共健康與食品安全委員會(Public Health and Food Safety Committee, ENVI)決議將推遲法案表決至9月18日，屆時表決的結果，將主導未來歐盟醫療器材管理的主要方向。

　　法國國家資訊自由委員會（Commission nationale de l’informatique et des libertés, CNIL）自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴，並展開調查。嗣後，CNIL於2021年12月16公布調查結果，認為Clearview AI公司蒐集及使用生物特徵識別資料（biometric data）的行為，違反《一般資料保護規範》（General Data Protection Regulation，GDPR）的規定，分別為： 非法處理個人資料：個人資料的處理必須符合GDPR第6條所列舉之任一法律依據，始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料，並用於臉部辨識軟體的開發，其過程皆未取得當事人之同意，故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利：Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使，特別是資料查閱權，並且忽視當事人的個資刪除請求。 　　因此，CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態，包括：（1）在沒有法律依據的情況下，停止蒐集及使用法國人民的個資；（2）促進個資主體行使其權利，並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明，則CNIL可依據GDPR進行裁罰，可處以最高 2000萬歐元的罰鍰，或公司全球年收入的4%。

　　印度廣告標準委員會（Advertising Standards Council of India, ASCI）於2022年2月23日發布「虛擬數位資產及連結服務廣告指引」（Guidelines for Advertising of Virtual Digital Assets and Linked Services），旨在防止使用加密資產和相關服務用戶所面臨的風險。 　　本指引使用「虛擬數位資產」（Virtual Digital Assets, VDA）此專有名詞，而非「加密資產」，並將虛擬數位資產定義為透過加密或其他方法所產生的任何訊息、編碼或代幣，得以充當計價或記帳單位的憑證或儲存，包括加密貨幣和其他相關產品，例如非同質化代幣（NFTs）均屬之。 　　該指引目的在將虛擬數位資產廣告與印度廣告標準委員會所發布的準則保持一致，該準則要求廣告必須真實，不得因「模糊、誇大或遺漏」而誤導消費者，並且不得利用消費者之信任或欠缺了解。 　　最重要的是，廣告商必須在所有虛擬數位資產的廣告中，於明顯位置附上免責聲明，且免責聲明必須至少佔總印刷或靜態廣告空間的20%，而動態廣告至少要有5秒，並且必須出現在聲音和社群媒體廣告中。免責聲明中應載明：「加密資產和非同質化代幣並不受監管，風險高。此類交易造成的任何損失可能因為沒有監理，而難以取得賠償。」

英國政府於2025年1月31日發布「人工智慧網路資安實務守則」（Code of Practice for the Cyber Security of AI，以下簡稱「實務守則」），目的是提供人工智慧（AI）系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引，以期降低人工智慧所面臨的網路資安風險，並促使人工智慧系統開發者與供應商落實基本的資安措施，以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同，因此產生新的資安風險，主要包含以下： 1. 資料投毒（Data Poisoning）：在AI系統的訓練資料中蓄意加入有害或錯誤的資料，影響模型訓練結果，導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆（Model Obfuscation）：攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為，以增加系統漏洞、引發混亂或防礙資安管理，可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令（Indirect Prompt Injection）：藉由輸入經精心設計的指令，使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性，實務守則涵蓋了人工智慧生命週期的各階段，並針對相關角色提出指導。角色界定如下： 1. 人工智慧系統開發者（Developers）：負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈（Supply chain）：涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則，以確保人工智慧系統的安全性與可靠性： 1. 風險評估（Risk Assessment）：識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理（Data management）：確保AI系統整個資料生命週期中的資料安全及有效利用，並採取完善管理措施。 3. 模型安全（Model Security）：在模型訓練、部署和使用階段，均應符合當時的技術安全標準。 4. 供應鏈安全（Supply chain security）：確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針，期望各角色能有效落實AI系統安全管控，促進人工智慧技術在網路環境中的安全性與穩健發展。