美國聯邦交易委員會延展紅旗規則之施行日

日本國家網路安全辦公室（国家サイバー統括室）於2026年3月5日，代表日本連署了「AI、機器學習供應鏈風險與緩和措施」（Artificial intelligence and machine learning Supply chain risks and mitigations）之國際文書（下稱本文書），並公布本文書內容。本文書是由隸屬於澳洲訊號局（Australian Signals Directorate，簡稱ASD）之澳洲網路安全中心（Australian Cyber Security Centre，簡稱ACSC）主導訂定，主要針對有導入或開發 AI、機器學習系統與元件等需求的組織，揭示其可能存在供應鏈風險與提升整體網路安全之重要性，並就AI開發或採購階段，組織應留意相關風險與可採行之緩和措施。有關連署國家，除了日本與澳洲以外，也包括加拿大、紐西蘭、韓國、新加坡、英國與美國等共八個國家皆已完成連署。 本文書內容強調組織於管理 AI、機器學習等風險時，應將 AI 供應鏈視為整體網路安全戰略的一環，同時評估產品或服務之整體生命週期風險，不應著重於單一技術，而是組織需要掌握整體供應鏈的全貌，包括特定關係事業者、活用AIBOM（AI物料清單，主要用來記錄AI模型相關資產與資訊，提供快速定位與管控AI問題模型功能）或SBOM（軟體物料清單，主要記錄軟體相依元件，用於漏洞管理與供應鏈透明度）、意識到是否已針對AI、機器學習系統可能帶來的風險，進行漏洞管理，以及針對AI、機器學習系統所導致之網路安全事件建立應處機制等。 本文書將AI、機器學習供應鏈風險大致區分為五類：AI 數據、機器學習模型、AI 軟體、AI 基礎設施（含硬體），以及第三方服務，本文書指出AI、機器學習應用於供應鏈時可能產生之風險，其中包括數據品質不良、資料受竄改、模型遭植入惡意程式碼、軟體元件複雜導致難以保證其安全、硬體與韌體擴大攻擊面，以及導入第三方服務致使供應鏈產生弱點等。 此外，本文書也針對各類風險提出可行的因應方法，例如： 1.數據面：需做標準化搜集、外部資料檢疫、資料前處理與完整性驗證。​ 2.模型面：需從可信來源取得透明模型，實施性能驗證與惡意程式偵測。​ 3.軟體面：需做完整性驗證、元件審核，並透過 SBOM 掌握已知弱點。 4.硬體面：需確認設備無惡意內容，並在網路中適當分區。 5.第三方服務面：需持續評估與監控供應商的資安實務與脆弱性管理。 總結來說，日本已意識到國家網路安全治理下，針對AI、機器學習的安全，不單是模型安全，而是涉及整體性供應鏈安全。日本藉由與他國連署國際文書，不僅強化國際合作，同時建立供應鏈網路安全共識，因應AI對於國家供應鏈之網路安全挑戰，從資料、模型、軟體、硬體到第三方服務等視角提出具體因應方法，作為全面提升國家整體網路安全環境之參考指引。日本透過強化與他國合作，提升國家網路安全治理之作法，值得我國未來借鏡參考。

　　有鑒於智慧聯網IoT環境下，許多智慧型手持裝置及行動通訊裝置，大量蒐集消費者資訊之隱私權暨資訊安全考量，美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」（Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913）進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體（Application）在蒐集消費者資訊前，如何落實「同意」機制，乃強制行動通訊裝置應用軟體開發商（developer）應：（1）提供使用者個人資料蒐集、使用、儲存及公開之通知（notice），而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等；（2）取得使用者之同意（consent）；消費者依據該草案亦有權撤銷其「同意」（withdrawal of consent）。此外，草案乃強制要求該行動通訊裝置應用軟體開發商，就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料，應採取合理及適當之防衛措施（security measures on personal data and de-identified data）。 　　並且，針對網路環境下隱私權保護議題，更早之前，美國國會於2013年2月28日提出「線上禁止追蹤法草案」（Do-Not-Track Online Act of 2013） 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會（FTC），就透過個人線上活動追蹤，以蒐集、使用個人資料之行為態樣，進行管制。該管制模式謹據以要求如下：（1）被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知（clear, conspicuous and accurate notice and use of such information），而個人就該通知應予明白之同意（affirmative consent）；（2）FTC未來在訂定標準規範時，應（shall）考量所被搜集之資料，是否在匿（隱）名基礎上處理之，遂該資料無法有效被聯結（指認）到特定個人或裝置上；此外，消費者當享有資料不被蒐集的權利（expressed preference by individual not to have personal information collected）。該草案並就違反之個人，設定最高15,000,000美元損害賠償規定。

　　英國技術移轉政府辦公室（Government Office for Technology Transfer, GOTT）於2022年10月設立於英國索爾福德（Salford）；其為英國商業、能源與產業策略部（Department for Business, Energy & Industrial Strategy, BEIS）之轄下機構，設立之旨在於促進公部門（public sector）知識資產（knowledge asset）流通利用，以為英國帶來經濟、社會及財政上效益。 　　所謂「知識資產」係指—智慧財產權、專門技術、資料、品牌、業務流程、專家資源及技術等；目前英國關於公部門知識資產之估值，總計約超過1060億英鎊。而所謂「技術移轉」係指使這些資產與他機構分享，以刺激創新及帶動新產品、流程及服務的研發，並促進更多商業創投（commercial venture）的可能。 　　GOTT具有跨部門的職權，使公部門可增強其對自身知識資產的辨識、研發與利用，並鼓勵公部門在管理其知識資產上，可更具創新性及具有企業家精神。目前，GOTT已開始與其他公部門在創新上合作，例如一造價更低的高密度真空紫外光（Vacuum Ultra-Violet, VUV）光源機，以淨化水質；或以石墨烯（graphene）製成生物傳感器（biosensor），以使在人體上以生物標記（biomarker）偵測不同健康狀況及疾病。 　　GOTT係以提供資金和專業知識的方式，以在跨部門政府間，進行創新項目的支持；依據英國政府早先所編列的一「關於政府部門應如何管理知識資產」的指南（The Rose Book: guidance on knowledge asset management in government，下簡稱The Rose Book），GOTT係以「提供對The Rose Book之詢答」、「提供對於管理知識資產之訓練」、「形成關於知識資產之人脈網」、「舉辦活動以喚起對知識資產管理重要性的認識」、「告知不同部門其可能擁有的知識資產及可運用機會」等方式，對公部門進行協助（The Rose Book第8.2點參照）。 　　而依照The Rose Book第8.4點，GOTT亦將與以下單位，分就上述不同事項，及就知識資產爭訟事件提供建言等，進行合作，以對其他公部門提供協助：（1）英國智慧財產局（Intellectual Property Office）；（2）英國國防部（Ministry of Defence）；（3）英國犁頭創新中心（Ploughshare Innovations）；（4）政府法務處（Government Legal Department）；（5）國家檔案館（The National Archives）。 　　而在後續成果運用上，The Rose Book第6.1點提及，公部門於運用知識資產時，可就很多面向進行考慮。除尋求「商業上的回報」外，亦可將「促進各別部門及不同部門間公共事務之進行」，以及「為商業、慈善團體及人民之使用」一事納入考量，藉以達到經濟、社會及財政上效益；而就「商業上的回報」而言，依照The Rose Book第6.35點，除最常見的「技術授權」及「販賣知識資產」外，亦有「衍生新創公司」（spin-outs）及合資公司（joint ventures）等方式。而一知識資產可如何被適當運用，則可尋求專家意見。

　　美國國家情報體系（United States Intelligence Community）係於1981年依據行政命令第12333號（Executive Order 12333）所建立，其任務為蒐集、分析與提供外國情報與反情報資訊美國國家領導人，服務對象包含美國總統、執法單位以及軍事單位。其於2020年6月提出「情報體系人工智慧倫理架構」（Artificial Intelligence Ethics Framework for the Intelligence Community），為人工智慧系統與訓練資料、測試資料之採購、設計、研發、使用、保護、消費與管理提出指引，並指出人工智慧之利用須遵從以下事項： 一、於經過潛在風險評估後，以適當且符合目的之方法利用； 二、人工智慧之使用應尊重個人權利與自由，且資料取得應合法且符合相關政策與法規之要求； 三、應於利用程序內結合人類判斷與建立問責機制，以因應AI產品之風險並確保其決策之適當性。 四、於不破壞其功能與實用性之前提下，盡可能確認、統計以及降低潛在之歧視問題。 五、AI進行測試時應同時考量其未來利用上可預見之風險。 六、持續維持AI模型之迭代（Iteration）、版本與改動之審查。 七、AI之建立目的、限制與設計之輸出項目，應文件化。 八、盡可能使用可解釋與可理解之方式，讓使用者、審查者與公眾理解為何AI會產出相關決策。 九、持續不定期檢測AI，以確保其符合當初建置之目的。 十、確認AI於產品循環中各階段之負責人，包含其維護相關紀錄之責任。