由於近年來勒索軟體對國際金融帶來重大影響,七大工業國組織G7成立網路專家小組CEG(Cyber Expert Group),並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」(Fundamental Elements of Ransomware Resilience for the Financial Sector),本份要點是為因應勒索軟體所帶來之危脅,提供金融機關高標準之因應對策,並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果,建立處置應變之基礎,加強國際金融的韌性。該份要點內容著重於民營之金融機關(private sector financial entities),或關鍵之第三方提供商(critical third party providers),因其本身有遵守反洗錢和反恐怖主義之融資義務,但也可依要點訂定之原意,在減少自身受到勒索軟體之損害上,或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本,要點所提列之重點如下: 1.網路安全策略與框架(Cybersecurity Strategy and Framework): 將因應勒索軟體威脅之措施,列入金融機關整體的網路安全策略與框架之中。 2.治理(Governance): 支付贖金本身可能於法不容許,也可能違背國家政策或業界基準,金融機關須在事件發生前,檢視相關法規,並針對潛在的被制裁風險進行評估。 3.風險及控制評估(Risk and Control Assessment): 針對勒索軟體之風險,應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約,填補勒索軟體造成的損害。 4.監控(Monitoring): 針對潛在的勒索軟體,金融機關有監控其活動進而發現隱藏風險之義務,並向執法與資通安全機關提供該惡意行為之相關資訊。 5.因應處置、回覆(Response): 遭遇勒索軟體攻擊之事件,就其處置措施,須依原訂定之計劃落實。 6.復原(Recovery): 遭遇勒索軟體攻擊之事件,將受損之機能復原,須有明確的程序並加以落實。 7.資訊共享(Information Sharing): 須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 8.持續精進(Continuous Learning): 藉由過往之攻擊事件獲取知識,以提高應變勒索軟體之能力,建立完善的交易環境。 此要點並非強制規範,因此不具拘束力,且整合了2016年G7所公布的「G7網路安全文件之要素」(G7 Fundamental Elements of Cybersecurity document)之內容。綜上述CEG所提列重點,針對我國金融機關在抵禦網路攻擊之議題上,應如何完善資安體制,與日本後續因應勒索軟體之政策,皆值得作為借鏡與觀察。
日本Spam對策研究會即將公布最終報告 政府重申並未放寬輸往中國大陸半導體晶圓製程設備之出口管制由於國際出口管制組織「瓦聖那協議」( Wassenaar Arrangement,WA)於去年(93)底修訂半導體晶圓製程技術水準之出口管制規定,由0.35微米放寬為0.18微米;國貿局為配合「瓦聖那協議」之修訂,亦於今年9月公告半導體晶圓製程技術之出口管制修正為0.18微米。 然,我國半導體晶圓製造廠商申請赴中國大陸投資,主要依據經濟部之「在大陸地區投資晶圓廠審查及監督作業要點」辦理,其中第四點申請要件明顯規定「大陸投資事業製程技術限於0.25微米以上」。此外,在國貿局「限制輸出貨品總彙表」更有規範半導體晶圓製造等相關設備之輸出規定121:需要有國貿局簽發輸出許可證;輸出規定488:(一)輸往大陸地區者,應檢附經濟部投資審議委員會核准投資文件;輸往大陸以外地區者,應檢附保證絕不轉售大陸地區之切結書。(二)外貨復運出口者,另檢附原海關進口證明文件。(三)屬戰略性高科技貨品列管項目者,除應申請戰略性高科技貨品輸出許可證,並檢附上述文件外,應另依戰略性高科技貨品輸出入管理辦法規定,檢附下列文件:1、進口國核發之國際進口證明書、最終用途證明書或保證文件。2、外貨復運出口者,如原出口國政府規定需先經其同意者,應另檢附原出口國政府核准再出口證明文件;其於原進口時領有我國核發之國際進口證明書、最終用途證明書或保證文件者,應再檢附該等文件影本。 國際貿易局強調,我國目前開放半導體晶圓製程技術輸往中國大陸仍限為0.25微米以上,並未放寬輸往中國大陸之出口管制。
美國3月發布AI國家政策框架美國3月發布AI國家政策框架 資訊工業策進會科技法律研究所 2026年06月05日 美國白宮於2026年3月發布AI國家政策(National Policy Framework for Artificial Intelligence,下稱AI框架),提出與AI相關之立法建議。該框架不具強制性,亦非創立新規範,僅係提供國會就聯邦AI立法給予立法建議,以協助國會考慮聯邦層級之AI監管方案。 壹、政策背景 川普政府自2025年上任後即撤銷前總統拜登政府時期強調風險控管與偏見防範之14110號行政命令,並於三天後簽署14179號行政命令,《消除美國AI領導障礙》(Eliminating Obstacles to American Leadership in AI),內容確立應維持並強化美國AI於全球之領導地位。同年7月,川普政府發佈「美國AI行動計畫」(AI Action Plan),政策重心著重於AI監管鬆綁及創新驅動;後於12月簽署《確保AI國家政策框架》(Ensuring A National Policy Framework For Artificial Intelligence)行政命令,核心目標係排除地法對國家AI政策之影響,確保聯邦法規於AI治理上之優先,避免政府政策碎片化。而2026年3月發布之AI框架延續先前之政策路線,並具體化為立法建議,包含兒童保護、智慧財產權保障、AI打詐、民生能源確保等。於組織運作上,AI框架主張不增設新AI專門單位,而是透過現有機構依其專業領域彈性管理,同時亦要求建立聯邦層級之AI法規,制定全國一致之標準。 貳、重點說明 AI框架並未涵蓋所有AI相關議題,僅針對政府認為應作為聯邦AI立法核心之7個領域給予立法建議,針對兒童、創作者及社區提供保障,並於創新、競爭力及國家安全間取得平衡。 1.保護兒童並強化家長權能 該部分係強調對於兒童在AI相關風險上之保護,要求AI服務及平台應採取保護兒童之措施,並且賦予家長管控兒童之權力。框架建議國會應持續深化兒童保護相關之修立法,強制平台建立年齡驗證機制及降低性剝削或自傷風險之防禦措施。同時,應確保現行兒童隱私法規能適用於AI系統,並且應避免模糊之內容標準及開放性責任。並且應尊重各州對於兒童保護之一般性法規。 2. 保障及強化美國社區 AI框架呼籲國會應簡化AI基礎建設之聯邦許可程序,以加速AI基處建設發展,並且同時顧及民生能源,確保一般居民不因AI資料中心建設發展之電費成本而負擔較高電費。另應加強打擊AI詐騙及詐欺,並確保國安機構對AI模型之掌握及風險控管能力;對於中小企業應提供AI資源協助,普及AI於產業中之部署。 3. 尊重智慧財產權並支持創作者 AI框架強調對創作者之保障,同時亦不應損害合法創新及言論自由。框架中強調,國會應尊重法院對於AI模型利用著作權作品進行訓練之合理使用裁決。並呼籲國會考慮建立授權框架或集管機制,以保障著作權人與AI供應商間之協商管道;同時呼籲應建立對數位複製品之保護措施,避免如聲音或肖像等個人可辨識特徵被未經授權轉為AI商用。 4. 防止審查與保護言論自由 AI框架中強調,聯邦政府須保障言論自由,並防止AI系統被用以壓制或審查合法之政治表達或異議。呼籲國會應防止美國政府強迫科技廠商,包含AI供應商,基於政黨或意識形態禁止、更改或強制內容。並應針對政府於AI平台之審查提供有效救濟方式。 5.促進創新並確保美國AI之主導地位 為推動美國於AI之領先地位,國會應建立監管沙盒鼓勵創新,並將聯邦資料庫轉化為AI可讀形式供產學界之模型訓練。在監管上,應避免建立新的監管機關,而是透過現有專業機構及產業主導標準進行分業監管,確保AI發展能於現有法規框架與產業實務下穩定成長。 6. 教育民眾並培養具備AI能力之勞動力 AI框架中強調青年培訓以及新工作機會之重要性。呼籲國會應採取非監管手段,將AI納入現有教育及職訓計畫中,制定精準的人才扶持政策,並強化贈地大學(Land-grant institutions)之AI技術支援能力。 7. 建立聯邦政策框架,避免繁瑣的州級AI法規 聯邦政府須建立聯邦層級之AI政策框架,透過聯邦優先原則取代各州不一之法律,以減輕企業合規成本並維護國家競爭力。應禁止各州干預具跨州、外交及國安特性之AI技術研發,亦不得因第三方非法行為而懲罰AI開發者;但仍須尊重傳統之州警察權力,尊重地方政府之基礎建設規畫及州政府內部使用AI規範之自主權。 參、事件評析 美國AI框架延續川普政府自上任以來之AI政策,強調監管鬆綁,並欲降低對AI之嚴格管制,促進創新及強化美國競爭力。此次框架法建議係建議國會建立聯邦層級之AI規範標準,但核心並非推動單一、全面性之法規改革,而是針對各特定領域給予立法建議,透過各領域機構之既有專業進行分業監管。 相較於歐盟透過AI Act 建立統一且具法律拘束力之AI風險分級管理制度,美國AI框架則是傾向透過既有法律體系及主管機關進行管理。雖近年來美國部分州政府已陸續推動AI相關立法,然AI框架強調建立聯邦層級之一致性政策,未來聯邦與州之間之法律及政策適用仍有爭議產生之可能。整體而言,美國AI框架透過分散式法律制度、分業監管方式處理AI相關風險,而非建立全面性總括之AI專法或專責機構。惟該框架目前僅屬白宮向國會提出之立法建議,未來國會如何將該些建議具體落實於各部會之聯邦法案中,以及是否能有效平衡監管及創新需求,仍有待後續觀察。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)