美國法院將考慮命Google提交相關資料

中國大陸改組成立「國家新聞出版廣播電影電視總局」簡評與說明 科技法律研究所 法律研究員　劉得正 102年03月12日 壹、背景說明：組成依據與目的 　　中國大陸在第十八屆二中全會審議通過「國務院機構改革和職能轉變方案」(以下簡稱方案)後，日前(3/10)由國務院正式提交方案於第十二屆全國人民代表大會第一次會議審議[1]。預計通過後，除辦公廳外，國務院設置部門將縮編為25個。 　　其中將整併現有之國家新聞出版總署、國家廣播電影電視總局兩大機構，組成「國家新聞出版廣播電影電視總局」，並加掛「國家版權局」機關名稱，承接原國家新聞出版總署負責之著作物管理工作業務。 　　彙整中國大陸官方針對方案說明可知[2]，本次整併兩大機構之目的，係為統籌規劃新聞出版、廣播、電影、電視事業等產業之發展方向，集中監督、管理相關機構、業務及其作品內容。 　　其主要原因在於隨著數位科技、資訊技術的進步，不同媒體間相互結合，已衍生出許多非傳統之新媒體。在此等媒體多元發展之趨勢下，勢必須整合新聞出版總署、廣電總局的業務，始能避免管理權責疊床架屋，提高管理效率，進而有利於推動新媒體發展與整合，提高文化傳播力與競爭力。 貳、事件簡評 一、政府組織面－邁向文廣新合併 　　中國大陸長久以來針對文化推動、廣電影視、新聞出版三者間的管理工作，早有整併之呼籲。特別是地方上，基於組織編制考量與事件性質認定問題，由縣到省、市間，已有不少將三者工作合併於單一單位管理之實例。相對於地方發展，中國大陸中央政府卻仍以文化部、廣播電影電視總局、新聞出版總署分頭管理，造成「單一下級機關需同時對三個上級機關負責」之不合理情況[3]。因此，隨著中國國務院之組織調整，可視為解決此不合理情況的第一步。 　　考量廣播電影電視與新聞出版在內容性質與管制對象上較為相近，業務合併之可行性較高，因此，本次合併在影響最小之前提下，先試圖將國家新聞出版總署與廣電總局予以整併，組成「國家新聞出版廣播電影電視總局」，以期至少解決一部份重疊管制之問題。另一方面，也將透過國家新聞出版總署與廣電總局合併工作之歷程，可作為將來與中國文化部合併之借鏡，達成中央與地方文廣新組織編制一致之目標。 二、產業面－透過管制、審批程序簡化，幫助產業推動 　　根據方案之說明文件，除對於組織裁併(包括新聞出版總署與廣播電影電視總局合併)之理由作出個別說明外，針對國務院整體組織職能改變，更提出十大措施，作為未來改造方向、原則和重點，包括[4]：「（一）减少和下放投资审批事项；（二）减少和下放生产经营活动审批事项；（三）减少资质资格许可和认定；（四）减少专项转移支付和收费；（五）减少部门职责交叉和分散；（六）改革工商登记制度；（七）改革社会组织管理制度；（八）改善和加强宏观管理；（九）加强基础性制度建设；（十）加强依法行政。」 　　由此可知，「國家新聞出版廣播電影電視總局」之組成，除達到集中管理、避免行政資源浪費外，對於產業界更重要的意義在於，未來將配合方案所列目標，針對現有之相關審批程序進行整併、簡化，藉以降低企業進入市場門檻，及提高產業更新之動能。 　　因此，對於中國大陸國務院本次組織改造方案，後續應持續關注陸方對相關審批程序的調整方向，掌握數位內容相關審批規範、流程是否會有對應的調整，以利協助我國業者赴大陸投資之法律風險評估。 附件、「新聞出版總署」、「廣播電影電視總局」現行權責介紹 ●國家廣播電影電視總局主要職責介紹[5] （一） 擬訂廣播電影電視宣傳、創作的方針政策，把握正確的輿論導向和創作導向。 （二） 起草廣播電影電視和資訊網路視聽節目服務的法律法規草案，擬訂相關技術標準和部門規章，推進廣播電影電視領域的體制機制改革。 （三） 組織推進廣播電影電視領域的公共服務，組織實施廣播電影電視重大工程，扶助老少邊貧地區廣播電影電視建設和發展，指導、監管廣播電影電視重點基礎設施建設。 （四） 制訂廣播電影電視事業、產業發展規劃，指導、協調廣播電影電視事業、產業發展，管理全國性重大廣播電影電視活動。 （五） 負責廣播電影電視、資訊網路視聽節目服務機構和業務的監管並實施准入和退出管理，指導對從事廣播電影電視節目製作民辦機構的監管工作。 （六） 監管廣播電影電視節目、資訊網路視聽節目和公共視聽載體播放的視聽節目，審查其內容和品質。 （七） 指導廣播電影電視和資訊網路視聽節目服務的科技工作，負責監管廣播電影電視節目傳輸、監測和安全播出。 （八） 指導、管理廣播電影電視對外及對港澳臺的交流與合作，負責廣播電影電視節目的進口和收錄管理。 （九） 領導中央人民廣播電臺、中國國際廣播電臺和中央電視臺，對其宣傳、發展、傳輸覆蓋等重大事項進行指導、協調和管理。 （十） 承辦黨中央、國務院交辦的其他事項。 ●新聞出版總署（國家版權局）主要職責介紹[6] （一） 起草新聞出版、著作權管理的法律法規草案，擬訂新聞出版業的方針政策，制定新聞出版、著作權管理的規章並組織實施。 （二） 制定新聞出版事業、產業發展規劃、調控目標和產業政策並指導實施，制定全國出版、印刷、複製、發行和出版物進出口單位總量、結構、佈局的規劃並組織實施，推進新聞出版領域的體制機制改革。 （三） 監管出版活動，組織查處嚴重違規出版物和重大違法違規出版活動，指導對從事出版活動的民辦機構的監管工作。 （四） 負責對新聞出版單位進行行業監管，實施准入和退出管理。 （五） 負責出版物內容監管，組織指導黨和國家重要文件文獻、重點出版物和教科書的出版、印製和發行工作，制定國家古籍整理出版規劃並承擔組織協調工作。 （六） 負責對互聯網出版活動和開辦手機書刊、手機文學業務進行審批和監管。 （七） 擬訂出版物市場“掃黃打非”計畫並組織實施，組織查處非法出版物和非法出版活動的大案要案。 （八） 擬訂出版物市場的調控政策、措施並指導實施，指導對出版物市場經營活動的監管工作。 （九） 負責全國新聞單位記者證的監製管理，負責國內報刊社、通訊社分支機搆和記者站的監管，組織查處重大新聞違法活動。 （十） 負責印刷業的監管。 （十一） 負責著作權管理工作，組織查處有重大影響的著作權侵權案件和涉外侵權案件，負責處理涉外著作權關係和有關著作權國際條約應對事務。 （十二） 組織開展新聞出版和著作權對外交流與合作的有關工作，負責出版物的進口管理工作，協調、推動出版物的進出口。 （十三） 承辦黨中央、國務院交辦的其他事項。 [1]參照「關於國務院機構改革和職能轉變方案的説明—2013年3月10日在第十二屆全國人民代表大會第一次會議上國務委員兼國務院秘書長馬凱」，http://big5.gov.cn/gate/big5/www.gov.cn/2013lh/content_2350848.htm ( 最後瀏覽日：2013/03/12)。 [2]「中央編辦負責人就國務院機構改革和職能轉變答記者問」，http://news.xinhuanet.com/2013lh/2013-03/10/c_114967850.htm ( 最後瀏覽日：2013/03/12)。 [3]「新聞出版總署與廣電總局合併增強文化整體實力」，京華時報報導，2013年3月11日，http://www.chinadaily.com.cn/micro-reading/dzh/2013-03-11/content_8460858.html ( 最後瀏覽日：2013/03/12)。 [4]「国务院机构改革和职能转变方案（提交十二届全国人大一次会议审议）」，http://news.xinhuanet.com/2013lh/2013-03/10/c_114968104_2.htm ( 最後瀏覽日：2013/03/12) [5]中華人民共和國國家廣播電視電影總局網站，http://www.chinasarft.gov.cn/articles/2008/08/07/20070919194959740037.html ( 最後瀏覽日 2013/03/12) [6]中華人民共和國新聞出版總署（國家版權局）網站，http://www.gapp.gov.cn/govpublic/65/81278.shtml ( 最後瀏覽日 2013/03/12)

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 　　資訊時代，資訊應用所帶來的風險幾乎無可迴避，且往往帶來莫大衝擊；尤其在網路應用普及之後，大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中，縱有再有高層級的防護，也無法使資料受損或漏失的風險機率降至零，因此有論者以為，對於無法藉由資訊安全措施加以避免的「殘餘風險」（Residual Risk），應由「保險機制」予以移轉。本研究特探討本議題，以呼應目前日益進展的保險產品發展趨勢。 　　此類的保險機制，一般稱為資料保險，專門填補網路應用所造成的風險，諸如網路安全（Network security）之欠缺所造成的損失，或者隱私（Privacy）被害所造成的損失。依據產業觀察者意見，此類保險產品的市場正有逐漸擴張的趨勢，尤其是對於健康照護服務（Health care）以及中小型的業者而言，此類保險對於風險管理服務可以發揮長足的作用，其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 　　本文以雲端運算應用的興起為背景，觀察相應保險機制的演進及發展；以及其對於產業發展而言，為何被視為不可或缺的配套機制，進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 　　用來填補資料受害之損害的保險，一般被稱為「資料保險」，尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」，不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現，當時其保險範圍，是填補資料被害所引發的損害賠償責任[2]。 　　財產保險可分成兩大類型，一類是一般的財產損害，即保險事故發生導致被保險人的財產減損或喪失，承保此類財產損失之保險，即英美法系所稱之「第一方保險」（First-party coverage）。另一類則是責任保險，即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任，承保因被保險人應負擔責任之財產損失，即所稱之「第三方保險」（Third-party coverage）。 　　在資料應用環境中，因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞（Destroys）或是剝奪被保險人對於資料的使用權限，則屬於第一方財產損失。另一方面，當被保險人所保護、監管（Custody）或控制的第三人資料或資訊，遭遇網路犯罪損害、毀壞或竊取時，將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用，此屬於第三方財產損失，例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼，又如妨礙有合法權限的第三人近用系統，以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 　　傳統的財產保險，由於未指明承保因資料被害所致損失，往往會在被保險人因資料被害導致財產損失而請求保險賠償時，發生很大的爭議。主要的原因是，傳統的財產保險其設計原則，是以被保險人對於有形財產的「保險利益」作為「保險標的」，並以有形財產受損來估算保險損害，並未考量到資料等無形財產。因此，起因於資料或類似形態的程式、軟體之缺損所致的損害，是否可能在傳統財產的保險範圍內，頗有疑義，且司法實務上的意見相當分歧，茲整理如下。 （一）有利於被保險人的實務見解 　　在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中，Ingram-Micro因幾分鐘的電力中斷，導致電腦資產與資料的喪失而嚴重影響正常的業務運作，遂依業務中斷保險(Business-interruption insurance）請求保險賠償，但遭受保險公司拒絕，保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為，被保險人客製軟體程式的喪失，構成「具體損害」，具體損害不限於電腦迴路的被有形損毀或傷害，也會包含無法近用（Loss of access）、無法使用（Loss of use）以及功能喪失。 　　另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5]，保險公司認為電腦病毒感染所造成的損失，非有形損失，因而拒絕保險給付。法院認為，本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換（Replaced），此種結果，等於電腦系統完全無法接收、發送或回復任何形態的資訊，而完全失去作為電腦系統的效用；因此未接受保險公司的主張。 　　近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中，Retail Venture是DSW鞋子盤商，2005年時它的電腦系統遭駭客入侵，共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險，在其承保項目中包括電腦與資金移轉詐欺（Computer & Fund transfer fraud coverage），DSW遂向保險公司請求保險賠償，主張此次駭客入侵所造成的損失有530萬元之多，但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟，地方法院認定保險公司應支付保險賠償，保險公司不服，提起上訴至巡迴法院，巡迴法院認為，條款規定雖是限於該損失是由保險事故「直接造成」（Resulting directly from），但這不代表該保險事故必須是造成損失的「唯一」（Solely）與「立即」（Immediately）的原因[7]，因此維持地方法院的判決。 （二）有利於保險人的實務見解 　　在America Online, Inc. v. St. Paul Mercury Insurance Co.中，由於America Online（AOL）所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統，因而被客戶訴訟求償，AOL依責任保險內容，轉而請求保險公司應替其進行訴訟防禦，遭保險公司拒絕。為此，AOL對保險公司提起訴訟，法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失，法院解釋，從字義上一般不會認為電腦資料、軟體及系統是「有形」財產，因為有形財產應是指可以觸摸（Be touched），但電腦資料、軟體及系統無法被感官感知，因此是無形財產。此外契約中亦有「功能降低除外條款」，意即，不良品或者危險產品所造成的損害非有形，故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 　　從上述實務案例的觀察，作成不利於被保險人判決結果的法院，是直接認定電腦資料、軟體與系統為無形財產。反之，作成有利於被保險人判決結果的法院，是將「資料」（程式或軟體）與「電腦系統」合為觀之，而認定電腦系統為有形財產，把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人，但是解釋方式卻較為迂迴，也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 　　雲端運算發展日益普遍日後，可以透過網際網路提供資訊服務（例如儲存空間、應用程式等），「資料」已然不附載在特定或固定的載體（電腦系統）上。因應整體資訊應用形態的轉變，國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 　　第一個例子，MSPAlliance是一個資源管理服務業者暨認證聯盟，於2013年4月與保險經紀公司Lockton 合作，設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance)，讓其聯盟會員提供資訊服務時得以購買此保險；承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任，以及因技術錯誤或無法作用（Tech Errors & Omissions）所導致的損害賠償責任，亦包含在內。至於被保險人的資格要求，則限定是聯盟會員，且必須通過Unified Certification Standard (UCS)驗證。事實上，要求被保險人取得一定的驗證，是保險風險管理很重要的ㄧ環。 　　第二個例子，雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作，擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議（Service Level Agreements）中的承諾，再者也能依據其客戶存放於雲端環境之資料的風險層級，給予金錢防護。 第三個例子，與前兩例不同，是針對一般的資訊服務使用者來設計。保險經紀公司達信（Marsh）於2012年6月針對雲端環境的企業使用者，開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業，承保項目包括：因雲端服務中斷所致的營運收入損失（Loss of income）、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 　　美國的國家技術標準局（Institute of Standards and Technology, NIST）在規劃新網路時代藍圖時，把持續促進資料「保險」（Cyber Insurance），列為關鍵的一角。從這個角度而言，保險不僅具有轉移風險與填補損害的功能，更具有正面積極的意義，可作為新興技術發展的後盾。對於NIST這樣的主張，美國保險人協會（American Insurance Association）也予以呼應，認為針對網路應用環境而持續開發各種保險產品，是勢在必行的方向。 (一)政策推導 　　美國證券交易委員會指引（2011年），建議公司若為因應資安風險而購買保險產品，應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 　　美國有以政府機關名義購買資料相關保險之例，蒙大拿（Montana State Government）購買「網路資料安全保險」（Cyber/Data Information Security Insurance），為期一年（2012年7月1日至2013年7月1日），保險項目包括：資訊安全責任（每次事故保險賠償上限200萬美元）、行政罰款（每次事故保險賠償上限200萬美元）、損害通知支出（每次事故保險賠償上限100萬美元）、網站媒體披露支出（每次事故保險賠償上限200萬美元）、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley，保險經紀人為Alliant Insurance Services。值得特別注意的是，保險項目當中包含損害通知支出，此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論－我國推動相關資料保險機制可行性之總合評析 　　現階段我國相關保險市場的現況，為因應我國個人資料保護法的通過與正式實施，也有推出資料相關保險產品，目標客群為企業，以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於，針對業者（被保險人）因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失（營運中斷、負擔契約上損害賠償責任）之損害填補，似尚未有相關保險產品推出。考其原因，是保險業者對於此種因無形財產（資料）所導致損害的保險賠償模式，尚未累積足夠的經驗，也缺乏相關精算數據的掌握，因而不敢貿然承作，另一方面，保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象，我國主責資訊服務產業推動的有關政府部門，也思及政府投入參與資料保險機制，例如推動以機關為被保險人而購買相關的資料保險，藉以活絡資料保險市場；此種構想，在法律層面並無疑義，此乃保險賠償與國家賠償機制雖有各自目的，但未有所衝突[9]。然而，實際操作上，必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 　　事實上，我國相關資料保險市場要邁向成熟發展，尚待多方努力，除保險業者本身規劃並提出合適的保險產品之外，參酌國外經驗，保險經紀公司也能扮演一定角色，可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案，並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色，除直接以政策推導之外，尚能在若干條件齊備之後實際參與保險機制，其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

　　伴隨著歐洲食品安全局公開一項經高度謹慎評估關於複製動物在食品安全、動物健康和環境等方面關聯性之科學意見後；歐洲議會隨即於2008年9月3日邀集委員會召開討論會議，並於該會議中遞交出有關於禁止將複製動物作為食品之建議案。透過表決，在622票贊成、25票棄權與32票反對之壓倒性決議下，議會通過了該項建議案。 　　該項禁令建議案要求歐盟境內各會員國應禁止：(1)以複製動物作為食物之來源、(2)為糧食供應目的而進行畜養之複製動物或其繁殖之子代、(3)於市場上販售經由複製動物或其經繁殖之子代所衍生之食用肉品與乳製品；以及(4)禁止以食用為目的自境外進口複製動物與其經繁殖之子代(包括精子或卵子細胞)等行為。 　　而EFSA也發現：「不太可能達成全面性食品安全之評估工作」，故對於缺乏可靠數據資料而需進行評估之主體而言，在進行風險評估時，其仍將會不斷地被不確定性問題所困擾；同時，EFSA在該報告中還強調：透過比對複製動物與經傳統育種繁衍之動物後，其也將面臨「於動物健康及福利方面等重要爭議問題」。另外，歐洲議會成員指出：將透過歐盟農場動物保護指令中，有關禁止任何可能引起痛苦或傷害之自然或人為育種繁殖過程之規定，作為該項禁令之法律授權依據。 　　截至目前為止，尚未有任何由複製動物所衍生之產品在歐洲或者世界其它地方被銷售；不過，由於美國食品藥物管理局(FDA)早在2008(今)年1月份時即做出結論，認為：由複製牛、豬、山羊與其子代所產生之肉品與牛奶，其安全性與食用從傳統育種動物所衍生之食品並無二致。因此，專家們咸信，此類產品將會於2010年時正式進入市場販售；而在歐洲方面則更進一步認為，日後在處理複製動物食用之問題上，應要兼顧到動物福利之保護與獲得廣大消費者之信賴。

英國發布《AI保證介紹》指引，藉由落實AI保證以降低AI系統使用風險 資訊工業策進會科技法律研究所 2024年03月11日 人工智慧（AI）被稱作是第四次工業革命的核心，對於人們的生活形式和產業發展影響甚鉅。各國近年將AI列為重點發展的項目，陸續推動相關發展政策與規範，如歐盟《人工智慧法》（Artificial Intelligence Act, AI Act）、美國拜登總統簽署的第14110號行政命令「安全可靠且值得信賴的人工智慧開發暨使用」（Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence）、英國「支持創新的人工智慧監管政策白皮書」（A Pro-innovation Approach to AI Regulation）（下稱AI政策白皮書）等，各國期望發展新興技術的同時，亦能確保AI使用的安全性與公平性。 壹、事件摘要 英國科學、創新與技術部（Department for Science, Innovation and Technology，DSIT）於2024年2月12日發布《AI保證介紹》（Introduction to AI assurance）指引（下稱AI保證指引），AI保證係用於評測AI系統風險與可信度的措施，於該指引說明實施AI保證之範圍、原則與步驟，目的係為讓主管機關藉由落實AI保證，以降低AI系統使用之風險，並期望提高公眾對AI的信任。 AI保證指引係基於英國政府2023年3月發布之AI政策白皮書提出的五項跨部會AI原則所制定，五項原則分別為：安全、資安與穩健性（Safety, Security and Robustness）、適當的透明性與可解釋性（Appropriate Transparency and Explainability）、公平性（Fairness）、問責與治理（Accountability and Governance）以及可挑戰性 與補救措施（Contestability and Redress）。 貳、重點說明 AI保證指引內容包含：AI保證之適用範圍、AI保證的三大原則、執行AI保證的六項措施、評測標準以及建構AI保證的五個步驟，以下將重點介紹上開所列之規範內容： 一、AI保證之適用範圍： （一）、訓練資料（Training data）：係指研發階段用於訓練AI的資料。 （二）、AI模型（AI models）：係指模型會透過輸入的資料來學習某些指令與功能，以幫助建構模模型分析、解釋、預測或制定決策的能力，例如GPT-4。，如GPT-4。 （三）、AI系統（AI systems）：係利用AI模型幫助、解決問題的產品、工具、應用程式或設備的系統，可包含單一模型或多個模型於一個系統中。例如ChatGPT為一個AI系統，其使用的AI模型為GPT-4。 （四）、廣泛的AI使用（Broader operational context）：係指AI系統於更為廣泛的領域或主管機關中部署、使用的情形。 二、AI保證的三大原則：鑒於AI系統的複雜性，須建立AI保證措施的原則與方法，以使其有效執行。 （一）、衡量（Measure）：收集AI系統運行的相關統計資料，包含AI系統於不同環境中的性能、功能及潛在風險影響的資訊；以及存取與AI系統設計、管理的相關文件，以確保AI保證的有效執行。 （二）、評測（Evaluate）：根據監管指引或國際標準，評測AI系統的風險與影響，找出AI系統的問題與漏洞。 （三）、溝通（Communicate）：建立溝通機制，以確保主管機關間之交流，包含調查報告、AI系統的相關資料，以及與公眾的意見徵集，並將上開資訊作為主管機關監理決策之參考依據。 三、AI保證的六項措施：主管機關可依循以下措施評測、衡量AI系統的性能與安全性，以及其是否符合法律規範。 （一）、風險評估（Risk assessment）：評測AI系統於研發與部署時的風險，包含偏見、資料保護和隱私風險、使用AI技術的風險，以及是否影響主管機關聲譽等問題。 （二）、演算法－影響評估（Algorithmic－impact assessment）：用於預測AI系統、產品對於環境、人權、資料保護或其他結果更廣泛的影響。 （三）、偏差審計（Bias audit）：用於評估演算法系統的輸入和輸出，以評估輸入的資料、決策系統、指令或產出結果是否具有不公平偏差。 （四）、合規性審計（Compliance audit）：用於審查政策、法律及相關規定之遵循情形。 （五）、合規性評估（Conformity assessment）：用於評估AI系統或產品上市前的性能、安全性與風險。 （六）、型式驗證（Formal verification）：係指使用數學方法驗證AI系統是否滿足技術標準。 四、評測標準：以國際標準為基礎，建立、制定AI保證的共識與評測標準，評測標準應包含以下事項： （一）、基本原則與術語（Foundational and terminological）：提供共享的詞彙、術語、描述與定義，以建立各界對AI之共識。 （二）、介面與架構（Interface and architecture）：定義系統之通用協調標準、格式，如互通性、基礎架構、資料管理之標準等。 （三）、衡量與測試方式（Measurement and test methods）：提供評測AI系統的方法與標準，如資安標準、安全性。 （四）、流程、管理與治理（Process, management, and governance）：制定明確之流程、規章與管理辦法等。 （五）、產品及性能要求（Product and performance requirements）：設定具體的技術標準，確保AI產品與服務係符合規範，並透過設立安全與性能標準，以達到保護消費者與使用者之目標。 五、建構AI保證的步驟（Steps to build AI assurance） （一）、考量現有的法律規範（Consider existing regulations）：英國目前雖尚未針對AI制定的法律，但於AI研發、部署時仍會涉及相關法律，如英國《2018年資料保護法》（Data Protection Act 2018）等，故執行AI保證時應遵循、考量現有之法律規範。 （二）、提升主管機關的知識技能（Upskill within your organisation）：主管機關應積極了解AI系統的相關知識，並預測該機關未來業務的需求。 （三）、檢視內部風險管理問題（Review internal governance and risk management）：須適時的檢視主管機關內部的管理制度，機關於執行AI保證應以內部管理制度為基礎。 （四）、尋求新的監管指引（Look out for new regulatory guidance）：未來主管機關將制定具體的行業指引，並規範各領域實踐AI的原則與監管措施。 （五）、考量並參與AI標準化（Consider involvement in AI standardisation）：私人企業或主管機關應一同參與AI標準化的制定與協議，尤其中小企業，可與國際標準機構合作，並參訪AI標準中心（AI Standards Hubs），以取得、實施AI標準化的相關資訊與支援。 參、事件評析 AI保證指引係基於英國於2023年發布AI政策白皮書的五項跨部會原則所制定，冀望於主管機關落實AI保證，以降低AI系統使用之風險。AI保證係透過蒐集AI系統運行的相關資料，並根據國際標準與監管指引所制定之標準，以評測AI系統的安全性與其使用之相關影響風險。 隨著AI的快速進步及應用範疇持續擴大，於各領域皆日益重要，未來各國的不同領域之主管機關亦會持續制定、推出負責領域之AI相關政策框架與指引，引導各領域AI的開發、使用與佈署者能安全的使用AI。此外，應持續關注國際間推出的政策、指引或指引等，研析國際組織與各國的標準規範，借鏡國際間之推動作法，逐步建立我國的AI相關制度與規範，帶動我國智慧科技產業的穩定發展外，同時孕育AI新興產應用的發展並打造可信賴、安全的AI使用環境。